web-dev-qa-db-ja.com

非標準のポートとプロトコルとは

私はセキュリティ分野に不慣れで、アプリケーションが安全かどうかを確認する方法について読んでいます。チェックの1つは、アプリが非標準のセキュリティポートとプロトコルを使用しているかどうかを確認することです。ただし、数千のポートとかなりの数のプロトコルがあります。

  • 非標準のポートとプロトコルを構成するものは何ですか?
  • すぐにレッドフラグを立てる必要があるポートとプロトコルは何ですか?
7
E.N.D

非標準ポートとは、デフォルト以外のポートで実行されているサービスを意味し、通常は IANAポート番号レジストリ で定義されています。

非標準のポートでサービスを実行しても、セキュリティ上の理由は何もありません。これは、ボットが通常脆弱性の一般的な標準ポートを対象とするインターネットでの自動スキャンに関して、防御者が対処しなければならないノイズの量を減らす可能性があります。 SSHを22からたとえば55522に移動すると、ドライブバイブルートフォースの試行回数が減る可能性があります。

システムで実行されているすべてのサービスを見つけるには、nmapまたは同様のツールを使用できます。次にコマンドの例を示します。

nmap -sS -A -Pn -T4 -p1-65535 <Host>

これらのフラグを分解してみましょう。

  • -sSは、nmapにTCP SYNスキャンを実行するように指示します。
  • -Aは、OS検出、サービス検出、およびスクリプトスキャンに関連するさまざまなオプションを有効にします。これは、ポート番号に基づいて推測するのではなく、実際に開いている各ポートと通信してサービスを特定するため、非標準ポート上のサービスを識別するために特に重要です。
  • -Pnは、ホストが起動しているかどうかを確認するためにICMP pingを使用しないようにnmapに指示します。ターゲットがICMP要求をブロックすると、ホストがダウンしていると想定してnmapになります。
  • -T4はスキャンの速度を設定します。有効な引数は0〜5です。私の経験では、ここで4以外を使用する理由はありません。これより少ないものは単に遅くなり、5はTCP ACK応答。
  • -p1-65535はポート範囲を設定します。標準ポートと非標準ポートの両方を探しているので、これがすべてをカバーする唯一の方法です。 -p-を省略形として使用することもできます。

このコマンドの結果には、開いているポートとそれらで実行されているサービスが表示されます。そこから、どのプロトコルが潜在的な攻撃の道であると考えられるかについては未解決の問題です。 SSHやTelnetは便利かもしれませんが、弱いユーザー名とパスワードを使用しない限り、おそらく面白くありません。脆弱なWebアプリケーションが提供されている非標準ポートでHTTPサーバーを実行している可能性があり、それも興味深いかもしれません。可能性は無限大。

18
Polynomial