что дают открытые порты
Не открывайте порты в мир — вас поломают (риски)
Снова и снова, после проведения аудита, на мои рекомендации спрятать порты за white-list’ом встречаюсь со стеной непонимания. Даже очень крутые админы/DevOps’ы спрашивают: «Зачем. «
Предлагаю рассмотреть риски в порядке убывания вероятности наступления и ущерба.
Ошибка конфигурации
Наиболее типичная и опасная ситуация. Как это бывает. Разработчику надо быстро проверить гипотезу, он поднимает временный сервер с mysql/redis/mongodb/elastic. Пароль, конечно, сложный, он везде его использует. Открывает сервис в мир — ему удобно со своего ПК гуём коннектиться без этих ваших VPN. А синтаксис iptables вспоминать лень, все равно сервер временный. Еще пару дней разработки — получилось отлично, можно показывать заказчику. Заказчику нравится, переделывать некогда, запускаем в ПРОД!
Пример намеренно утрированный с целью пройтись по всем граблям:
А в /etc/rsyslog.d/10-iptables.conf
:msg,contains,»[FW — » /var/log/iptables.log
& stop
DDoS по IP
Если злоумышленник знает ваш IP, он может на несколько часов или суток заддосить ваш сервер. Далеко не у всех лоукост-хостингов есть защита от DDoS и ваш сервер просто отключат от сети. Если вы спрятали сервер за CDN, не забудьте сменить IP, иначе хакер его нагуглит и будет DDoS’ить ваш сервер в обход CDN (очень популярная ошибка).
Уязвимости сервисов
Во всем популярном ПО рано или поздно находят ошибки, даже в самых оттестированных и самых критичных. В среде ИБэшников, есть такая полу-шутка — безопасность инфраструктуры можно смело оценивать по времени последнего обновления. Если ваша инфраструктура богата торчащими в мир портами, а вы ее не обновляли год, то любой безопасник вам не глядя скажет, что вы дырявы, и скорее всего, уже взломаны.
Так же стоит упомянуть, что все известные уязвимости, когда-то были неизвестными. Вот представьте хакера, который нашел такую уязвимость, и просканировал весь интернет за 7 минут на ее наличие… Вот и новая вирусная эпидемия ) Надо обновляться, но это может навредить проду, скажете вы. И будете правы, если пакеты ставятся не из официальных репозиториев ОС. Из опыта, обновления из официального репозитория крайне редко ломают прод.
Брутфорс
Как описал выше, есть база с полу миллиардом паролей, которые удобно набирать с клавиатуры. Другими словами, если вы не сгенерировали пароль, а набрали на клавиатуре рядом расположенные символы, будьте уверены* — вас сбрутят.
Уязвимости стека ядра.
Бывает**** и такое, что даже не важно какой именно сервис открывает порт, когда уязвим сам сетевой стек ядра. То есть абсолютно любой tcp/udp-сокет на системе двухлетней давности подвержен уязвимости приводящий к DDoS.
Усиление DDoS-атак
Напрямую ущерба не принесет, но может забить ваш канал, поднять нагрузку на систему, ваш IP попадет в какой-нибудь black-list*****, а вам прилетит абуза от хостера.
Неужели вам нужны все эти риски? Добавьте ваш домашний и рабочий IP в white-list. Даже если он динамический — залогиньтесь через админку хостера, через веб-консоль, и просто добавьте еще один.
Я 15 лет занимаюсь построением и защитой IT-инфраструктуры. Выработал правило, которое всем настоятельно рекомендую — ни один порт не должен торчать в мир без white-list’a.
Например, наиболее защищенный web-сервер*** — это тот, у которого открыты 80 и 443 только для CDN/WAF. А сервисные порты (ssh, netdata, bacula, phpmyadmin) должны быть как минимум за white-list’ом, а еще лучше за VPN. Иначе вы рискуете быть скомпрометированным.
У меня все. Держите свои порты закрытыми!
Как открыть порты на компьютере
Зачем нужно открывать порты?
Проверка порта
Проверить открыт ли тот или иной порт на ПК, можно воспользовавшись специальными сервисами или командной строкой системы. Чтобы сделать это онлайн, потребуется проделать следующее:
Сервис выдаст текущее состояние порта. 
Чтобы проверить порт, используя специальную команду вам понадобится:
Перед вами отобразится список открытых на данный момент портов. 
Открытие порта в фаерволе
Чтобы настроить порты используя встроенный в систему брандмауэр, потребуется установить правила подключений. Осуществить это можно проделав следующие операции:
В большинстве случаев требуется создать 2 правила – одно для входящих и второе для исходящих соединений.
Те же самые действия нужно проделать с другим протоколом, если приложение для которого вы открываете порт, использует несколько типов соединения.
Настройки маршрутизатора
Открыв доступ в фаерволе, потребуется также изменить настройки маршрутизатора. Для этого нужно осуществить следующие действия:
Обычно это 192.168.1.1 или 192.168.0.1 (точный адрес маршрутизатора можно найти не его панели или в инструкции).
По окончании настройки роутер нужно перезагрузить, после чего порты станут доступны.
Открытие порта в антивирусе
Предоставление доступа в настройках фаервола и маршрутизатора может оказаться недостаточным, так как соединение может блокироваться антивирусным программным обеспечением. Рассмотрим, как можно открыть порт на примере антивируса Касперского. Для этого потребуется проделать следующие действия:
После этого желательно перезагрузить систему. Дополнительно можно добавить приложение, для которого вы настраиваете порт, в исключения, чтобы антивирус его не блокировал.
Процедура доступа к определенному порту не является особо сложной операцией. Действуя в соответствии с данной инструкцией, вы сможете осуществить задуманное без особых проблем.
Риски открытия портов маршрутизатора для игры в онлайн и как этого избежать
В некоторых случаях для правильной работы программы или игры требуется, чтобы на маршрутизаторе были открыты определенные порты, чтобы они были доступны из Интернета. Однако по возможности рекомендуется держать порты закрытыми. Киберпреступники сканируют порты на предмет уязвимостей и способов проведения атак. Случается так, что иногда, чтобы использовать программу или играть в сети, нам нужно открыть порты. Здесь мы объясним, насколько опасно открывать порты маршрутизатора для игры в сети, а также, в случае, если мы должны это сделать, как мы должны это делать.
Когда мы говорим о транспортном уровне модели TCP / IP, мы должны иметь в виду два типа протоколов: TCP и UDP. Оба могут использоваться при открытии портов.
Как открывать порты и зачем их открывать?
Первое, что нам нужно сделать, чтобы открыть порты маршрутизатора для игры, или что нам нужно, это узнать IP-адрес нашего маршрутизатора. Мы сделаем это с помощью окна командной строки, набрав эту команду:
Затем появится экран, на котором Шлюз по умолчанию это IP нашего роутера.
Затем мы записываем его в интернет-браузере и вводим свой логин и пароль для входа в конфигурацию роутера. Затем мы ищем раздел, который обычно называется NAT, виртуальный сервер или перенаправление портов.
Опасно ли открывать порты роутера для игры?
В этом смысле, открывая порты маршрутизатора для игр или программ, мы должны убедиться, что диапазон как можно меньше. Чем меньше возможностей атаковать мы даем киберпреступникам, тем в большей безопасности мы будем.
Вот еще опасные порты TCP и UDP и как мы можем защитить себя. Эти порты, которые мы вам показали, являются самыми простыми и первыми, которые проверяет киберпреступник. Поэтому, если мы заблокируем все, кроме тех, которые используются и нужны нам, у нас будет очень защищенная система. Помните, что если у нас есть открытый порт, это может быть первым шагом к вторжению.
Проверить открытые порты онлайн
Далее пора проверить открытые порты на вашем роутере. Для этого воспользуемся сайтом теста скорости. Там у них естьтест порта чтобы быстро и легко проверить это онлайн.
После загрузки сети мы помещаем наш общедоступный IP-адрес и устанавливаем порт или порты, которые хотим проверить. Этот инструмент позволяет вам проверять диапазоны портов, а также порты, разделенные запятыми. Наконец, вот мои результаты, в которых вы можете видеть, что порты 21, 22 и 23, о которых мы говорили ранее, закрыты, что является хорошей новостью.
Все о портах. И как правильно открыть порты
С недавнего времени участились случаи с вопросами, когда необходимо открыть порт на своем маршрутизаторе для игры или какой либо программы. Данная статья дополнит основную статью про порты, и прояснит ситуацию.
Все уже давно используют имитаторы LAN (локальной сети), после того, как некоторые провайдеры в начале нового десятилетия, отключи всех своих абонентов от локальной сети, оставив им только подключение по каналу «Интернет».
Именно с того момента и пошла популяризация имитаторов, так как без них, с соседом невозможно было по-играть в какую-нибудь игрушку. И с того момента вопрос про «открытие портов» становился более популярным, и многие «псевдо-сис.админы» пытались выложить актуальное руководство как открыть порты на своем железе. Но не все знают что да как это сделать правильно.
Именно по «Белому» IP и стоит открывать порты на своем оборудовании. Что бы получить свой «Белый» IP необходимо обратить к своему провайдеру, и после этого, он назначит IP на Вас. Данная услуга везде является платной, и в зависимости от региона может составлять от 50 рублей/месяц.
Допустим, мы купили реальный IP у своего провайдера, и теперь необходимо приступить к настройке. Разберемся с настройками на 4-х популярных моделях роутеров (ASUS/TP-Link/D-Link/Zyxel):
Примечание: настройка производилась на оборудовании ASUS RT-N12 C1 с микропрограммой 3.0.0.4.260 (черный интерфейс)
Как атаковать открытые порты и что могут сделать киберпреступники
Мы уверены, что всем вам когда-либо приходилось «открывать порт» или, точнее, выполнять «переадресацию портов» на маршрутизаторе, поскольку все компьютеры в локальной сети находятся за NAT. Чтобы получить доступ к этим устройствам, которые находятся в локальной сети, из Интернета, мы должны «открыть порт» или выполнить «перенаправление портов» на маршрутизаторе, в противном случае мы не сможем получить доступ к этой службе из Интернета ( SSH-сервер, FTP-сервер, OpenVPN-сервер и т. Д.) Сегодня в этой статье мы собираемся объяснить, что означает открытие порта, как они могут атаковать открытые порты и что они могут делать.
Что означает «открытый» порт?
В локальной сети полностью автоматическим и прозрачным способом порты постоянно открываются и закрываются различными процессами, чтобы иметь возможность связываться с другими компьютерами. Для взаимодействия двух процессов необходимо, чтобы один из них мог «определять местонахождение» другого, чтобы получать услуги или предоставлять вам услуги.
Когда нам нужно открывать порты локально?
Если наш локальный компьютер действует как «что-то», например, FTP-сервер, веб-сервер, SSH-сервер, VPN сервер, сервер базы данных и многое другое, нам нужно будет открыть порт или несколько портов на нем. брандмауэр чтобы разные компьютеры в локальной сети или в Интернете могли получить доступ к нашим службам, в противном случае они не смогут получить доступ, потому что брандмауэр заблокирует эту связь, и соединения не будут установлены.
Обычно в домашних условиях, если мы устанавливаем Windows 10 или Linux-основная операционная система как «Частная сеть» или «Домашняя сеть», брандмауэр отключен, и все входящие соединения будут разрешены. Однако, если у нас есть «общедоступная сеть», брандмауэр будет активирован и заблокирует все входящие соединения, которые мы ранее не делали исходящими, поэтому мы сталкиваемся с «ограничивающим» брандмауэром.
Когда нужно открывать порты в NAT роутера?
Если у нас есть компьютер в локальной сети, который действует как сервер «для чего-то», как в предыдущем случае, и мы хотим, чтобы эти службы были доступны из Интернета, необходимо будет выполнить «переадресацию портов» или также известные как «открытые порты». Таким образом, если кто-то открывает сокет с общедоступным IP-адресом и соответствующим внешним портом, этот поток данных будет автоматически перенаправлен на компьютер, для которого мы «открыли порты».
Любой роутер по умолчанию не имеет правил для перенаправления портов, нам придется делать это специально. Кроме того, очень важной деталью является то, что если у вашего оператора есть CG-NAT, даже если вы откроете порт на маршрутизаторе извне, вы не сможете ничего сделать для доступа к внутренним ресурсам локальной сети.
Как атаковать порт?
На самом деле вы не можете «атаковать» порт, атакована служба, стоящая за этим «портом», которая принимает входящие соединения. Например, если у нас открыт порт 5555 и здесь настроен FTP-сервер, мы будем атаковать службу FTP, но не порт. Порт по-прежнему является «дверью» для информации, и действительно атакуются службы, стоящие за этими портами.
sudo apt install nmap
После установки нам нужно будет выполнить определенную команду, чтобы увидеть, открыт ли порт, отфильтрован или закрыт:
Мы также могли сканировать ряд портов следующим образом:
Например, если у нас есть веб-сервер с запущенными HTTP и HTTPS, вполне нормально, что у нас открыты порты 80 и 443, например:
Проверить открытые, отфильтрованные или закрытые порты с помощью Nmap легко, однако мы рекомендуем вам прочитать полную вики-страницу Nmap, где у нас есть подробные пошаговые руководства по различным типам сканирования портов, которые у нас есть.
Что может сделать киберпреступник с открытым портом?
