¿Cuáles podrían ser las amenazas de tener los puertos abiertos, después de realizar un escaneo de nmap e identificar los puertos abiertos?
Ya busqué algunos responde para esta pregunta, pero no pudo encontrar nada específico. ¿Hay algún problema en particular con todos y cada uno de los puertos o esas amenazas son comunes para todos ellos?
Un puerto abierto es una superficie de ataque. El daemon que está enlistado en un puerto, podría ser vulnerable a un desbordamiento del búfer, u otra vulnerabilidad explotable de forma remota.
Un principio importante en seguridad es reducir la superficie de ataque y garantizar que los servidores tengan el número mínimo de servicios expuestos.
Algunos pensamientos en C, I, A:
Confidencialidad: Los puertos abiertos (en realidad, los programas que escuchan y responden a ellos) pueden revelar información sobre el sistema o la arquitectura de la red. Pueden filtrar banners, versiones de software, contenido, el hecho de que exista un sistema (en lugar de dejar caer el paquete) y qué tipo de sistema es (por ejemplo, nmap puede hacer huellas digitales en los sistemas). La respuesta de Rook me hizo pensar en esto.
Integridad: Sin los controles de puerto abierto, el software puede abrir cualquier puerto candidato e inmediatamente comunicarse sin obstáculos. Con frecuencia, los juegos, los programas de chat y otro software útil confían en esto, pero no es deseable para el malware.
Disponibilidad: La pila de la red y los programas en puertos abiertos, incluso si las solicitudes no son válidas, aún procesan el tráfico entrante. Incluso si la electricidad no es un problema, las soluciones tecnológicas aún tienen recursos limitados: la degradación o la denegación de servicio resultan de encontrar una manera de comprometer un puerto, una pila de red, una computadora, su hardware, su red o las personas para que no puedan hacerlo. mucho más.
En relación con la integridad y la disponibilidad, una cantidad abrumadora de eventos y sus registros pueden ocultar la actividad maliciosa (como explotar algo que no se está viendo para obtener acceso) y provocar fatiga y errores administrativos. También es posible el uso indebido potencial de ciertos servicios, al obligar al sistema a participar en DDoSing a otra persona.
Volviendo a la respuesta de Rook, cuanto menor sea la superficie de ataque, menor será el control de tus recursos (y posiblemente de otras personas) que le das a los posibles atacantes.
En las redes IP, se establece una conexión de red creando una sesión entre puertos de dos dispositivos.
En términos generales, el dispositivo de conexión usará un puerto 'alto' aleatorio y se conectará a un número de puerto conocido en el dispositivo de destino, por ejemplo, una computadora portátil con un navegador de Internet se conectará normalmente al puerto 80 (HTTP) o al puerto 443 ( HTTPS) de un servidor web.
Hay un gran número de puertos conocidos para servicios comunes en el rango inferior de números de puertos.
Cuando un escaneo ha identificado puertos abiertos, es el resultado de algún tipo de respuesta del dispositivo escaneado como resultado de intentos de conexión (o similar) a un puerto en particular. Cuando se informa que un puerto está abierto, es una indicación de que el dispositivo escaneado tiene algún tipo de servicio que utiliza el puerto para comunicarse de alguna manera.
Los puertos abiertos no siempre son un riesgo para la seguridad, por ejemplo, un servidor web debe tener 80 o 443 abiertos, de lo contrario los usuarios no pueden conectarse para usar el servidor web.
Sin embargo, los puertos abiertos asociados con servicios innecesarios pueden ser un riesgo de seguridad si el software al que están asociados tiene vulnerabilidades o el componente no se ha configurado de forma segura.
Lea otras preguntas en las etiquetas nmap