當前位置:
首頁 > 最新 > 非默認埠網路服務的安全風險不容忽視

非默認埠網路服務的安全風險不容忽視

最新 12-23

埠掃描現象在互聯網上普遍存在,既可以被網路維護人員用於驗證安全策略,也可能被攻擊者用於識別獲取指定主機的埠開放服務情況,為下一步嘗試弱口令破解或利用服務漏洞入侵做準備。

本文針對由埠掃描引發的網路服務運行在非標準埠現象,分析了這一現象產生的原因,從網路安全形度討論了服務運行在非標準埠時帶來的可能利弊,並進行實驗驗證,在此基礎上對網路運維部門防火牆設置以及服務提供者提出建議。

非默認埠上的服務安全狀況

近十幾年來,相關技術快速發展,利用蠕蟲病毒傳播進行增強掃描能力,新的埠掃描工具如ZMap與Masscan等不斷湧現,使得埠掃描無處不在,利用大量受控主機對互聯網相當範圍的IP地址進行掃描,不再受限於特定埠。因此有必要分析運行在非默認埠上服務的脆弱性和攻擊風險,尤其是和安全聯繫緊密的服務,例如SSH/RDP等遠程登錄服務及MS SQLServer/MySQL等資料庫服務運行在非默認埠上的情況。

更改服務運行埠後,確實可以躲避僅僅掃描標準埠的情況,但是考慮到當前埠掃描並不僅限在標準埠範圍,因此僅僅延緩了埠掃描,尤其是繞過網路運維部門設置的防火牆之後,服務直接暴露在外網上,更需要保障服務本身的安全維護。

為分析現實互聯網環境下非默認埠服務的安全狀況,本文收集上海交通大學相關數據,進行實驗驗證。首先通過主動掃描方式,對上海交通大學校園網IP地址全部TCP埠(1-65535)進行掃描,識別開放埠運行的服務,並對SSH、RDP等協議弱口令進行檢測;其次,根據2017年1至6月期間的NetFlow數據,分析互聯網上攻擊者的埠掃描行為。

首先考察了常見安全敏感服務運行在非默認埠所佔比例的情況,結果見表1。

從表中可知,服務運行在非默認埠的情況普遍存在,無論是特定安全相關服務還是整體網路服務,都有相當比例運行在非默認埠。

隨後統計這些服務常見的運行埠用於後續實驗,採用如下規則:1.在該埠運行服務數量大於2;2.與默認埠數值有部分相似性;3.所在伺服器不局限在同一個C類網段,結果見表2。

實驗共掃描到可識別服務33066個,存在弱口令974個,其中運行在非默認埠的服務中存在弱口令101個,在常見非默認埠列表中的服務有74個。可知更改服務運行埠本身並不能阻止系統被入侵,反而暴露在了防火牆之外,受到外部IP地址過來的埠掃描。

接下來進行互聯網掃描流量分析,對比安全敏感服務默認埠與常見非默認埠被掃描次數,根據源地址數(攻擊者IP數量和掃描次數兩個指標)進行統計,結果見表3。

其中rdp的默認埠3389被防火牆全面禁止,因此得到的記錄數量近似為0。

對被掃描埠分別根據源地址數和掃描次數進行排序,常見非默認掃描埠有80%以上出現在前8192個,最高頻出現的埠部分信息見表4。

由結果可知,常見非默認埠列表佔有相當比例,也被重點掃描了。

進一步考察任意埠被掃描的情況,針對默認埠、常見非默認埠以及其他任意埠三種情況,分別根據目標IP地址數量以及掃描次數進行統計被掃描次數及其所佔比例,見表5,可見約有90%左右的掃描是在任意埠,因此即使更改到任意埠也存在被掃描的可能。

攻擊者了解到服務提供者更改服務運行埠後有了掃描非默認埠的需求。隨著計算機性能與網路帶寬的進步、以及相應埠掃描技術的改進,對一定IP範圍內更大範圍埠列表甚至全部埠進行掃描所需的時間逐漸減少到可以接受的程度。

實驗結果分析

從分析與實驗結果可知,如果沒有配合其他安全加固措施,僅僅更改服務運行埠不能避免因為弱口令或沒有及時安全更新而被入侵

更為嚴重的是,更改服務運行埠後失去了網路運維部門所設置防火牆的保護,被入侵後進而成為外部網路入侵內部伺服器的跳板。

對於服務提供者,更改埠能有效躲避大量掃描,但不能因此產生安全無虞的假象,不應降低密碼使用和其他系統安全策略,應及時進行系統與應用安全維護,以及IP訪問規則維護等安全加固措施。

對於網路運維部門,也需要重新考慮「一刀切」方式封禁22或3389等遠程訪問埠時可能帶來的安全隱患,即用戶為了從外邊網路繞過防火牆進行訪問而被迫更改訪問埠,使得該服務失去防火牆保護。在條件允許時提供用戶自定義的外部可訪問範圍或許是較為妥當的折衷。對於通過埠掃描檢驗內網安全時,也需要將非標準埠考慮進來。

本文分析了互聯網上服務運行在非默認埠上的現象,從服務提供者、網路運維部門和攻擊者的角度對其安全影響進行了分析和探討,結合校園網10萬個IP地址的主動掃描和6個月的NetFlow數據分析表明,超過40%的FTP、MSSQLServer等可能被弱口令爆破的協議使用了非默認埠,在非默認埠上服務的弱口令比例甚至高於默認埠,而在監測到的互聯網埠掃描活動中,針對常見單個非默認埠(如9999,2433)的次數已超過4千萬次。非默認埠網路服務的安全風險不容小覷,應引起網路管理者的重視。

(作者單位為上海交通大學網路信息中心)

本文刊載於《中國教育網路》雜誌2017年12月刊

【回顧】教育現代化的CIO之路


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 中國教育網路 的精彩文章:

TAG:中國教育網路 |