كيفية إغلاق منافذ Windows. أساسيات منافذ الشبكة كيفية إغلاق المنفذ 135

كل يوم ، يواجه مالكو أجهزة الكمبيوتر عددًا كبيرًا من البرامج والفيروسات الخطيرة التي تظهر بطريقة ما HDDوتسبب في تسرب البيانات الهامة وتعطل جهاز الكمبيوتر الخاص بك وسرقة المعلومات المهمة وغيرها من المواقف غير السارة.

غالبًا ما تكون أجهزة الكمبيوتر التي تعمل على أنظمة تشغيل Windows من أي إصدار ، سواء كانت 7 أو 8 أو 10 أو أي إصدار آخر ، مصابة. السبب الرئيسي لهذه الإحصائية هو الاتصالات الواردة بجهاز الكمبيوتر أو "المنافذ" ، وهي نقطة ضعفأي نظام بسبب توافره الافتراضي.

كلمة "المنفذ" هي مصطلح يشير إلى الرقم التسلسلي للاتصالات الواردة التي يتم توجيهها إلى جهاز الكمبيوتر الخاص بك من برنامج خارجي. غالبًا ما يتم استغلال هذه المنافذ بواسطة فيروسات تخترق جهاز الكمبيوتر الخاص بك بسهولة باستخدام شبكة IP.

منتشر البرمجياتبمجرد دخوله إلى جهاز الكمبيوتر من خلال هذه الاتصالات الواردة ، فإنه يصيب بسرعة جميع الملفات المهمة ، ليس فقط ملفات المستخدم ، ولكن أيضًا ملفات النظام. لتجنب ذلك ، نوصي بإغلاق جميع المنافذ القياسية التي يمكن أن تصبح نقطة ضعفك عند مهاجمتها من قبل المتسللين.

ما هي أكثر المنافذ ضعفًا في نظام التشغيل Windows 7-10؟

تظهر العديد من الدراسات واستطلاعات رأي الخبراء أن ما يصل إلى 80٪ من الهجمات الخبيثة وعمليات الاختراق حدثت باستخدام المنافذ الأربعة الرئيسية المستخدمة للتبادل السريع للملفات بين إصدارات مختلفة من Windows:

  • منفذ TCP 139 مطلوب من أجل الاتصال عن بعدوالتحكم في الكمبيوتر الشخصي ؛
  • منفذ TCP 135 لتنفيذ الأوامر ؛
  • منفذ TCP 445 لنقل الملفات بسرعة ؛
  • منفذ UDP 137 ، والذي من خلاله بحث سريععلى جهاز كمبيوتر.

إغلاق المنفذين 135-139 و 445 في Windows

ندعوك لتتعرف أكثر على نفسك بطرق بسيطةإغلاق منافذ الويندوز التي لا تتطلب معرفة ومهارات مهنية إضافية.

باستخدام سطر الأوامر

أمر سلسلة Windowsعبارة عن غلاف برمجي يُستخدم لتعيين وظائف ومعلمات معينة إلى برنامج لا يحتوي على غلاف رسومي خاص به.

لتشغيل سطر الأوامر ، يجب عليك:

  1. اضغط على مجموعة المفاتيح Win + R في نفس الوقت
  2. في سطر الأوامر الذي يظهر ، أدخل CMD
  3. انقر فوق الزر "موافق"

ستظهر نافذة عمل بخلفية سوداء ، حيث من الضروري إدخال الأوامر التالية واحدة تلو الأخرى. بعد إدخال كل سطر ، اضغط على مفتاح Enter لتأكيد الإجراء.
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 135 name = "Block1_TCP-135"(أمر لإغلاق المنفذ 135)
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 137 name = "Block1_TCP-137"(أمر لإغلاق المنفذ 137)
netsh advfirewall firewall إضافة قاعدة dir = قيد العمل = بروتوكول حظر = tcp localport = 138 اسم = "Block1_TCP-138"(أمر لإغلاق المنفذ 138)
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 139 اسم = "Block_TCP-139 ″(أمر لإغلاق المنفذ 139)
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 445 name = "Block_TCP-445"(أمر لإغلاق المنفذ 445)
netsh advfirewall firewall إضافة قاعدة dir = قيد التشغيل = بروتوكول حظر = tcp localport = 5000 اسم = "Block_TCP-5000"

الأوامر الستة التي قدمناها ضرورية من أجل: إغلاق 4 منافذ Windows TCP ضعيفة (مفتوحة افتراضيًا) ، وإغلاق منفذ UDP 138 ، وكذلك إغلاق المنفذ 5000 ، المسؤول عن سرد الخدمات المتاحة.

إغلاق المنافذ ببرامج الطرف الثالث

إذا كنت لا تريد أن تضيع الوقت في العمل مع سطر الأوامر، ندعوك للتعرف على تطبيقات الطرف الثالث... يتمثل جوهر هذا البرنامج في تحرير التسجيل بتنسيق الوضع التلقائيبواجهة رسومية ، دون الحاجة إلى إدخال أمر يدوي.

وفقا لمستخدمينا ، أكثر برنامج شعبيلهذه الأغراض هو Windows Doors Cleaner. سيساعدك على إغلاق المنافذ بسهولة على جهاز كمبيوتر يعمل بنظام Windows 7/8 / 8.1 / 10. الإصدارات القديمة من أنظمة التشغيل غير مدعومة للأسف.

كيفية العمل مع برنامج يغلق المنافذ

من أجل استخدام Windows Doors Cleaner ، يجب عليك:

1. قم بتنزيل البرنامج وتثبيته
2. قم بتشغيل البرنامج بالنقر بزر الماوس الأيمن على الاختصار واختيار "تشغيل كمسؤول"
3. في نافذة العمل الظاهرة ، ستكون هناك قائمة بالمنافذ والأزرار "إغلاق" أو "تعطيل" التي تغلق الموانئ المعرضة للخطرويندوز ، وكذلك أي نظام آخر في الإرادة
4. بعد إجراء التغييرات اللازمة ، تحتاج إلى إعادة تشغيل النظام

ميزة أخرى للبرنامج هي حقيقة أنه يمكن استخدامه ليس فقط لإغلاق المنافذ ، ولكن أيضًا لفتحها.

استخلاص النتائج

لا يعد إغلاق منافذ الشبكة الضعيفة في Windows حلاً شاملاً لجميع العلل. من المهم أن تتذكر أنه لا يمكن تحقيق أمان الشبكة إلا من خلال إجراءات شاملة تهدف إلى إغلاق جميع نقاط الضعف في جهاز الكمبيوتر الخاص بك.

للسلامة مستخدم Windowsيجب أن تؤسس بالضرورة التحديثات الهامةمن Microsoft ، مرخص لها برنامج مكافحة فيروسات وجدار ناري ممكّن ، استخدم البرامج الآمنة فقط ، واقرأ بانتظام مقالاتنا التي نتحدث فيها عن جميع الطرق الحالية لتحقيق إخفاء الهوية وأمان بياناتك.

أنت تعرف أكثر طرق مريحةإغلاق منافذ الشبكة؟ شارك معرفتك في التعليقات ولا تنس إعادة نشر المقالة على صفحتك. يشارك معلومات مفيدةمع أصدقائك ولا تمنح المتسللين فرصة لإيذاء أحبائك!

بالأمس شن أشخاص مجهولون هجومًا هائلًا آخر بمساعدة فيروس رانسومواري. وقال خبراء إن العشرات تضرروا الشركات الكبيرةفي أوكرانيا وروسيا. يسمى فيروس رانسومواري Petya.A (ربما سمي الفيروس باسم بترو بوروشينكو). يكتبون أنه إذا قمت بإنشاء ملف perfc (بدون ملحق) ووضعه في C: \ Windows \ ، سيتجاوزك الفيروس. إذا بدأ جهاز الكمبيوتر الخاص بك في إعادة التشغيل وبدأ "فحص القرص" ، فأنت بحاجة إلى إيقاف تشغيله على الفور. سيمنحك التمهيد من قرص حي أو محرك أقراص USB الوصول إلى الملفات. هناك طريقة أخرى للحماية وهي إغلاق المنافذ 1024-1035 و 135 و 445. سنكتشف الآن كيفية القيام بذلك باستخدام مثال Windows 10.

الخطوة 1
اذهب إلى جدار حماية Windows (من الأفضل اختيار وضع الأمان المحسن) ، حدد علامة التبويب " خيارات اضافية».
نختار علامة التبويب " قواعد الداخل"، ثم العمل" إنشاء قاعدة"(في العمود الأيمن).

الخطوة 2
حدد نوع القاعدة - " للميناء". في النافذة التالية ، حدد العنصر " بروتوكول TCP"، حدد المنافذ التي تريد إغلاقها. في حالتنا ، " 135, 445, 1024-1035 "(بدون اقتباسات).

الخطوه 3
نختار العنصر " اتصال بلوك"، في النافذة التالية حدد جميع الملفات الشخصية: مجال ، خاص ، عام.

الخطوة 4
يبقى أن نبتكر اسمًا للقاعدة (بحيث يسهل العثور عليه في المستقبل). يمكنك تحديد وصف للقاعدة.

إذا توقفت أي برامج عن العمل أو بدأت في التعطل ، فربما تكون قد أغلقت المنفذ الذي تستخدمه. سوف تحتاج إلى إضافة استثناء جدار الحماية لهم.

135 منفذ TCPتستخدم بواسطة الخدمات البعيدة (DHCP و DNS و WINS وما إلى ذلك) وفي تطبيقات خادم العميل من Microsoft (مثل Exchange).

445 منفذ TCPتستخدم في نظام التشغيل Microsoft Windows 2000 والإصدارات الأحدث للوصول المباشر عبر TCP / IP دون استخدام NetBIOS (على سبيل المثال ، في Active Directory).

النشر

كان الضعف مرعبًا ، صحيح
لم يكن الاستغلال النهائي متاحًا لـ
معظم الناس ... ربما هذا هو السبب
لم يشعر أحد بالخوف ...

مجموعة من الخبراء البولنديين في هذا المجال
الأمان تكنولوجيا الكمبيوتر"الاخير
مرحلة الهذيان "أبلغ الجمهور عن المكتشف
لهم نقاط الضعف ، والتعامل مع كائنات DCOM في
سياق بروتوكول RPC. كان شيئا
مذهل لأن هذا البروتوكول
تستخدم من قبل الجميع تقريبا
الإصدارات الحالية من Windows في هذا الوقت.
أنظمة التشغيل الضعيفة هي Windows NT و Windows XP و Windows 2000
وحتى Windows Server 2003 كان تحت تهديد السلاح. من هذا
كان أكثر من كافٍ للحصول على
أجهزة كمبيوتر معظم المستخدمين
الإنترنت. علاوة على ذلك ، فإن العديد من الخوادم لا تفعل ذلك
تم حظر الحزم الواردة على المنفذ 135 ،
كان هو الذي استُخدم في الهجوم. ماذا او ما
جعلتهم ضحايا محتملين.

لكن بعد ساعات قليلة ، أفاد تود سابين ،
أن كافة خدمات RPC معرضة للخطر. هو - هي
يعني أن تعيين جدار الحماية إلى
لا يكفي حجب المنفذ 135
وسيلة للحماية. تتعرض الأخطار
أجهزة كمبيوتر مفتوحة 135 (UDP / TCP) و 139 و 445 و 593
الموانئ. غطاء إعلامي خطأ معين، كيف
تهديد أمني محتمل
مستخدمو Windows. كانت ذاهبة إلى العالمية
كارثة. لكن منذ الجمهور
واصل الجميع عدم الإفراج عن أي استغلال
عش حياتك القديمة دون تفكير
عواقب ظهوره بين الجماهير.

لكن لم يتفاعل الجميع بشكل سلبي مع ذلك
ظهور هذا الضعف. قراصنة
شيئا فشيئا بدأت في الكتابة الخاصة
المآثر والنصوص ظل الأطفال ينتظرونها
مظهر خارجي. النتيجة لم تستغرق وقتا طويلا
انتظر. في غضون أيام قليلة تظهر
بعض التطورات في هذا المجال ،
تظهر المآثر الأولى. مع ذلك
معظمهم يثيرون الفشل
على النظام البعيد. ما يمكن تفسيره
منذ التفاصيل الفنية حول
تم العثور على الثغرة الأمنية غير معروفة. على أية حال
بعض إصدارات نظام التشغيل ناجحة بالفعل
تم استغلالها.

أصبح هذا اليوم نقطة تحول في التاريخ
استغلال هذه الثغرة الأمنية. أخيرا
يبدو الوصف الفنيمشاكل.
بعد ذلك عدد كبير من
مآثر تحت إصدارات مختلفةشبابيك.
حتى أن البعض منهم لديه رسوم بيانية
واجهة ووظيفة المسح في بعض الأحيان
نطاق محدد من عناوين IP.

كان في هذه اللحظة أن الضخم
هجوم القراصنة على المستخدمين العاديين.
علاوة على ذلك ، ظهرت دودة الإنترنت MS Blast ،
التي تسللت بسهولة إلى أجهزة الكمبيوتر
متصل بالإنترنت وحتى في
شبكات الشركات لأكبر الشركات
العالم. كان الجميع في خطر ...

مهاجمة آلة بعيدة ليست كذلك
عمالة خاصة. لذا تناول الأطفال السيناريو
أعمالهم الخاصة. سرقة بطاقات الائتمان والخاصة
زادت عمليات استغلال الثغرات عدة مرات. و
العديد من القطاعات اللذيذة للشبكة الفولاذية
المذاق. وهذا هو ما فعله
هاكر واحد. أراد أن يتولى الخادم لفترة طويلة ،
لكن ضعف لائق تحتها من قبل
لم يكن لدي. ولا تستخدم هذا
إنه ببساطة لا يمكن أن يكون هدية القدر.

مسرحية في ثلاثة أعمال

أول شيء كان عليه فعله من قبل
الهجوم ، هذا هو التحقق من أي واحد
تم تثبيت نظام التشغيل عليه
الخادم. للقيام بذلك ، اعتاد
فائدة nmap. لقد كتب المتسلل عنها بالفعل أكثر من مرة
فرص ، لكني أكرر نفسي وأقول ذلك
يتم استخدامه لتحديد إصدار نظام التشغيل
تشغيل حاسب يستخدم عن بعد... لحسن الحظ ، هي
موجود لكل من Windows و * لا شىء. أ
لانه مخترق لوظيفته
كان يستخدم Windows ، ثم وقع اختياره
نسخة رسومية من nmap.

بضع دقائق من تشغيل الماسح و
كانت النتيجة إيجابية. تبين أن المنفذ 135
جدار حماية مفتوح وغير محمي. هو - هي
كانت بداية النهاية ، بداية التي طال انتظارها
الهجمات. في هذه المرحلة تمت كتابته بالفعل
العديد من المآثر ، بما في ذلك "RCP Exploit GUI # 2".
له السمة المميزةكان هذا هو
كان واجهة رسوميةوالمضمون في
وظائف المسح الذاتي المضمنة
نطاق IP ؛ وخادم FTP.

بعد تشغيل الثغرة ، أشار إلى العنوان
الهدف الكمبيوتر. ولكن في قائمة نظام التشغيل لـ
لم يتم تحديد أجهزة Windows NT. ولكن بعد كل شيء
كانت هي التي تم تثبيتها على الخادم. هو - هي
مشكلة خطيرة ، لأن من أجل
لتشغيل استغلال ما عليك أن تعرفه
العنوان الدقيق في الذاكرة لنقله لاحقًا
السيطرة عليه. بعد قليل من الحفر في
الملفات التي تم تنزيلها مع استغلالها
وجدت قائمة صغيرة من العناوين على نطاق واسع
نوع من خط ويندوز. بينهم
كان Windows NT موجودًا أيضًا مع ملفات
Service Pack 4. كانت قيمته التي أشار إليها
كعنوان إرجاع عن طريق البصق على الدليل
اختيار نظام التشغيل. أصبح الرقم 0xE527F377 سره
تمريرة إلى حياة الخادم. وشن هجوما.

استسلم النظام دون أي
الحوادث ، لذلك حصل المخترق على قذيفة عكسية
مع خادم بعيد. الآن بعد أن استطاع
لأداء أي شيء عليها ، فقد حان
حان الوقت لتثبيت حصان طروادة. بين كبير
عدد ممكن ، تم اختياره من قبل DonaldDick. ل
كان عليه أن ينفذ خطته
احصل على استضافة على خادم مجاني مع
دعم بروتوكول نقل الملفات. كان BY.RU مناسبًا تمامًا ، أي
هناك قام بتحميل خادم طروادة. حاليا،
عندما أصبح DonaldDick متاحًا عبر FTP ، عاد
تولى الضحية ، أو بالأحرى بدأ الرفع
خادم طروادة. كانت جيدة
خطة مدروسة لأن الضعف
يمكن تصحيحه ، لكنه حصان طروادة في إفريقيا
حصان طروادة. بدأ كتابة بروتوكول نقل الملفات في وحدة التحكم
رفع ملف. أخذته العملية برمتها ،
كتابة خمسة أسطر فقط:

فتح بواسطة
server_name.by.ru
كلمه السر
الحصول على fooware.exe
وداعا

حيث أن fooware.exe هو الخادم الذي أعيدت تسميته لـ
دونالد ديك. عندما يتم تنزيل الملف ، يكون قد تم تنزيله فقط
فقط قم بتشغيله. للقيام بذلك ، هو ببساطة
كتب اسم الملف (fooware.exe) ولحسن الحظ
الضغط على Enter ... ثم حصل المتسلل على راحة
السيطرة على الخادم.

لكنك تعرف كيف يحدث ذلك دائمًا ومتى
تجد شيئًا مثيرًا للاهتمام تابع معه
العبها. لذلك أراد الهاكر الخاص بنا
احصل على أكثر من نظام. بعد النظر ،
أن الاستغلال يسمح بضخامة
المسح ، شرع في العمل ، أو بالأحرى
KaHt تولى الوظيفة. استخدامه
اتضح أنه ليس صعبًا. لذلك ، على سبيل المثال ،
حول مسح شبكة IP 192.168.0. * (الفئة C) ، هو
كان عليك كتابة "KaHt.exe 129.168.0.1
192.168.0.254 ". وهو ما فعله بالفعل ،
ثم فحص بشكل دوري
النتائج. وهكذا ، تمكن من الوصول
لمزيد من المستخدمين ، من
والتي تمكنت لاحقًا من الحصول على كلمات مرور لها
مختلف الخدمات والبريد وأكثر من ذلك بكثير
معلومات مفيدة. ناهيك عن الحقيقة
أنه بدأ في استخدام العديد منها كـ
وكلاء مجهولون.

غذاء للفكر

على الرغم من أن Microsoft أصدرت تصحيحًا منذ وقت طويل ،
المستخدمون والمسؤولون ليسوا في عجلة من أمرهم
تثبيت البقع ، على أمل ألا تكون شبكتهم كذلك
سيكون ممتعًا لأي شخص. لكن هؤلاء المتسللين
عدد كبير وتركيب التصحيح
ضرورة وليس فرصة.
يمكنك أيضًا حظر جميع الحزم الواردة
على المنافذ 135 و 139 و 445 و 593.

وبطبيعة الحال ، قام المخترق بكل هذا من خلال
وكيل مجهول ، ونتيجة لذلك تنظيفها
هناك آثار للوجود في النظام. لكنك
يجب أن تفكر قبل التكرار
مآثره. بعد كل شيء ، يتم النظر في مثل هذه الإجراءات
غير قانوني وقد ينتهي ل
أنت محزن بما فيه الكفاية ...

دم، حقيقة أن جدار الحماية الخاص بك يظهر أن ملف Svchost.exe يستمع على هذا المنفذ لا يعني أنه مفتوح للاتصال من الخارج.

يبدو أن القواعد الخاصة بك قد تم توضيحها ويجب أن تعمل.

هل حاولت التحقق من الماسحات الضوئية للمنافذ؟ - TsOB (مركز الأمان) (البند 2.7)

ولا تنس أنك لا تزال بحاجة إلى التحقق من IPv6 ، لأن تم تمكينه في نظامك ، لكن الماسحات الضوئية عادةً ما تتحقق من IPv4 فقط (أتحدث عن الخدمات المركزية).

إذا لم تكن بحاجة إلى هذا البروتوكول على الإطلاق ، فيمكنك تعطيله:

لتعطيل مكونات الإصدار 6 من IP بتنسيق نظام التشغيل Windows Vista، اتبع الخطوات التالية.

1. انقر فوق ابدأ ، واكتب regedit في مربع بدء البحث ، ثم حدد regedit.exe في قائمة البرامج.

2. في مربع الحوار "التحكم في حساب المستخدم" ، انقر فوق "متابعة".

3. حدد موقع مفتاح التسجيل الفرعي التالي وحدده:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ خدمات \ Tcpip6 \ معلمات \

4. انقر نقرًا مزدوجًا فوق DisabledComponents لتغيير إعداد DisabledComponents.

ملحوظة. إذا كانت المعلمة DisabledComponents غير متوفرة ، فأنت بحاجة إلى إنشائها. للقيام بذلك، اتبع الخطوات التالية.

1. في القائمة تحرير ، أشر إلى جديد ، ثم قيمة DWORD (32 بت).

2. اكتب DisabledComponents واضغط على Enter.

3. انقر نقرًا مزدوجًا فوق DisabledComponents.

5. أدخل أيًا من القيم التالية لتكوين IP الإصدار 6 ، ثم انقر فوق "موافق".

1. أدخل 0 لتمكين جميع مكونات الإصدار 6 من IP.

ملحوظة. يتم استخدام القيمة "0" افتراضيًا.

2. أدخل 0xffffffff لتعطيل كافة مكونات الإصدار 6 من IP باستثناء واجهة الاسترجاع. بهذه القيمة ، سيستخدم Windows Vista أيضًا الإصدار 4 من IP في سياسات البادئة بدلاً من IPv6.

3. أدخل 0x20 لاستخدام بادئة الإصدار 4 من IP بدلاً من الإصدار 6 من IP في السياسات.

4. أدخل 0x10 لتعطيل واجهات الإصدار 6 من IP الأصلي.

5. أدخل 0x01 لتعطيل كافة واجهات نفق الإصدار 6 من IP.

6. أدخل 0x11 لتعطيل كافة واجهات الإصدار 6 من IP باستثناء واجهة الاسترجاع.

ملاحظاتتصحيح

* قد يؤدي استخدام قيمة أخرى غير 0x0 أو 0x20 إلى فشل خدمة التوجيه والوصول البعيد.

* يجب إعادة تشغيل جهاز الكمبيوتر حتى تدخل التغييرات حيز التنفيذ.

تنطبق المعلومات الواردة في هذه المقالة على المنتجات التالية.

* نظام التشغيل Windows Vista Enterprise

* إصدار Windows Vista Enterprise 64 بت

* إصدار Windows Vista Home Basic 64 بت

* إصدار Windows Vista Home Premium 64 بت

* إصدار Windows Vista Ultimate 64 بت

* نظام التشغيل Windows Vista Business

* إصدار Windows Vista Business 64 بت

* نظام التشغيل Windows Vista Home Basic

* ويندوز فيستا هوم بريميوم

* Windows Vista Starter

* Windows Vista Ultimate

* نظام التشغيل Windows 7 Enterprise

* Windows 7 Home Basic

* ويندوز 7 هوم بريميوم

* نظام التشغيل Windows 7 Professional

* Windows 7 Ultimate

* Windows Server 2008 R2 Datacenter

* نظام التشغيل Windows Server 2008 R2 Enterprise

* Windows Server 2008 R2 قياسي

* Windows Server 2008 Datacenter

* Windows Server 2008 Enterprise

* Windows Server 2008 Standard

المصدر - http://support.microsoft.com/kb/929852

بعد قطع الاتصال وإعادة التشغيل ، لديك من القائمة التي حصل عليها الأمر ipconfig / الكلستختفي مجموعة من الخطوط غير الضرورية وستبقى الواجهات المعروفة فقط.

يتم إجراء التضمين العكسي ببساطة عن طريق حذف المفتاح الذي تم إنشاؤه من التسجيل أو استبدال القيمة بـ "0" متبوعة بإعادة التشغيل.

يمكن أن تعطي منافذ الشبكة معلومات حيويةحول التطبيقات التي تصل إلى أجهزة الكمبيوتر عبر الشبكة. من خلال معرفة التطبيقات التي تستخدم الشبكة ومنافذ الشبكة المقابلة ، يمكنك إنشاء قواعد جدار حماية دقيقة وتكوين أجهزة الكمبيوتر المضيفة للسماح فقط بحركة المرور المفيدة. من خلال إنشاء ملف تعريف الشبكة ونشر الأدوات للتعرف على حركة مرور الشبكة ، يمكنك اكتشاف المتسللين بشكل أكثر فعالية - أحيانًا فقط عن طريق تحليل حركة مرور الشبكة التي ينشئونها. بدأنا النظر في هذا الموضوع في الجزء الأول من المقال المنشور في العدد السابق من المجلة. غطت أساسيات منافذ TCP / IP كأساس لأمن الشبكة. في الجزء الثاني ، سأصف بعض الطرق للشبكات وأجهزة الكمبيوتر المضيفة التي يمكن استخدامها لتحديد التطبيقات التي تستمع على الشبكة. ستناقش بقية المقالة كيفية تقدير حركة المرور التي تمر عبر الشبكة.

حظر تطبيقات الشبكة

سطح هجوم الشبكة هو مصطلح مقبول لوصف ضعف الشبكة. تمر العديد من هجمات الشبكة عبر التطبيقات المعرضة للخطر ، ويمكن تقليل سطح الهجوم بشكل كبير عن طريق تقليل عدد التطبيقات النشطة على الشبكة. بمعنى آخر ، يجب عليك تعطيل الخدمات غير المستخدمة ، وتثبيت جدار حماية على النظام المخصص للتحقق من صحة حركة المرور ، وإنشاء قائمة شاملة للتحكم في الوصول (ACL) لجدار الحماية في محيط الشبكة.

يمثل كل منفذ شبكة مفتوح تطبيقًا يستمع على الشبكة. يمكن التخفيف من حدة هجوم كل خادم متصل بالشبكة عن طريق تعطيل جميع خدمات وتطبيقات الشبكة الاختيارية. نسخة ويندوزيعتبر Server 2003 أفضل من الإصدارات السابقة نظام التشغيل، لأنه ينشط بشكل أقل خدمات الشبكة... ومع ذلك ، لا يزال التدقيق ضروريًا من أجل إعادة الاكتشاف التطبيقات المثبتةوتغييرات التكوين التي تفتح منافذ الشبكة غير الضرورية.

كل منفذ مفتوح هو ثغرة محتملة للمهاجمين الذين يستغلون المساحات في التطبيق المضيف ، أو يدخلون خلسة إلى التطبيق باسم مستخدم آخر وكلمة مرور (أو يستخدمون طريقة مصادقة شرعية أخرى). في كلتا الحالتين ، فإن الخطوة الأولى المهمة لتأمين شبكتك هي ببساطة تعطيل تطبيقات الشبكة غير المستخدمة.

فحص المنفذ

فحص المنافذ هو عملية الكشف عن تطبيقات الاستماع عن طريق الاستقصاء النشط لمنافذ الشبكة لجهاز كمبيوتر أو جهاز شبكة آخر. القدرة على قراءة نتائج المسح والمقارنة تقارير الشبكةمع نتائج استطلاع منفذ المضيف ، يوفر صورة واضحة لحركة المرور التي تمر عبر الشبكة. تعد معرفة طوبولوجيا الشبكة أمرًا ضروريًا لإعداد خطة إستراتيجية لمسح مناطق محددة. على سبيل المثال ، من خلال مسح مجموعة من عناوين IP الخارجية ، يمكنك جمع معلومات قيمة حول متطفل تسلل إلى الإنترنت. لذلك ، يجب عليك فحص الشبكة الخاصة بك في كثير من الأحيان وإغلاق جميع منافذ الشبكة الاختيارية.

يمكن لفحص منفذ جدار الحماية الخارجي اكتشاف جميع الخدمات المستجيبة (مثل الويب أو بريد الالكتروني) مستضافة على خوادم داخلية. يجب أيضًا حماية هذه الخوادم. قم بتكوين ماسح ضوئي للمنافذ مألوف (على سبيل المثال ، Network Mapper - Nmap) للتحقق المجموعة الصحيحةمنافذ UDP أو TCP. بشكل عام ، تعد عمليات فحص منفذ TCP أكثر موثوقية من عمليات مسح UDP نظرًا لردود الفعل الأعمق من بروتوكولات TCP المهيأة للاتصال. هناك إصدارات Windows و Unix من Nmap. من السهل بدء إجراء المسح الأساسي ، على الرغم من أن البرنامج يحتوي على وظائف أكثر تعقيدًا. للعثور على منافذ مفتوحة على كمبيوتر الاختبار ، قمت بتشغيل الأمر

إن ماب 192.168.0.161

يوضح الشكل 1 نتائج جلسة المسح - في هذه الحالة كمبيوتر يعمل بنظام Windows 2003 في التكوين القياسي... تُظهر البيانات التي تم جمعها من فحص المنفذ أن هناك ستة منافذ TCP مفتوحة.

الشكل 1: جلسة مسح أساسية لـ Nmap
  • يتم استخدام المنفذ 135 بواسطة ميزة تعيين نقطة نهاية RPC للعديد من تقنيات Windows - على سبيل المثال ، تطبيقات COM / DCOM و DFS وسجلات الأحداث وآليات نسخ الملفات ووضع الرسائل في قائمة انتظار و مايكروسوفت أوتلوك... يجب حظر هذا المنفذ في جدار الحماية المحيط ، ولكن من الصعب إغلاقه مع الحفاظ على وظائف Windows.
  • يتم استخدام المنفذ 139 بواسطة خدمة جلسة NetBIOS ، والتي تستدعي مستعرض Find Other Computers ، وخدمة مشاركة الملفات ، و Net Logon ، و Server Service. من الصعب الاغلاق مثل المنفذ 135.
  • يستخدم Windows المنفذ 445 لمشاركة الملفات. لإغلاق هذا المنفذ ، يجب حظر الملفات والطابعات لشبكات اتصال Microsoft. إغلاق هذا المنفذ لا يمنع الكمبيوتر من الاتصال بالموارد البعيدة الأخرى ؛ ومع ذلك ، لن تتمكن أجهزة الكمبيوتر الأخرى من الاتصال بهذا النظام.
  • يتم فتح المنفذين 1025 و 1026 ديناميكيًا ويستخدمهما الآخرون عمليات منهجيةالويندوز وخاصة مع الخدمات المختلفة.
  • يتم استخدام المنفذ 3389 بواسطة Remote Desktop ، والذي لا يتم تمكينه افتراضيًا ، ولكنه نشط على جهاز الكمبيوتر التجريبي الخاص بي. لإغلاق المنفذ ، انتقل إلى علامة التبويب Remote في مربع الحوار System Properties (خصائص النظام) وقم بإلغاء تحديد خانة الاختيار السماح للمستخدمين بالاتصال عن بُعد بهذا الكمبيوتر.

تأكد من البحث عن منافذ UDP المفتوحة وإغلاق المنافذ غير الضرورية. يعرض برنامج الفحص المنافذ المفتوحة على الكمبيوتر والتي يمكن رؤيتها من الشبكة. يمكن الحصول على نتائج مماثلة باستخدام الأدوات الموجودة في النظام المضيف.

فحص المضيف

إلى جانب استخدام الماسح الضوئي لمنافذ الشبكة ، يمكن اكتشاف المنافذ المفتوحة على النظام المضيف باستخدام الأمر التالي (التشغيل على النظام المضيف):

نتستات -ان

يعمل هذا الأمر على كل من Windows و UNIX. يسرد Netstat المنافذ النشطة على الكمبيوتر. في نظام التشغيل Windows 2003 Windows XP ، أضف المعلمة -o للحصول على معرف البرنامج المقابل (PID). يوضح الشكل 2 إخراج Netstat لنفس الكمبيوتر الذي تم فحصه مسبقًا بحثًا عن المنافذ. يرجى ملاحظة أن العديد من المنافذ التي كانت نشطة في السابق مغلقة.

تدقيق سجل جدار الحماية

مرة اخرى طريقة مفيدةاكتشاف تطبيقات الشبكة التي ترسل البيانات أو تستقبلها عبر الشبكة - قم بجمع وتحليل المزيد من البيانات في سجل جدار الحماية. رفض إدخالات سرد المعلومات من الواجهة الخارجية لجدار الحماية من غير المحتمل أن تكون مفيدة بسبب "حركة المرور الصاخبة" (على سبيل المثال ، الديدان والماسحات الضوئية واختبارات ping) التي تسد الإنترنت. ولكن إذا قمت بتسجيل الحزم المسموح بها من الواجهة الداخلية ، يمكنك رؤية كل حركة مرور الشبكة الواردة والصادرة.

لمشاهدة بيانات حركة المرور الأولية على الشبكة ، يمكنك تثبيت محلل شبكة يتصل بالشبكة ويسجل أي حزم شبكة تم اكتشافها. محلل الشبكات المجاني الأكثر استخدامًا هو Tcpdump for UNIX (يسمى إصدار Windows Windump) ، وهو سهل التثبيت على جهاز الكمبيوتر الخاص بك. بعد تثبيت البرنامج يجب عليك تكوينه ليعمل في استقبال الكل حزم الشبكةلتسجيل كل حركة المرور ، ثم الاتصال بمراقب المنفذ على مفتاح الشبكة ومراقبة كل حركة المرور التي تمر عبر الشبكة. سيتم مناقشة إعدادات مراقب المنفذ أدناه. Tcpdump هو برنامج مرن للغاية يسمح لك بمشاهدة حركة مرور الشبكة باستخدام عوامل تصفية متخصصة وإظهار معلومات فقط حول عناوين IP والمنافذ ، أو جميع الحزم. من الصعب عرض شبكة مقالب شبكات كبيرةبدون مساعدة المرشحات المناسبة ، ولكن يجب الحرص على عدم فقدان البيانات المهمة.

الجمع بين المكونات

حتى الآن ، ألقينا نظرة على الأساليب والأدوات المختلفة التي يمكن استخدامها لاكتشاف التطبيقات التي تستخدم الشبكة. حان الوقت لتجميعها معًا وتوضيح كيفية تحديد منافذ الشبكة المفتوحة. إنه لأمر مدهش مدى ثرثرة أجهزة الكمبيوتر على الشبكة! أولا ، من المستحسن أن تتعرف على نفسك وثيقة مايكروسوفت"نظرة عامة على الخدمة ومتطلبات منفذ الشبكة لنظام Windows Server" ( http://support.microsoft.com/default.aspx؟scid=kb؛en-us؛832017) ، الذي يسرد البروتوكولات (TCP و UDP) وأرقام المنافذ المستخدمة من قبل التطبيقات ومعظمها خدمات الويندوزالخادم. يصف هذا المستند هذه الخدمات ومنافذ الشبكة المرتبطة التي يستخدمونها. يوصى بتنزيل وطباعة هذا مفيد للمسؤولين شبكات الويندوزدليل مرجعي.

تكوين محلل الشبكة

كما ذكرنا سابقًا ، تتمثل إحدى طرق تحديد المنافذ التي تستخدمها التطبيقات في استخدام محلل الشبكة لمراقبة حركة المرور بين أجهزة الكمبيوتر. لمشاهدة كل حركة المرور ، تحتاج إلى توصيل محلل الشبكة بلوحة وصل أو شاشة منفذ على المحول. يرى كل منفذ على محور كل حركة مرور كل كمبيوتر متصل بهذا المحور ، لكن المحاور هي تقنية قديمة ، وتقوم معظم الشركات باستبدالها بمفاتيح توفر أداءً جيدًا ، ولكنها غير ملائمة للتحليل: كل منفذ على المحول يقبل فقط حركة المرور الموجهة إلى جهاز كمبيوتر واحد متصل بهذا المنفذ. لتحليل الشبكة بالكامل ، تحتاج إلى مراقبة حركة المرور الموجهة إلى كل منفذ على المحول.

يتطلب ذلك تكوين مراقب منفذ (يطلق عليه بائعون مختلفون منفذ امتداد أو منفذ معكوس) على المحول. يعد تثبيت شاشة منفذ على محول Cisco Catalyst من Cisco Systems أمرًا سهلاً. تحتاج إلى التسجيل على المحول وتنشيط وضع التمكين ، ثم الانتقال إلى وضع التكوين الطرفي وإدخال رقم الواجهة لمنفذ التبديل الذي يجب إرسال كل حركة المرور المراقبة إليه. أخيرًا ، تحتاج إلى تحديد جميع المنافذ المراقبة. على سبيل المثال ، تراقب الأوامر التالية ثلاثة منافذ Fast Ethernet وتعيد توجيه نسخة من حركة المرور إلى المنفذ 24.

الواجهة FastEthernet0 / 24 منفذ مراقب FastEthernet0 / 1 منفذ مراقب FastEthernet0 / 2 منفذ مراقب FastEthernet0 / 3 نهاية

الخامس هذا المثالسيعرض محلل الشبكة المتصل بالمنفذ 24 جميع حركة المرور الصادرة والواردة من أجهزة الكمبيوتر المتصلة بالمنافذ الثلاثة الأولى على المحول. لعرض التكوين الذي تم إنشاؤه ، أدخل الأمر

اكتب الذاكرة

التحليل الاولي

لنلقِ نظرة على مثال لتحليل البيانات التي تمر عبر شبكة. إذا كنت تستخدم كمبيوتر Linux لتحليل الشبكة ، فيمكنك الحصول على فهم شامل لنوع وتكرار الحزم على الشبكة باستخدام برنامج مثل IPTraf في الوضع الإحصائي. يمكن العثور على تفاصيل حركة المرور باستخدام برنامج Tcpdump.