什么是端口?
大家都知道,IP地址用于标识网络中的计算机。TCP/IP协议把一个IP地址和另一个IP地址连接起来,形成了网络。一台计算机上通常运行着很多服务。例如,允许客户访问网页的Web服务,允许管理员配置服务器的SSH服务,或者用于传输文件的FTP服务等。那么,怎么区分同一台计算机上的不同服务呢?
为此,人们设计了端口的概念。端口由数字指定,即端口号。计算机上每种类型的服务都要提供一个端口,等待通信对端从动态端口发来的数据包。例如,Web服务常用的端口号是80(用于HTTP)或443(用于HTTPS)。当您浏览网页时,您的浏览器随机选择一个端口,向Web服务器的80端口或者443端口发送数据包。一台计算机通过端口发送数据包,另一台计算机通过端口接收数据包。通信双方的端口是数据包发送和接收的终点。
快递员投递包裹时,首先根据街道地址找到小区,然后在这个小区中根据门牌号找到收件人,把包裹送达。街道地址和门牌号构成了完整的投递地址。在计算机的世界,如果我们把IP地址类比为街道地址,把服务类比为快递员,那么端口就是门牌号。IP地址和端口构成了完整的通信地址,用于识别数据包的目的地。
什么是开放端口?
开放端口(Open ports)是指主动接收数据包的端口。相应地,拒绝所有数据包的端口是关闭的端口(Closed ports)。如前所述,当计算机需要对外提供服务时,需要开放特定的端口。毕竟,你要接收包裹,就得给快递员开门。
在特定端口上启用了某个服务以后,该端口将仅供此服务使用,不能再用于其他目的(服务)。端口号分为三类。
知名端口(Well-known Ports):也叫系统端口(System Ports),端口号范围0-1023。知名端口由 ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)分配给常用的服务。知名端口与服务具有紧密的联系。通常说采用某知名端口通信,即表明采用该端口对应的服务。例如,22表示SSH,23表示Telnet。
注册端口(Registered Ports):也叫用户端口(User Ports),端口号范围1024-49151。注册端口由IANA(Internet Assigned Numbers Authority,互联网数字分配机构)管理,组织可以向IANA申请某端口为应用程序的注册端口。例如,3389是微软为RDP(Remote Desktop Protocol,远程桌面协议)申请的注册端口。
私有端口(Private Ports):也叫动态端口(Dynamic Ports),端口号范围49152-65535。不应该为服务分配动态端口。动态端口是主机与服务端通信时,临时分配给应用程序的端口。通信结束后,该端口即被释放。不过,在实际应用中,主机通常从1024起分配动态端口。
端口号与服务的分配关系,可参考IANA网站。
开放端口有什么风险?
严格意义上讲,开放端口并不一定存在风险,任何一个特定的端口也并不一定比其他端口更安全或者更危险。
端口本身是中立的。开放端口是否存在风险,由使用端口的服务、管理服务的人来决定。当使用端口的服务存在漏洞、没有及时打补丁,或者服务配置错误、安全策略不合理时,开放端口是危险的。
网络攻击通常从端口扫描开始。攻击者将从开放端口的服务中寻找安全漏洞,并通过成功的漏洞利用非法访问未授权的资源。例如:SMB协议用于组织内部共享文件夹、打印机和串行端口。由于协议本身设计存在缺陷,SMB协议被称为永恒之蓝的零日漏洞利用,导致WannaCry勒索病毒大爆发。在互联网上公开此类服务,必将存在安全风险。除了查找漏洞,攻击者还经常采用暴力破解。例如,针对RDP的暴力破解经常被用于勒索软件攻击,是最常见的入侵手法之一。
如果说开放端口有风险的话,那么这个风险就是,开放端口容易受到攻击。开放任何端口都会增加攻击面,并增加由于漏洞、配置错误和管理不足而受到威胁的可能性。
为什么安全专家建议仅开放必要的端口?
端口是为通信而存在的。组织应实施必要的审核程序,以确定是否开放端口。如果有运行某个服务的需求,开放相应的端口是有意义的。这时,应从合法渠道获取应用软件、及时检查安全漏洞并实施安全加固措施,然后再正式开放端口。
如前所述,开放任何端口都会增加攻击面,并增加受到威胁的可能性。如果没有合理的通信需求,不要开放端口。
组织内部网络中有大量计算机,每台计算机上都可能开放了非必要的端口。你可以逐个计算机去关闭端口,也可以把这项工作交给防火墙。防火墙通常部署在网络的出口,在防火墙上可以阻断此类端口与外部网络的通信。想象你有一个四合院(网络),你可以关闭每个房间(计算机)的门窗(端口),你也可以依赖院墙,然后守好四合院的大门。
如何评估端口安全风险?
检查开放的端口。使用开源的端口扫描工具(如Nmap)或者部署华为漏洞扫描产品VSCAN,可以发现网络中开放的端口。
评估开放端口的必要性。安全专家建议,仅在特定设备上开放必要的端口,非必要的端口应立即关闭。如果扫描结果中出现了未主动开放的端口,请检查主机是否被植入了木马程序。
评估开放端口的安全性。了解每个端口上承载的服务,了解端口可能的风险。端口的安全风险可以从三个方面来评估。
可被利用:端口所承载的服务和应用程序存在安全漏洞,就可能被攻击者利用。
常被利用:攻击者经常使用的端口,风险更大。典型的如网络管理员广泛使用的RDP远程连接服务、FTP文件传输服务、Web应用程序等。
开放范围:开放在公网上的端口,都可能受到攻击。非必要的端口,不要暴露在公网上;有业务需要的,必须做好安全防护。
根据风险等级,端口可以简单分类如下,风险等级依次降低。
高危端口:开放在公网上的、极度危险的端口。这些端口承载的服务曾经造成广泛的安全事件,因此深受攻击者青睐,无时无刻不被各种自动化攻击工具扫描着,风险极高。请参考如何封禁高危端口,在防火墙上封禁常见的高危端口。
高危服务:开放在公网上的、采用非标准端口的高危服务,例如开放在3399端口上的RDP服务。RDP服务的默认端口是3389,修改端口号可以增加攻击者发现风险服务的时间成本,可以在一定程度上提高安全性,因此高危服务的风险等级低于高危端口。但是这种提高的程度非常有限,请参考如何保护风险端口,为高危服务增强安全防护。
风险端口:开放在公网的端口。如果这些开放端口是正常的业务需要,请参考如何保护风险端口,做好安全防护。