Salam əziz oxucular, bu gün sizə port zəiflikləri, şəbəkə təhlükəsizliyi baxımından mühüm əhəmiyyət kəsb edir. İnternetdə və ya lokal şəbəkələrdə cihazlar arasında ünsiyyət portlar vasitəsilə həyata keçirilir. Müxtəlif xidmətlər (HTTP, FTP, SSH, və s.) fərqli portlardan istifadə edir. Zəif qorunan və ya açıq portlar, kibercinayətkarlar üçün şəbəkəyə daxil olmaq və ya zərərli fəaliyyətlər həyata keçirmək üçün fürsət yaradır. Bu məqalədə port zəifliklərinin nə olduğunu, onların təhlükəsizlik baxımından əhəmiyyətini və qorunma üsullarını ətraflı şəkildə izah edəcəyik.
Bəs baxaq görək port nədir və necə işləyir?
Port, şəbəkədə müəyyən bir xidməti və ya tətbiqi təyin edən nömrələnmiş interfeysdir. Hər bir port müəyyən bir tətbiq və ya xidmətlə əlaqələndirilir.Nümunə üçün
Port 80 – HTTP (veb serverlər üçün)
Port 443 – HTTPS (təhlükəsiz veb bağlantılar üçün )
Port 22 – SSH (şəbəkə avadanlıqlarına uzaqdan qoşulma)
Port 25 – SMTP (email göndərilməsi)
Portlar əsasən bir neçə kateqoriyayay bölünür.
Əsas çox istifadə olunan portlar (0-1023): Məşhur xidmətlər və protokollar üçün rezervasiya olunmuşdur.
Qeydiyyatdan keçmiş portlar (1024-49151): Xüsusi tətbiqlər və xidmətlər üçün istifadə olunur.
Dinamik və şəxsi portlar (49152-65535): Müvəqqəti bağlantılar üçün təyin edilir.
Port zəiflikləri, bir portun düzgün şəkildə konfiqurasiya edilməməsi, yenilənməyən xidmətlər və ya həddindən artıq çox açıq portun olması səbəbindən yaranır. Əsas zəiflik nümunələri hansılardır?
Açıq portlar kibercinayətkarlar üçün şəbəkəyə giriş nöqtəsi yaradır. Şəbəkədə istifadəsiz qalan açıq portlar “port scanning” alətləri ilə asanlıqla aşkar edilə bilər,Məsələn, FTP kimi köhnəlmiş və təhlükəsiz olmayan protokollar istifadə olunarsa, məlumatların ələ keçirilməsi riski artır.Əsasda bir portun düzgün qorunmaması, məsələn, şifrəsiz SSH girişləri və ya lazımsız xidmətlərin aktiv olması, zəifliklərə səbəb ola bilər.Kibercinayətkarlar, Trojan və ya digər zərərli proqramların fəaliyyətini maskalamaq üçün məlum portlardan istifadə edə bilərlər.
Kiber cinayətkarlar adətən zəif portlardan sitifadə edərək hecum edirlər.Aşağıdakı nümunərə baxaq
Əhəmiyyatli dataların sızması
Açıq portlar, məlumatların oğurlanmasına və ya hədəf sistemlərdən məlumatların çıxarılmasına səbəb ola bilər.
DDoS hücumları
Hücumçular açıq portları istifadə edərək serverlərə DDoS (Distributed Denial of Service) hücumları təşkil edə bilər.
İcazəs girişlərə cəhdlər
SSH və RDP kimi uzaqdan giriş portlarının zəif qorunması, kibercinayətkarların sistemə icazəsiz daxil olmasına imkan verir.
Sistemə malware yerləşdirilməsi
Zəifliklərdən istifadə edən hücumçular zərərli proqram yerləşdirərək sistemi və ya şəbəkəni nəzarət altına ala bilər.
Bəs bu port zəiflikləri vardırsa bundan qorunma yolları necə olur?
Firewall istifadə edin
Gərəksiz portları bağlayın.
Şəbəkə daxilində yalnız müəyyən cihazlara və servislərə giriş icazəsi verin.
Port axtarışı
Tez-tez olaraq “Nmap”, “OpenVAS” kimi alətlərdən istifadə edərək şəbəkədəki açıq portları scan edin və zəiflikləri müəyyən edin.
Köhnəlmiş protokollardan istifadə etməyin
TLS/SSL kimi müasir şifrələmə protokollarından istifadə edin və FTP, Telnet kimi köhnəlmiş xidmətləri deaktiv edin.
Güclü şifrələr və iki faktorlu təhlükəsizlik həlləri sitifadə edin
SSH və RDP kimi xidmətlər üçün güclü şifrələrdən və iki faktorlu autentifikasiyadan istifadə edin.
Update və təhlükəsizlik yamaları
Şəbəkədəki cihazlar və tətbiqlər üçün mütəmadi olaraq təhlükəsizlik yeniləmələri tətbiq edin.
Şəbəkənin VLAN-a bölün
Şəbəkəni fərqli seqmentlərə bölərək hər seqmentə uyğun təhlükəsizlik qaydaları tətbiq edin.
Yuxarıda qeyd etdiyimiz həll yolarını necə istifadə edəcəyik?
Nmap ilə açıq portları tapmaq üçün
Nmap açıq portları aşkar etmək üçün güclü bir alətdir. Terminaldan istifadə edərək aşağıdakı komandanı icra edin.Burda -sS: TCP SYN paremetri axtarışını həyata keçirir,-p- paremetiri isə bütün portları yoxlayır.
nmap -sS -p- <IP ünvanı>
Müəyyən edilmiş açıq portları bağlamaq üçün iptables və ya ufw istifadə edə bilərsiniz
sudo iptables -A INPUT -p tcp --dport 8080 -j DROP
Məsələn 22 portunu bağlamaq üçün aşağıdakı komandanı yazmalıyıq
sudo ufw deny 22
Məsəslən SSH servisinə yalnız müəyyən bir IP-dən girişə icazə vermək üçün aşağıdakı komandanı yazmalıyıq.
sudo ufw allow from 192.168.1.100 to any port 22
Digər təhlükəsizlik həllərindən biridə köhnəlmiş protokolları deaktiv etmək FTP-nin deaktiv edilməsi (Linux) distroları üçün
sudo systemctl stop vsftpd sudo systemctl disable vsftpd
Əgər telnet istifadə olunursa, aşağıdakı komanda ilə deaktiv edə bilərsiniz
sudo systemctl stop telnet sudo systemctl disable telnet
SSH üçün köhnə protokolları deaktiv edib, müasir təhlükəsizlik standartlarına uyğunlaşmaq vacibdir.SSH-da yalnız güclü protokolları aktiv etmək üçün /etc/ssh/sshd_config faylını redaktə edin
Protocol 2
Zəif şifrələri deaktiv edin və yalnız güclü şifrələmə alqoritmlərindən istifadə edin aşağıdakı nümunə komandadan sitifadə edin.Sonra SSH servisini yenidən başladın
Ciphers aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-256,hmac-sha2-512
sudo systemctl restart sshd
Mütəmadi monitorinq üçün təhlükəsizlik alətlərindən istifadə edərək Açıq portların və servis zəifliklərini yoxlamaq üçün istifadə olunan açıq mənbəli zəiflik axtarış alətidir.
sudo apt update sudo apt install openvas sudo gvm-setup
Fail2Ban yükləmək üçün SSH və digər xidmətlərdə brute force hücumlarının qarşısını almaq üçün istifadə olunur.
qurşdırma və aktivləşdirmə üçün
sudo apt update sudo apt install fail2ban
SSH üçün xüsusi qaydalar əlavə etmək üçün aşağıdakı komadaya baxaq
sudo nano /etc/fail2ban/jail.local
[sshd] enabled = true port = ssh maxretry = 5
Dəyişiklikləri etdikdən sonra isə fail2ban servisini restart edirik.
sudo systemctl restart fail2ban
