Una breve discusión sobre la seguridad de los puertos de la computadora
Al navegar por Internet, a menudo vemos la palabra "puerto" y a menudo usamos números de puerto, como "? 21", 21 representa el número de puerto . Entonces, ¿qué significa exactamente un puerto? ¿Cómo comprobar el número de puerto? ¿Se convertirán los puertos en puntos de entrada para ataques maliciosos a la red? ¿Cómo debemos tratar con varios puertos? Este aspecto se presentará a continuación para su referencia. ?
Puerto 21: El puerto 21 se utiliza principalmente para servicios FTP (Protocolo de transferencia de archivos).
Descripción del puerto: El puerto 21 se utiliza principalmente para el servicio FTP (Protocolo de transferencia de archivos), utilizado principalmente para cargar y descargar archivos entre dos computadoras. Una computadora actúa como un cliente FTP y la otra actúa como un servidor FTP. Puede utilizar el inicio de sesión anónimo y el inicio de sesión con nombre de usuario y contraseña autorizados para iniciar sesión en el servidor FTP. Actualmente, los servicios FTP son la forma principal de cargar y descargar archivos en Internet. Además, hay un puerto 20, que es el número de puerto predeterminado para la transmisión de datos FTP.
En Windows, la conexión y administración FTP se pueden proporcionar a través de Internet Information Services (IIS), o el software del servidor FTP se puede instalar por separado para implementar funciones FTP, como el serv-U FTP común.
Sugerencias de operación: debido a que algunos servidores FTP pueden iniciar sesión de forma anónima, a menudo son explotados por piratas informáticos. Además, el puerto 21 será utilizado por algunos troyanos, como Blade Runner, FTP Trojan, Dolly Trojan, WebEx, etc. Si el servidor FTP no está configurado, se recomienda cerrar el puerto 21. Puerto 23: El puerto 23 se utiliza principalmente para el servicio Telnet (inicio de sesión remoto), que es un programa de simulación y inicio de sesión ampliamente utilizado en Internet.
Descripción del puerto: el puerto 23 se utiliza principalmente para el servicio Telnet (inicio de sesión remoto), que es un programa de simulación y inicio de sesión ampliamente utilizado en Internet. El cliente y el servidor también deben configurarse para que los clientes con servicios Telnet puedan iniciar sesión en el servidor Telnet remoto e iniciar sesión con un nombre de usuario y contraseña autorizados. Después de iniciar sesión, los usuarios pueden utilizar la ventana del símbolo del sistema para realizar las operaciones correspondientes. En Windows, puede iniciar sesión de forma remota mediante Telnet escribiendo el comando "Telnet" en la ventana del símbolo del sistema.
Sugerencias de operación: con la ayuda del servicio Telnet, los piratas informáticos pueden buscar servicios Unix de inicio de sesión remoto y escanear el tipo de sistema operativo. Además, en Windows 2000, el servicio Telnet tiene muchas vulnerabilidades graves, como escalada de privilegios, denegación de servicio, etc., que pueden provocar la caída del servidor remoto. El puerto 23 del servicio Telnet es también el puerto predeterminado para el troyano TTS (Tiny Telnet Server). Por tanto, se recomienda cerrar el puerto 23.
Puerto 25: El puerto 25 lo abre el servidor SMTP (Protocolo simple de transferencia de correo) y se utiliza principalmente para enviar correos electrónicos. Hoy en día, la mayoría de los servidores de correo utilizan este protocolo.
Descripción del puerto: El puerto 25 lo abre el servidor SMTP (Protocolo simple de transferencia de correo) y se utiliza principalmente para enviar correos electrónicos. Hoy en día, la mayoría de los servidores de correo utilizan este protocolo. Por ejemplo, cuando utilizamos un programa cliente de correo electrónico, solicitamos la dirección del servidor SMTP al crear una cuenta. De forma predeterminada, esta dirección de servidor utiliza el puerto 25.
Vulnerabilidades del puerto:
1. A través del puerto 25, los piratas informáticos pueden encontrar el servidor SMTP para reenviar spam.
El puerto 2.25 lo abren muchos troyanos, como Ajan, Antigen, Email Password Sender, ProMail, Trojan, Tapiras, Terminator, WinPC, WinSpy, etc. Tomemos WinSpy como ejemplo. Al abrir el puerto 25, puede monitorear todas las ventanas y módulos que se ejecutan en su computadora.
Sugerencias de operación: Si el servidor de correo SMTP no está configurado, puede cerrar el puerto.
Puerto 53: El puerto 53 lo abre el servidor DNS (Domain Name Server) y se utiliza principalmente para la resolución de nombres de dominio. El servicio DNS es el servicio más utilizado en los sistemas NT.
Descripción del puerto: El puerto 53 lo abre el servidor DNS (Domain Name Server) y se utiliza principalmente para la resolución de nombres de dominio. El servicio DNS es el servicio más utilizado en los sistemas NT. A través del servidor DNS, se puede lograr la conversión de nombres de dominio y direcciones IP. Siempre que recuerde el nombre de dominio, podrá acceder rápidamente al sitio web.
Vulnerabilidad del puerto: si el servicio DNS está activado, los piratas informáticos pueden obtener directamente la dirección IP de hosts, como servidores web, analizando el servidor DNS y luego usar el puerto 53 para atravesar algunos firewalls inestables para transportar realizar ataques. Recientemente, una empresa estadounidense también anunció las 10 vulnerabilidades más vulnerables a los ataques de piratas informáticos, la primera de las cuales es la vulnerabilidad BIND del servidor DNS.
Sugerencias de operación: si la computadora actual no se utiliza para proporcionar servicios de resolución de nombres de dominio, se recomienda cerrar este puerto.
Puertos 67 y 68: Los puertos 67 y 68 son los puertos abiertos para el servidor de protocolo de inicio y el cliente de protocolo de inicio del servicio Bootp respectivamente.
Descripción del puerto: Los puertos 67 y 68 son puertos abiertos para el servidor de protocolo Bootstrap y el cliente de protocolo Bootstrap que sirven a Bootp. El servicio Bootp es un protocolo de arranque remoto que se originó en los primeros Unix. El servicio DHCP que usamos ahora es una ampliación del servicio Bootp. A través del servicio Bootp, puede asignar dinámicamente direcciones IP a computadoras en la LAN sin configurar direcciones IP estáticas para cada usuario.
Vulnerabilidad del puerto: si el servicio Bootp está activado, los piratas informáticos suelen utilizar la dirección IP asignada como enrutador local para realizar ataques de forma "intermediaria".
Sugerencias de operación: Se recomienda cerrar este puerto.
Puerto 69: TFTP es un protocolo sencillo de transferencia de archivos desarrollado por Cisco, similar a FTP.
Descripción del puerto: El puerto 69 está abierto para el servicio TFTP (Protocolo trivial de transferencia de archivos). TFTP es un protocolo simple de transferencia de archivos desarrollado por Cisco, similar a FTP. Sin embargo, en comparación con FTP, TFTP no tiene interfaces de acceso interactivas complejas ni controles de autenticación. Este servicio es adecuado para la transmisión de datos entre clientes y servidores y no requiere un entorno de intercambio complejo.
Vulnerabilidad del puerto: muchos servidores proporcionan tanto el servicio TFTP como el servicio Bootp, que se utilizan principalmente para descargar el código de inicio del sistema. Sin embargo, debido a que el servicio TFTP puede escribir archivos en el sistema, un pirata informático también puede aprovechar una mala configuración de TFTP para obtener cualquier archivo del sistema.
Sugerencias de operación: Se recomienda cerrar este puerto.
Puerto 79: El puerto 79 está abierto para el servicio Finger y se utiliza principalmente para consultar información detallada, como los usuarios en línea del host remoto, el tipo de sistema operativo, si el búfer se desborda, etc.
Descripción del puerto: el puerto 79 está abierto para el servicio Finger y se utiliza principalmente para consultar información detallada, como usuarios en línea del host remoto, tipo de sistema operativo, desbordamiento del búfer, etc. Por ejemplo, para mostrar la información del usuario01 en la computadora remota www.abc.com, escribiría "finger user01@www.abc.com" en la línea de comando.
Vulnerabilidades de puertos: generalmente, los piratas informáticos quieren atacar la computadora de la otra parte y obtener información relevante utilizando las herramientas de escaneo de puertos correspondientes. Por ejemplo, al utilizar "Streamer", pueden escanear la versión del sistema operativo de la computadora remota en busca de información del usuario mediante el puerto 79 y también pueden detectar errores conocidos de desbordamiento del búfer. De esta forma, es fácil que lo pirateen. Además, el puerto 79 también lo utiliza como puerto predeterminado la compañía troyana Firehotcker.
Sugerencias de operación: Se recomienda cerrar este puerto.
Puerto 80: El puerto 80 está abierto para HTTP (Protocolo de transferencia de hipertexto). HTTP es el protocolo más utilizado para navegar por Internet y se utiliza principalmente para transmitir información en servicios WWW (World Wide Web).
Descripción del puerto: El puerto 80 está abierto para HTTP (Protocolo de transferencia de hipertexto). HTTP es el protocolo más utilizado en Internet y se utiliza principalmente para transmitir información en servicios WWW (World Wide Web). Podemos acceder al sitio web agregando ":80" (comúnmente conocido como "dirección del sitio web") a la dirección HTTP, por ejemplo: 80. Debido a que el número de puerto predeterminado del servicio de navegación web es 80, solo necesitamos ingresar la URL en lugar de ":80".
Vulnerabilidad del puerto: Algunos troyanos pueden utilizar el puerto 80 para atacar ordenadores, como Executor y RingZero.
Sugerencias de funcionamiento: Para poder acceder a Internet con normalidad se debe abrir el puerto 80.
Puerto 99: El puerto 99 se utiliza para un servicio llamado "Metagram Relay" (retardo de subcontramedida). Este servicio es relativamente raro y generalmente no se utiliza.
Descripción del puerto: el puerto 99 se utiliza para un servicio llamado "Metagram Relay". Este servicio es relativamente raro y generalmente no se utiliza.
Vulnerabilidad de puerto: Aunque el servicio "Metagram Relay" no se utiliza habitualmente, troyanos como puertos ocultos y NCx99 utilizan este puerto. Por ejemplo, en Windows 2000, NCx99 puede vincular el programa cmd.exe al puerto 99, de modo que pueda usar Telnet para conectarse al servidor, agregar usuarios y cambiar permisos a voluntad.
Recomendación: Se recomienda cerrar este puerto.
Puertos 109 y 110: El puerto 109 está abierto para el servicio Post Office Protocol 2 (Post Office Protocol Version 2) y el puerto 110 está abierto para el servicio POP3 (Mail Protocol 3) Tanto POP2 como POP3. Se utilizan principalmente para recepción.
Descripción del puerto: el puerto 109 está abierto para el servicio Post Office Protocol 2 (Post Office Protocol Version 2) y el puerto 110 está abierto para el servicio POP3 (Mail Protocol 3). POP2 y POP3 se utilizan principalmente para recibir correos electrónicos. En la actualidad, POP3 se utiliza ampliamente y muchos servidores admiten tanto POP2 como POP3. El cliente puede utilizar el protocolo POP3 para acceder al servicio de correo del servidor. La mayoría de los servidores de correo del ISP utilizan ahora este protocolo. Cuando utilice un programa cliente de correo electrónico, se le pedirá que ingrese la dirección del servidor POP3. De forma predeterminada, se utiliza el puerto 110.
Vulnerabilidades del puerto: Si bien POP2 y POP3 brindan servicios de recepción de correo, también tienen muchas vulnerabilidades. Hay no menos de 20 vulnerabilidades de búfer de intercambio de nombres de usuario y contraseñas sólo en el servicio POP3. Por ejemplo, el servidor POP3 WebEasyMail tiene una vulnerabilidad de fuga de información de nombre de usuario legítima, que permite a atacantes remotos verificar la existencia de cuentas de usuario. Además, el puerto 110 también lo utilizan troyanos como el troyano ProMail, y el nombre de usuario y la contraseña de la cuenta POP pueden robarse a través del puerto 110.
Sugerencias de operación: si está ejecutando un servidor de correo, puede abrir este puerto.
Puerto 111: El puerto 11 es el puerto abierto del servicio RPC (Llamada a procedimiento remoto) de SUN, que se utiliza principalmente para la comunicación de procesos internos de diferentes computadoras en un sistema distribuido. RPC es un componente importante en varios servicios de red.
Descripción del puerto: El puerto 111 es el puerto abierto del servicio RPC (llamada a procedimiento remoto) de SUN, que se utiliza principalmente para la comunicación de procesos internos de diferentes computadoras en un sistema distribuido. RPC es un componente muy importante en varios servicios de red. Los servicios RPC comunes incluyen rpc.mountd, NFS, rpc.statd, RPC.csmd, rpc.ttybd, amd, etc. En Microsoft Windows, también existen servicios RPC.
Vulnerabilidad del puerto: SUN RPC tiene una gran vulnerabilidad, es decir, la función xdr_array tiene una vulnerabilidad de desbordamiento remoto del búfer cuando hay múltiples servicios RPC. Esta vulnerabilidad permite a los atacantes pasar super.
Puerto 113: El puerto 113 se utiliza principalmente para el "servicio de autenticación" de Windows.
Descripción del puerto: El puerto 113 se utiliza principalmente para el "servicio de autenticación" de Windows. Generalmente, las computadoras conectadas a la red ejecutan este servicio, que se utiliza principalmente para autenticar a los usuarios conectados a TCP. A través de este servicio se puede obtener información sobre las computadoras conectadas. En Windows 2000/2003 Server, también hay un componente IAS especial que facilita la autenticación y la gestión de políticas en el acceso remoto.
Vulnerabilidad del puerto: aunque el puerto 113 puede facilitar la autenticación, a menudo se utiliza como grabador para FTP, POP, SMTP, IMAP e IRC, y será utilizado por los troyanos correspondientes, como el troyano de control de salas de chat IRC. caballo. Además, el puerto 113 es también el puerto abierto predeterminado para troyanos como los invisibles Identd Deamon y Kazimas.
Sugerencias de operación: Se recomienda cerrar este puerto.
Puerto 119: El puerto 119 está abierto para el "Protocolo de transferencia de noticias en red" (NNTP).
Descripción del puerto: El puerto 119 está abierto para el "Protocolo de transferencia de noticias en red" (NNTP para abreviar). Se utiliza principalmente para la transmisión de grupos de noticias y se utiliza cuando se buscan servidores USENET.
Vulnerabilidad de puerto: El conocido gusano Happy99 abre el puerto 119 por defecto. Si está infectado, continuará enviando correos electrónicos para propagarse, provocando congestión en la red.
Sugerencias de funcionamiento: si utiliza con frecuencia los grupos de noticias de USENET, tenga cuidado de cerrar el puerto de vez en cuando. Puerto 135: El puerto 135 se utiliza principalmente para utilizar el protocolo RPC (llamada a procedimiento remoto) para proporcionar servicios DCOM (modelo de objetos componentes distribuidos).
Descripción del puerto: El puerto 135 se utiliza principalmente para utilizar el protocolo RPC (llamada a procedimiento remoto) para proporcionar servicios DCOM (modelo de objetos componentes distribuidos). A través de RPC, un programa que se ejecuta en una computadora puede ejecutar código con éxito en una computadora remota. Usando DCOM podemos comunicarnos directamente a través de la red y transferir a través de varias redes, incluido el protocolo HTTP.
Vulnerabilidad del puerto: Se cree que muchos usuarios de Windows 2000 y Windows XP fueron infectados el año pasado con el virus "Shockwave", que aprovechó las vulnerabilidades de RPC para atacar ordenadores. El propio RPC tiene una vulnerabilidad en su manejo del intercambio de mensajes a través de TCP/IP, causada por un manejo inadecuado de mensajes con formato incorrecto. Esta vulnerabilidad afecta la interfaz entre RPC y DCOM, que escucha en el puerto 135.
Sugerencias de operación: Para evitar el ataque del virus "Shock Wave", se recomienda cerrar este puerto.
Puerto 137: El puerto 137 se utiliza principalmente para el "Servicio de nombres NetBIOS".
Descripción del puerto: el puerto 137 se utiliza principalmente para el "Servicio de nombres NetBIOS" y es un puerto UDP. Los usuarios sólo necesitan enviar una solicitud al puerto 137 de una computadora en la LAN o Internet para obtener el nombre de la computadora, el nombre de usuario registrado, si el controlador de dominio principal está instalado y si IIS se está ejecutando.
Vulnerabilidad del puerto: debido a que es un puerto UDP, un atacante puede obtener fácilmente información sobre la computadora de destino enviando una solicitud. Parte de la información se puede utilizar directamente para analizar vulnerabilidades, como los servicios IIS. Además, al capturar los paquetes que se comunican a través del puerto 137, se pueden obtener los tiempos de inicio y apagado de la computadora objetivo para atacar utilizando herramientas especiales.
Sugerencias de operación: Se recomienda cerrar este puerto.
Puerto 139: El puerto 139 se proporciona para el "Servicio de sesión NetBIOS" y se utiliza principalmente para proporcionar archivos e impresoras de Windows * * * y servicios Samba en Unix.
Descripción del puerto: el puerto 139 se proporciona para el "Servicio de sesión NetBIOS" y se utiliza principalmente para proporcionar acceso a archivos e impresoras de Windows y al servicio Samba en Unix. En Windows, debes utilizar este servicio para disfrutar de archivos en tu red de área local. Por ejemplo, en Windows 98, puede abrir el "Panel de control", hacer doble clic en el icono "Red", hacer clic en el botón "Archivo e imprimir* * *" en la pestaña "Configuración" y seleccionar las configuraciones correspondientes para instalar y habilite el servicio en Windows En 2000/XP, puede abrir el "Panel de control" y hacer doble clic en el icono "Conexión de red" para abrir las propiedades de la conexión local; luego, seleccione Protocolo de Internet (TCP/IP) en la pestaña General; de la ventana de propiedades y haga clic en el botón Propiedades; luego, en la ventana que se abre, haga clic en el botón Avanzado, seleccione la pestaña WINS en la ventana Configuración avanzada de TCP/IP y habilite NetBIOS sobre TCP/IP en el área de Configuración de NetBIOS.
Vulnerabilidad del puerto: aunque abrir el puerto 139 puede proporcionar * * * servicios de acceso, los atacantes suelen aprovecharlo para realizar ataques. Por ejemplo, utilizando herramientas de escaneo de puertos como Streamer y SuperScan, puede escanear la computadora de destino en busca del puerto 139. Si encuentra una vulnerabilidad, puede intentar obtener el nombre de usuario y la contraseña, lo cual es muy peligroso.
Sugerencias de operación: Si no necesita proporcionar archivos e impresoras, se recomienda cerrar este puerto.
Puerto 143: El puerto 143 se utiliza principalmente para el "Protocolo de acceso a mensajes de Internet" V2 (Protocolo de acceso a mensajes de Internet, denominado IMAP).
Descripción del puerto: el puerto 143 se utiliza principalmente para el "Protocolo de acceso a mensajes de Internet" V2 (denominado Protocolo de acceso a mensajes de Internet), que, al igual que POP3, es un protocolo para recibir correo electrónico. A través del protocolo IMAP podemos conocer el contenido de la carta sin recibir el correo electrónico, facilitando la gestión del correo electrónico en el servidor. Sin embargo, es más responsable que el protocolo POP3. Hoy en día, la mayoría de los principales programas de clientes de correo electrónico admiten este protocolo.
Vulnerabilidad del puerto: Al igual que el puerto 110 del protocolo POP3, el puerto 143 utilizado por IMAP también tiene una vulnerabilidad de desbordamiento del buffer, a través del cual se puede obtener el nombre de usuario y la contraseña. Además, un gusano de Linux llamado "admv0rm" utilizará este puerto para propagarse.
Sugerencias de operación: Si no es una operación del servidor IMAP, se debe cerrar el puerto.
Puerto 161: El puerto 161 se utiliza para el "Protocolo simple de administración de red" (SNMP para abreviar).
Descripción del puerto: El puerto 161 se utiliza para el "Protocolo simple de administración de red" (abreviado SNMP), que se utiliza principalmente para administrar protocolos de red en redes TCP/IP. En Windows, el servicio SNMP puede proporcionar información de estado de hosts y varios dispositivos de red en la red TCP/IP. Actualmente, casi todos los fabricantes de equipos de red admiten SNMP. ?
Para instalar el servicio SNMP en Windows 2000/XP, primero podemos abrir el Asistente de componentes de Windows, seleccionar Herramientas de administración y monitoreo en el componente, hacer clic en Detalles para ver el Protocolo simple de administración de red (SNMP) y luego seleccione este componente. Luego, haga clic en Siguiente para instalar.
Vulnerabilidades de puerto: dado que SNMP se puede usar para obtener información de estado de varios dispositivos en la red y también se puede usar para controlar dispositivos de red, los piratas informáticos pueden controlar completamente la red a través de vulnerabilidades de SNMP.
Sugerencias de operación: Se recomienda cerrar el puerto 443: El puerto 443 es un puerto de navegación web, utilizado principalmente para servicios HTTPS. Es otro tipo de HTTP que proporciona cifrado y transmisión a través de un puerto seguro.
Descripción del puerto: Puerto 443, puerto de navegación web, utilizado principalmente para el servicio HTTPS, es otro HTTP que proporciona cifrado y transmisión a través de un puerto seguro. En algunos sitios web con mayores requisitos de seguridad, como bancos, valores, compras, etc. , utilizando servicios HTTPS, de modo que la información intercambiada en estos sitios web no pueda ser vista por otros, garantizando la seguridad de las transacciones. La dirección de la página web puede transferir los archivos multimedia en streaming a RealPlayer para su reproducción, lo que puede maximizar eficazmente el uso del ancho de banda de red limitado. Los archivos de streaming transmitidos generalmente son publicados por servidores reales, incluidos. rm y. RAM. Muchos programas de descarga ahora admiten el protocolo RTSP, como FlashGet, cinta transportadora de audio y video, etc. ?
Vulnerabilidades del puerto: las vulnerabilidades actuales descubiertas en el protocolo RTSP son principalmente la vulnerabilidad de desbordamiento del búfer del servidor universal Helix lanzado por RealNetworks en los primeros días. Relativamente hablando, el puerto 554 utilizado es seguro.
Sugerencias de operación: Para disfrutar y descargar archivos multimedia en streaming con protocolo RTSP, se recomienda abrir el puerto 554.
Puerto 1024: Generalmente, el puerto 1024 no está fijo para un determinado servicio, y se interpreta como "Reservado" en inglés.
Descripción del puerto: Generalmente, el puerto 1024 no está asignado a un servicio y se interpreta como "Reservado" en inglés. Anteriormente mencionamos que el rango de puertos dinámicos es de 1024 a 65535, y 1024 es el comienzo de los puertos dinámicos. Este puerto suele asignarse al primer servicio aplicado al sistema. Cuando se cierre el servicio, se liberará el puerto 1024, en espera de otras llamadas de servicio.
Vulnerabilidad de puerto: El famoso virus troyano YAI utiliza el puerto 1024 por defecto. A través de este troyano, puede controlar remotamente la computadora objetivo, obtener la imagen de la pantalla de la computadora, registrar eventos del teclado, obtener contraseñas, etc. , las consecuencias son graves.
Sugerencias de operación: el software antivirus general puede detectar y eliminar fácilmente los virus YAI. Se recomienda abrir este puerto después de confirmar que no hay ningún virus YAI.