web-dev-qa-db-fra.com

Quels sont les ports et protocoles non standard

Je suis nouveau dans le domaine de la sécurité et je lis comment vérifier si une application est sécurisée. L'une des vérifications consiste à savoir si l'application utilise des ports et des protocoles de sécurité non standard. Cependant, il y a des milliers de ports et pas mal de protocoles à regarder.

  • Qu'est-ce qui constitue des ports et des protocoles non standard?
  • Quels sont les ports et protocoles qui devraient immédiatement déclencher des signaux d'alarme?
networkmalwareportsprotocols
7
E.N.D

Un port non standard signifie simplement un service fonctionnant sur un port autre que son port par défaut, généralement tel que défini par le registre des numéros de port IANA .

L'exécution d'un service sur un port non standard ne signifie vraiment rien pour la sécurité. Cela peut réduire la quantité de bruit qu'un défenseur doit gérer en termes de numérisation automatisée sur Internet, où les bots ciblent généralement les ports standard communs pour les vulnérabilités. Le passage de SSH de 22 à 55522, par exemple, peut réduire le nombre de tentatives de force brute au volant.

Afin de trouver tous les services exécutés sur un système, on peut utiliser nmap ou un outil similaire. Voici un exemple de commande:

nmap -sS -A -Pn -T4 -p1-65535 <Host>

Brisons ces drapeaux:

  • -sS indique à nmap d'effectuer un TCP scan SYN.
  • -A active une gamme d'options liées à la détection du système d'exploitation, à la détection des services et à l'analyse des scripts. Ceci est particulièrement important pour identifier les services sur des ports non standard, car il parle en fait à chaque port ouvert pour déterminer ce qu'est le service, plutôt que de deviner en fonction du numéro de port.
  • -Pn indique à nmap de ne pas utiliser le ping ICMP pour vérifier si l'hôte est actif. Si la cible bloque les requêtes ICMP, cela entraînera nmap en supposant que l'hôte est en panne.
  • -T4 définit la vitesse de numérisation. Les arguments valides sont de 0 à 5. Il n'y a aucune raison d'utiliser autre chose que 4 ici dans mon expérience - rien de moins est juste plus lent, et 5 réduit la précision de l'analyse car elle n'attend pas assez longtemps pour TCP ACK répond.
  • -p1-65535 définit la plage de ports. Comme nous recherchons des ports standard et non standard, c'est le seul moyen de tout couvrir. Vous pouvez aussi utiliser -p- comme raccourci pour cela.

Les résultats de cette commande devraient vous montrer tous les ports ouverts et les services qui y sont exécutés. À partir de là, il reste à savoir quels protocoles sont considérés comme une voie d'attaque potentielle. SSH ou Telnet peuvent être utiles, mais à moins qu'ils n'utilisent un nom d'utilisateur et un mot de passe faibles, ce n'est probablement pas intéressant. Ils pourraient exécuter un serveur HTTP sur un port non standard, avec une application Web vulnérable servie, et cela pourrait également être intéressant. Les possibilités sont infinies.

18
Polynomial