互联网暴露资产因直接向公众互联网开放,极易遭受来自外部组织或人员的入侵与攻击,是风险管控的高危区域。
作为企业的安全管理,互联网暴露资产的管理是非常重要的一环。应该建立规范的流程严控互联网暴露端口的审批,对互联网暴露出口应尽量缩减收敛减少暴露面,对互联网暴露面进行定期的探测及时发现没有被纳管的暴露面资产,对因为业务需要必须要暴露的资产端口进行有效的访问控制策略等。
本文介绍互联网暴露资产端口的定义、分类及管理。
互联网暴露资产端口定义
互联网暴露端口指信息系统资产、网络设备或终端设备面向互联网开放服务或开放协议的端口(含 NAT 映射端口),该端口可被其他互联网的资产进行主动探测、访问或连接。当某资产至少具备一个互联网暴露端口时,则认定该资产为互联网暴露资产;当某信息系统内部至少具备一台互联网暴露资产时,则认定该信息系统为互联网暴露信息系统。
当互联网暴露资产同时面向内网(或私网)开放服务或开放协议时,相关端口不属于互联网暴露端口,不纳入互联网暴露端口管控范围;当某资产通过互联网主动发起单向通信时,因该资产用于通信服务的端口并未暴露于互联网,也无法被其他互联网资产主动探测、访问或连接,则认定该资产不属于互联网暴露资产,且不具备互联网暴露端口。
互联网暴露端口的判定,与该端口是否已执行访问控制策略不相关。
互联网暴露资产端口分类
互联网暴露资产(含信息系统、网络设备、终端)端口按照其功能用途,可分为业务类端口及管理类端口两大类:
1)业务类端口。具体可细分为以下三类:
- 用户访问端口:主要指各类与用户侧交互的,支撑用户访问服务的端口,如 WEB 访问端口、视频流端口等。
- 平台交互端口:系统内外部服务器间的接口交互、数据交互等服务端口。
- 路由协议端口:常见于路由设备,用于配置路由协议而开放的端口服务,如 BGP边界网关协议端口、OSPF 开放式最短路径优先协议端口等。
2)管理类端口。主要包含实现远程操控管理、后台访问运维、用户数据收集及用户终端主动管控等服务的端口。
互联网暴露资产端口管理
- 尽量缩减收敛减少暴露面,基于最小使用原则,对于高危风险端口应严禁对互联网开放,尤其是管理类端口如数据库、运维管理等端口。如mysql的3306端口、Redis的6379端口等。对于必须要暴露的资产端口进行有效管控,如:制定合理的访问控制策略、加强鉴权等。
- 应该建立互联网暴露资产台账,规范的流程严控互联网暴露端口的审批,动态维护好互联网暴露资产台账。
- 对互联网暴露面进行定期的探测及时发现没有被纳管的暴露面资产,对没有没纳管的暴露面资产进行纳管加强管控或下线,及时维护台账。
常见的高危风险端口
高危端口号(默认)22(TCP)协议或服务SSH (Secure Shell),安全外壳协议应用场景或应用组件远程登录、SSH 端口转发端口用途说明SSH 协议的服务连接端口,可用于进行远程操作维护端口类别管理类端口风险描述弱口令、未授权访问、暴力破解、信息泄漏、远程命令执行高危端口号(默认)23(TCP)协议或服务Telnet ( 远程终端协议)应用场景或应用组件远程登录端口用途说明Telnet 协议的服务连接端口,可用于进行远程操作维护端口类别管理类端口风险描述弱口令、未授权访问、暴力破解、信息泄漏、远程命令执行高危端口号(默认)161(UDP)协议或服务SNMP(Simple Network Management Protocol,简单网络管理协议)端口用途说明可用于对网络设备进行远程信息读取、管理和配置端口类别管理类端口风险描述爆破默认团队字符串,导致信息泄漏高危端口号(默认)111(TCP/UDP)、2049(TCP/UDP)协议或服务NFS(Network File System),网络文件系统端口用途说明用于远程文件传输端口类别业务类端口(用户访问端口、平台交互端口)风险描述权限配置不当高危端口号(默认)3306(TCP)协议或服务MySQL(数据库)端口用途说明MySQL 是一款开源关系数据库管理系统。该端口端口用于数据库远程管理和连接端口类别管理类端口、业务类端口(平台交互端口)风险描述暴力破解、信息泄漏、远程命令执行高危端口号(默认)6379(TCP)协议或服务Redis(数据库)端口用途说明Redis 默认管理和服务端口端口类别管理类端口风险描述可能会存在未授权访问,或者进行弱口令爆破;获得访问权限后,可能存在任意文件写入导致获取系统远程控制权限。高危端口号(默认)27017(TCP)、27018(TCP)、27019(TCP)协议或服务MongoDB(数据库)端口用途说明用于 MongoDB 数据库的远程管理和服务,以及集群间通信端口类别管理类端口、业务类端口(平台交互端口)风险描述爆破,未授权访问高危端口号(默认)1433(TCP)、1434(UDP)协议或服务SQLServer(数据库)端口用途说明SQL Server 是 Microsoft 公司推出的关系型数据库管理系统。
1433(默认)端口用于数据库远程管理和连接,1434(默认)用于命名服务端口类别管理类端口、业务类端口(平台交互端口)风险描述提权,弱口令,爆破;早期版本还存在远程命令执行漏洞高危端口号(默认)1521(TCP)协议或服务Oracle(甲骨文数据库)端口用途说明Oracle 是甲骨文公司的一款关系数据库管理系统。该端口端口用于数据库远程管理和连接端口类别管理类端口、业务类端口(平台交互端口)风险描述暴力破解、信息泄漏、远程命令执行高危端口号(默认)5432(TCP)协议或服务PostgreSQL(数据库)端口用途说明PostgreSQL 是一款开源关系数据库管理系统。该端口用于数据库远程管理和连接端口类别管理类端口、业务类端口(平台交互端口)风险描述暴力破解、信息泄漏、远程命令执行高危端口号(默认)3389(TCP)协议或服务Windows RDP(远程桌面协议)端口用途说明用于访问服务器的远程桌面服务,提供基于图形界面的远程操作维护功能。端口类别管理类端口风险描述暴力破解,远程控制高危端口号(默认)5800(TCP),5900(TCP)协议或服务VNC(Virtual Network Console),虚拟网络控制台端口用途说明VNC 是一款远程桌面和远程控制软件,5800 和 5900(默认)端口均为 VNC 服务启动端口或远端控制端口端口类别管理类端口风险描述暴力破解,远程控制
版权归原作者 xiejava1018 所有, 如有侵权,请联系我们删除。