Kako zatvoriti Windows portove. Osnove mrežnih portova Kako zatvoriti port 135
Svakodnevno se vlasnici računala susreću s ogromnim brojem opasnih programa i virusa koji se nekako uspiju HDD i uzrokovati curenje važnih podataka, kvar vašeg računala, krađu važnih informacija i druge neugodne situacije.
Najčešće su zaražena računala koja rade na operacijskim sustavima Windows bilo koje verzije, bilo 7, 8, 10 ili bilo koje druge. Glavni razlog za ovu statistiku su dolazne veze na PC ili "portovi", koji su slaba točka bilo koji sustav zbog njegove zadane dostupnosti.
Riječ "port" je pojam koji podrazumijeva serijski broj dolaznih veza koje su usmjerene na vaše računalo iz vanjskog softvera. Često se događa da te portove iskorištavaju virusi koji lako prodiru u vaše računalo putem IP mreže.
Virusni softver Jednom u računalu kroz takve dolazne veze, brzo inficira sve važne datoteke, ne samo korisničke, već i sistemske datoteke. Kako biste to izbjegli, preporučamo da zatvorite sve standardne portove koji mogu postati vaša ranjivost kada ih napadnu hakeri.
Koji su najranjiviji portovi u sustavu Windows 7-10?
Brojne studije i ankete stručnjaka pokazuju da se do 80% zlonamjernih napada i hakova dogodilo pomoću četiri glavna porta koji se koriste za brzu razmjenu datoteka između različitih verzija sustava Windows:
- Potreban je TCP port 139 za daljinska veza i upravljanje računalom;
- TCP port 135 za izvršenje naredbe;
- TCP port 445 za brzi prijenos datoteka;
- UDP port 137, preko kojeg brza pretraga na PC-u.
Zatvaranje portova 135-139 i 445 u sustavu Windows
Pozivamo vas da se upoznate s najviše na jednostavne načine zatvaranje portova sustava Windows, koji ne zahtijevaju dodatna znanja i profesionalne vještine.
Korištenje naredbenog retka
Naredba Windows niz Je softverska ljuska koja se koristi za postavljanje određenih funkcija i parametara softveru koji nema vlastitu grafičku ljusku.
Da biste pokrenuli naredbeni redak, morate:
- Istovremeno pritisnite kombinaciju tipki Win + R
- U naredbeni redak koji se pojavi unesite CMD
- Kliknite na gumb "OK".
Pojavit će se radni prozor s crnom pozadinom u koji je potrebno jednu po jednu unijeti sljedeće naredbe. Nakon svakog unesenog retka pritisnite tipku Enter za potvrdu radnje.
netsh advfirewall vatrozid dodaj pravilo dir = u akciji = blok protokol = tcp localport = 135 naziv = "Block1_TCP-135"(naredba za zatvaranje porta 135)
netsh advfirewall vatrozid dodaj pravilo dir = u akciji = blok protokol = tcp localport = 137 naziv = "Block1_TCP-137"(naredba za zatvaranje porta 137)
netsh advfirewall firewall dodaj pravilo dir = u akciji = blok protokol = tcp localport = 138 naziv = "Block1_TCP-138 ″(naredba za zatvaranje porta 138)
netsh advfirewall firewall dodaj pravilo dir = u akciji = blok protokol = tcp localport = 139 naziv = "Block_TCP-139 ″(naredba za zatvaranje priključka 139)
netsh advfirewall vatrozid dodaj pravilo dir = u akciji = blok protokol = tcp localport = 445 naziv = "Block_TCP-445"(naredba za zatvaranje porta 445)
netsh advfirewall vatrozid dodaj pravilo dir = u akciji = blok protokol = tcp localport = 5000 naziv = "Block_TCP-5000"
Šest naredbi koje smo dali nužne su za: zatvaranje 4 ranjiva Windows TCP porta (otvoreno prema zadanim postavkama), zatvaranje UDP porta 138, kao i zatvaranje porta 5000, koji je odgovoran za popis dostupnih usluga.
Zatvaranje portova s programima trećih strana
Ako ne želite gubiti vrijeme radeći s naredbeni redak, pozivamo vas da se upoznate aplikacije trećih strana... Bit takvog softvera je uređivanje registra u automatski način rada s grafičkim sučeljem, bez potrebe za ručnim unosom naredbi.
Prema našim korisnicima, najviše popularan program za ove namjene je Windows Doors Cleaner. Pomoći će vam da jednostavno zatvorite portove na računalu sa sustavom Windows 7/8 / 8.1 / 10. Starije verzije operativnih sustava nažalost nisu podržane.
Kako raditi s programom koji zatvara portove
Da biste koristili Windows Doors Cleaner, morate:
1. Preuzmite softver i instalirajte ga
2. Pokrenite program desnim klikom na prečac i odabirom "pokreni kao administrator"
3. U radnom prozoru koji se pojavi pojavit će se popis portova i gumbi "Zatvori" ili "Onemogući" koji se zatvaraju ranjivi portovi Windows, kao i bilo koji drugi po volji
4. Nakon što su potrebne promjene napravljene, morate ponovno pokrenuti sustav
Još jedna prednost programa je činjenica da se može koristiti ne samo za zatvaranje portova, već i za njihovo otvaranje.
Donošenje zaključaka
Zatvaranje ranjivih mrežnih portova u sustavu Windows nije lijek za sve bolesti. Važno je zapamtiti da se sigurnost mreže može postići samo opsežnim radnjama usmjerenim na zatvaranje svih ranjivosti vašeg računala.
Za sigurnost korisnik sustava Windows mora nužno utvrditi kritična ažuriranja od Microsofta, imate licencirani antivirusni softver i omogućen vatrozid, koristite samo siguran softver i redovito čitajte naše članke u kojima govorimo o svim postojećim načinima za postizanje anonimnosti i sigurnosti vaših podataka.
Vi znate više prikladne načine zatvoriti mrežne portove? Podijelite svoje znanje u komentarima i ne zaboravite ponovno objaviti članak na svojoj stranici. Udio korisna informacija sa svojim prijateljima i ne dajte hakerima priliku da naškode vašim najmilijima!
Jučer su nepoznate osobe izvele još jedan masovni napad uz pomoć ransomware virusa. Stručnjaci su rekli da su deseci pogođeni velike tvrtke u Ukrajini i Rusiji. Virus ransomwarea zove se Petya.A (virus je vjerojatno nazvan po Petru Porošenku). Pišu da ako stvorite perfc datoteku (bez ekstenzije) i stavite je na C: \ Windows \, virus će vas zaobići. Ako je vaše računalo krenulo u ponovno pokretanje i počelo "provjeravati disk", morate ga odmah isključiti. Dizanje s LiveCD-a ili USB pogona omogućit će vam pristup datotekama. Drugi način zaštite je zatvaranje portova 1024-1035, 135 i 445. Sada ćemo shvatiti kako to učiniti na primjeru Windowsa 10.
Korak 1
Ići Windows vatrozid
(bolje je odabrati način poboljšane sigurnosti), odaberite karticu " Dodatne opcije».
Odabiremo karticu " Ulazna pravila", onda akcija" Napravite pravilo(U desnom stupcu).
Korak 2
Odaberite vrstu pravila - " za luku". U sljedećem prozoru odaberite stavku " TCP protokol", Označite portove koje želite zatvoriti. U našem slučaju to je “ 135, 445, 1024-1035
"(Bez navodnika).
Korak 3
Odabiremo stavku " Blokirajte vezu", U sljedećem prozoru označite sve profile: Domena, privatna, javna.
4. korak
Ostaje smisliti naziv za pravilo (kako bi ga bilo lako pronaći u budućnosti). Možete odrediti opis za pravilo.
Ako neki programi prestanu raditi ili počnu kvariti, možda ste blokirali port koji koriste. Za njih ćete morati dodati iznimku vatrozida.
135 TCP port koje koriste udaljene usluge (DHCP, DNS, WINS itd.) i u Microsoftovim klijent-poslužitelj aplikacijama (npr. Exchange).
445 TCP port koristi se u sustavu Microsoft Windows 2000 i novijim za izravan TCP/IP pristup bez korištenja NetBIOS-a (na primjer, u Active Directory).
Objavljivanje
Ranjivost je bila zastrašujuća, istina
gotovi exploit nije bio dostupan za
većina ljudi ... To je vjerojatno razlog zašto
nitko nije osjetio strah...
Skupina poljskih stručnjaka na tom području
sigurnost računalna tehnologija"Posljednji
Stage of Delirium“ izvijestio je javnost o pronađenom
njihove ranjivosti, rukovanje DCOM objektima
kontekst RPC protokola. Bilo je to nešto
nevjerojatno jer ovaj protokol
koriste gotovo svi
postojeće verzije sustava Windows u ovom trenutku.
Ranjivi operativni sustavi bili su Windows NT, Windows XP, Windows 2000
čak je i Windows Server 2003 bio na nišanu. Od ovog
bilo više nego dovoljno da se dočepam
računala većine korisnika
internet. Štoviše, mnogi poslužitelji nemaju
blokirani dolazni paketi na portu 135,
upravo je on korišten za napad. Što
učinilo ih potencijalnim žrtvama.
Ali nekoliko sati kasnije, Todd Sabin izvještava,
da su sve RPC usluge ranjive. to
znači da postavljanje vatrozida na
blokiranje porta 135 nije dovoljno
sredstvo zaštite. Opasnosti su izložene
računala s otvorenim 135 (UDP/TCP), 139, 445 i 593
lukama. Medijska naslovnica data greška, kako
potencijalnu sigurnosnu prijetnju
Korisnici Windowsa. Išlo je na globalno
katastrofa. Ali budući da javnost
nijedan exploit nije pušten, svi su nastavili
živi svoj stari život bez razmišljanja
posljedice njegove pojave među masama.
Ali nisu svi tako pasivno reagirali na
pojavu ove ranjivosti. hakeri
malo po malo počeo pisati privatno
djeca iz podviga i scenarija su to čekala
izgled. Rezultat nije dugo trajao
čekati. U roku od nekoliko dana pojaviti
neki razvoji na ovom području,
pojavljuju se prvi podvizi. Štoviše
većina njih samo izaziva neuspjeh
na udaljenom sustavu. Što se može objasniti
budući da tehnički detalji o
pronađena ranjivost nije bila poznata. Iako
neke verzije OS-a su već uspješne
bili iskorištavani.
Ovaj dan postao je prekretnica u povijesti
iskorištavanje ove ranjivosti. Konačno
pojavljuje se tehnički opis Problemi.
Nakon čega je veliki broj
podvizima, pod različite verzije Windows.
Neki od njih čak imaju i grafiku
sučelje i ponekad funkcija skeniranja
određeni raspon IP adresa.
Upravo u tom trenutku masivni
hakerski napad na obične korisnike.
Štoviše, pojavio se internetski crv MS Blast,
koji su se lako infiltrirali u računala
spojen na internet, pa čak i u
korporativne mreže najvećih tvrtki
svijet. Svi su bili u opasnosti...
Napad na udaljeni stroj nije
poseban rad. Tako su se djeca prihvatila scenarija
vlastiti posao. Krađa kreditnih kartica i privatnih
eksploatacija se nekoliko puta povećala. I
mnogi ukusni segmenti čelične mreže
ukus. To je ono što je učinio
jedan haker. Dugo je želio preuzeti server,
ali pristojna ranjivost ispod njega prije
nisu imali. I nemojte ovo koristiti
jednostavno nije mogao biti dar sudbine.
Predstava u tri čina
Prvo što je morao učiniti prije
napad, ovo je da provjerim koji
operativni sustav je instaliran na
poslužitelju. Da bi to učinio, koristio je
uslužni program nmap. Haker je već više puta pisao o njoj
prilike, ali ponovit ću se i to reći
koristi se za određivanje verzije OS-a
na udaljeno računalo... Na sreću, ona
postoji i za Windows i za * nix. A
jer haker za svoj posao
je koristio Windows, tada je njegov izbor pao
grafička verzija nmapa.
Nekoliko minuta rada skenera i
rezultat je pozitivan. Ispostavilo se da je luka 135
otvoreni i nezaštićeni vatrozid. to
bio je početak kraja, početak dugo očekivanog
napadi. U ovom trenutku to je već napisano
mnogo exploit-a, uključujući "RCP Exploit GUI # 2".
Njegovo obilježje je li to on
imao grafičko sučelje i sadržan u
vlastite ugrađene funkcije skeniranja
IP raspon i FTP poslužitelj.
Nakon što je pokrenuo exploit, naveo je adresu
ciljno računalo. Ali na OS listi za
nisu navedeni Windows NT strojevi. Ali ipak
ona je bila ta koja je instalirana na server. to
ozbiljan problem, jer da bi se
da biste pokrenuli exploit morate ga znati
točnu adresu u memoriji za kasnije prijenos
kontrolu nad njim. Nakon malog kopanja
datoteke preuzete s iskorištavanjem it
pronašao mali popis adresa za široki
svojevrsna Windows linija. Među njima
Windows NT je također bio prisutan s unaprijed instaliranim
Servisni paket 4. To je bila njegova vrijednost koju je naznačio
kao povratnu adresu pljuvanjem po priručniku
izbor OS-a. Broj 0xE527F377 postao je njegova tajna
propusnica za život poslužitelja. I krenuo je u napad.
Sustav je odustao bez ikakvih
incidenti, pa je haker dobio reverse-shell
s udaljenim poslužiteljem. Sad kad je mogao
da bi bilo što izvesti na njemu, došlo je
vrijeme za instalaciju Trojanca. Među velikim
broj mogućih, odabrao je DonaldDick. Za
morao je provesti svoj plan
dobiti hosting na besplatnom poslužitelju s
FTP podrška. BY.RU je bio sasvim prikladan, naime
tamo je uploadao server za trojanac. Sada,
kada je DonaldDick postao dostupan putem FTP-a, vratio se
preuzeo žrtvu, točnije počeo učitavati
trojanski poslužitelj za njega. Bilo je dobro
promišljenog plana jer ranjivost
mogao bi se zakrpiti, ali to je trojanac u Africi
trojanski. Utipkavši ftp u konzolu, počeo je
prenijeti datoteku. Cijeli proces ga je odnio,
napisati samo pet redaka:
otvoriti by.ru
server_name.by.ru
lozinka
nabavite fooware.exe
zbogom
Gdje je fooware.exe preimenovani poslužitelj
DonaldDick. Kada je datoteka preuzeta, ima samo
samo pokrenite. Da bi to učinio, on jednostavno
napisao naziv datoteke (fooware.exe) i sretno
pritisnuli Enter ... Tada je haker dobio zgodan
kontrolu nad serverom.
Ali znate kako se uvijek dogodi kada
pronaći nešto zanimljivo nastavite s
igraj to. Tako je htio naš Haker
dobiti više od jednog sustava. pogledavši,
da eksploatacija omogućuje masovnu
skenirajući, dao se na posao, točnije
KaHt je preuzeo posao. Njegova upotreba
pokazalo se da nije teško. Tako, na primjer, da
o skeniranju mreže s IP 192.168.0.* (klasa C), on
morali ste upisati "KaHt.exe 129.168.0.1
192.168.0.254 ". Što je zapravo i učinio,
zatim povremeno provjeravati
rezultate. Tako je dobio pristup
na još više korisnika, od
za koje sam kasnije uspio dobiti lozinke
razne usluge, pošta i još mnogo toga
korisna informacija. Da ne spominjem činjenicu
da je mnoge od njih počeo koristiti kao
anonimni opunomoćenici.
Hrana za razmišljanje
Iako je Microsoft davno izdao zakrpu,
korisnici i administratori ne žure se
instalirati zakrpe, nadajući se da njihova mreža nije
bit će zanimljivo svakome. Ali takvi hakeri
veliki broj i instalacija zakrpa je
potreba, a ne prilika.
Također možete blokirati sve dolazne pakete
na portovima 135, 139, 445 i 593.
Naravno, haker je sve to napravio
anonimni proxy, i kao rezultat očišćen
postoje tragovi prisutnosti u sustavu. Ali ti
treba razmisliti prije nego što ponoviš
njegove podvige. Uostalom, takve se radnje razmatraju
nezakonito i može završiti za
dovoljno si jadan...
Krv, činjenica da vaš vatrozid pokazuje da svchost.exe sluša na ovom portu ne znači da je otvoren za povezivanje izvana.
Čini se da su vaša pravila navedena i trebala bi funkcionirati.
Jeste li pokušali provjeriti skenerima portova? - TsOB (Sigurnosni centar) (klauzula 2.7)
I ne zaboravite da još uvijek trebate provjeriti IPv6, jer on je omogućen u vašem sustavu, ali skeneri obično provjeravaju samo IPv4 (govorim o centraliziranim uslugama).
Ako vam ovaj protokol uopće ne treba, možete ga onemogućiti:
Izvor - http://support.microsoft.com/kb/929852Da biste onemogućili komponente IP verzije 6 u Windows Vista, slijedite dolje navedene korake.
1. Kliknite Start, upišite regedit u okvir Pokreni pretraživanje, a zatim odaberite regedit.exe na popisu Programi.
2. U dijaloškom okviru Kontrola korisničkog računa kliknite Nastavi.
3. Pronađite i odaberite sljedeći potključ registra:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip6 \ Parameters \
4. Dvaput kliknite DisabledComponents da biste promijenili postavku DisabledComponents.
Bilješka. Ako parametar DisabledComponents nije dostupan, trebate ga stvoriti. Da biste to učinili, slijedite dolje navedene korake.
1. Na izborniku Uredi pokažite na Novo, a zatim na DWORD (32-bitna) vrijednost.
2. Upišite DisabledComponents i pritisnite Enter.
3. Dvaput kliknite DisabledComponents.
5. Unesite bilo koju od sljedećih vrijednosti da biste konfigurirali IP verziju 6, a zatim kliknite U redu.
1. Unesite 0 da biste omogućili sve komponente IP verzije 6.
Bilješka. Vrijednost "0" se koristi prema zadanim postavkama.
2. Unesite 0xffffffff da biste onemogućili sve komponente IP verzije 6 osim sučelja povratne petlje. Uz ovu vrijednost, Windows Vista će također koristiti IP verziju 4 u pravilima prefiksa umjesto IPv6.
3. Unesite 0x20 za korištenje prefiksa IP verzije 4 umjesto IP verzije 6 u pravilima.
4. Unesite 0x10 da biste onemogućili sučelja izvorne IP verzije 6.
5. Unesite 0x01 da biste onemogućili sva tunelska sučelja IP verzije 6.
6. Unesite 0x11 da biste onemogućili sva sučelja IP verzije 6 osim sučelja povratne petlje.
Bilješke (uredi)
* Korištenje vrijednosti različite od 0x0 ili 0x20 može uzrokovati neuspjeh usluge usmjeravanja i udaljenog pristupa.
* Morate ponovno pokrenuti računalo da bi promjene stupile na snagu.
Informacije u ovom članku odnose se na sljedeće proizvode.
* Windows Vista Enterprise
* Windows Vista Enterprise 64-bitno izdanje
* Windows Vista Home Basic 64-bitno izdanje
* Windows Vista Home Premium 64-bitno izdanje
* Windows Vista Ultimate 64-bitno izdanje
* Windows Vista Business
* Windows Vista Business 64-bitno izdanje
* Windows Vista Home Basic
* Windows Vista Home Premium
* Windows Vista Starter
* Windows Vista Ultimate
* Windows 7 Enterprise
* Windows 7 Home Basic
* Windows 7 Home Premium
* Windows 7 Professional
* Windows 7 Ultimate
* Windows Server 2008 R2 Datacenter
* Windows Server 2008 R2 Enterprise
* Windows Server 2008 R2 Standard
* Windows Server 2008 Datacenter
* Windows Server 2008 Enterprise
* Windows Server 2008 Standard
Nakon isključivanja i ponovnog pokretanja, imate s popisa dobivenog naredbom ipconfig / sve gomila nepotrebnih linija će nestati i ostat će samo dobro poznata sučelja.
Obrnuto uključivanje se izvodi jednostavnim brisanjem kreiranog ključa iz registra ili zamjenom vrijednosti s "0" nakon čega slijedi ponovno pokretanje.
Mrežni portovi mogu dati vitalne informacije o aplikacijama koje pristupaju računalima putem mreže. Poznavajući aplikacije koje koriste mrežu i odgovarajuće mrežne portove, možete stvoriti precizna pravila vatrozida i konfigurirati glavna računala tako da dopuštaju samo koristan promet. Izgradnjom mrežnog profila i primjenom alata za prepoznavanje mrežnog prometa možete učinkovitije otkriti uljeze - ponekad samo analizom mrežnog prometa koji oni generiraju. Ovu smo temu počeli razmatrati u prvom dijelu članka objavljenog u prethodnom broju časopisa. Pokrivao je osnove TCP/IP portova kao temelja mrežne sigurnosti. U drugom dijelu opisat ću neke metode za mreže i host računala koje se mogu koristiti za određivanje koje aplikacije slušaju na mreži. Ostatak članka govorit će o tome kako procijeniti promet koji prolazi kroz mrežu.
Blokiranje mrežnih aplikacija
Mrežna površina napada je prihvaćen izraz za opisivanje ranjivosti mreže. Mnogi mrežni napadi prolaze kroz ranjive aplikacije, a površina napada može se značajno smanjiti smanjenjem broja aktivnih aplikacija na mreži. Drugim riječima, trebali biste onemogućiti neiskorištene usluge, instalirati vatrozid na namjenski sustav za provjeru prometa i stvoriti opsežan popis kontrole pristupa (ACL) za vatrozid na perimetru mreže.
Svaki otvoreni mrežni priključak predstavlja aplikaciju koja sluša na mreži. Površina napada svakog poslužitelja spojenog na mrežu može se ublažiti onemogućavanjem svih opcijskih mrežnih usluga i aplikacija. Windows verzija Server 2003 je superiorniji od prethodnih verzija operacijski sustav, budući da se manje aktivira mrežne usluge... Međutim, revizija je još uvijek neophodna kako bi se ponovno otkrilo instalirane aplikacije i promjene konfiguracije koje otvaraju nepotrebne mrežne portove.
Svaki otvoreni port potencijalna je rupa za napadače koji iskorištavaju prostor u glavnoj aplikaciji ili potajno pristupaju aplikaciji s drugim korisničkim imenom i lozinkom (ili koriste drugu legitimnu metodu provjere autentičnosti). U svakom slučaju, važan prvi korak za osiguranje vaše mreže je jednostavno onemogućavanje nekorištenih mrežnih aplikacija.
Skeniranje portova
Skeniranje portova je proces otkrivanja aplikacija za slušanje aktivnim ispitivanjem mrežnih portova računala ili drugog mrežnog uređaja. Sposobnost čitanja rezultata skeniranja i usporedbe mrežna izvješća s rezultatima anketiranja glavnog porta, daje jasnu sliku prometa koji prolazi kroz mrežu. Poznavanje topologije mreže ključno je za pripremu strateškog plana za skeniranje određenih područja. Na primjer, skeniranjem niza vanjskih IP adresa možete prikupiti vrijedne informacije o uljezu koji se infiltrirao na Internet. Stoga biste trebali češće skenirati svoju mrežu i zatvoriti sve dodatne mrežne priključke.
Skeniranje portova vanjskog vatrozida može otkriti sve usluge koje odgovaraju (kao što su web ili E-mail) koji se nalazi na internim poslužiteljima. Ovi poslužitelji također trebaju biti zaštićeni. Konfigurirajte poznati skener portova (na primjer, Network Mapper - Nmap) za provjeru prava grupa UDP ili TCP portovi. Općenito, skeniranja TCP portova su pouzdanija od UDP skeniranja zbog dublje povratne informacije od TCP protokola orijentiranih na vezu. Postoje i Windows i Unix verzije Nmapa. Lako je pokrenuti osnovnu proceduru skeniranja, iako program ima puno složenije funkcije. Da bih pronašao otvorene portove na testnom računalu, pokrenuo sam naredbu
Nmap 192.168.0.161
Slika 1 prikazuje rezultate sesije skeniranja - u ovom slučaju Windows računalo 2003 u standardna konfiguracija... Podaci prikupljeni skeniranjem portova pokazuju da postoji šest otvorenih TCP portova.
| Slika 1: Osnovna Nmap sesija skeniranja |
- Port 135 koristi značajka mapiranja krajnjih točaka RPC implementirana u mnoge Windows tehnologije - na primjer, COM/DCOM aplikacije, DFS, zapisnici događaja, mehanizmi replikacije datoteka, red poruka i Microsoft Outlook... Ovaj port bi trebao biti blokiran u perimetarskom vatrozidu, ali ga je teško zatvoriti uz održavanje funkcionalnosti sustava Windows.
- Port 139 koristi usluga NetBIOS Session Service, koja poziva preglednik Find Other Computers, uslugu dijeljenja datoteka, mrežnu prijavu i uslugu poslužitelja. Teško ga je zatvoriti, kao i port 135.
- Port 445 koristi Windows za dijeljenje datoteka. Da biste zatvorili ovaj port, morate blokirati dijeljenje datoteka i pisača za Microsoftove mreže. Zatvaranje ovog porta ne sprječava povezivanje računala s drugim udaljenim resursima; međutim, druga računala se neće moći spojiti na ovaj sustav.
- Portovi 1025 i 1026 se dinamički otvaraju i koriste od strane drugih sistemski procesi Windows, posebice s raznim uslugama.
- Port 3389 koristi Remote Desktop, koji nije omogućen prema zadanim postavkama, ali je aktivan na mom testnom računalu. Da biste zatvorili priključak, idite na karticu Udaljeno u dijaloškom okviru Svojstva sustava i poništite potvrdni okvir Dopusti korisnicima daljinsko povezivanje s ovim računalom.
Obavezno potražite otvorene UDP portove i zatvorite nepotrebne. Program za skeniranje prikazuje otvorene portove na računalu koji su vidljivi iz mreže. Slični rezultati mogu se dobiti pomoću alata koji se nalaze na glavnom sustavu.
Skeniranje hosta
Osim korištenja skenera mrežnih portova, otvoreni portovi na glavnom sustavu mogu se otkriti pomoću sljedeće naredbe (pokrenuti na glavnom sustavu):
Netstat -an
Ova naredba radi na Windows i UNIX-u. Netstat navodi aktivne portove na računalu. U sustavu Windows 2003 Windows XP dodajte parametar -o da biste dobili odgovarajući identifikator programa (PID). Slika 2 prikazuje Netstat izlaz za isto računalo koje je prethodno skenirano za portove. Imajte na umu da je nekoliko portova koji su prethodno bili aktivni zatvoreni.
Revizija dnevnika vatrozida
Još jedan koristan način otkrijte mrežne aplikacije koje šalju ili primaju podatke preko mreže - prikupite i analizirajte više podataka u dnevniku vatrozida. Zabrana unosa s podacima s vanjskog sučelja vatrozida vjerojatno neće biti korisna jer "bučni promet" (npr. crvi, skeneri, ping testovi) začepljuje Internet. Ali ako zabilježite dopuštene pakete s internog sučelja, možete vidjeti sav dolazni i odlazni mrežni promet.
Da biste vidjeli neobrađene podatke o prometu na mreži, možete instalirati mrežni analizator koji se povezuje s mrežom i bilježi sve otkrivene mrežne pakete. Najrasprostranjeniji besplatni mrežni analizator je Tcpdump za UNIX (verzija za Windows naziva se Windump), koji se lako instalira na vaše računalo. Nakon instalacije programa, trebali biste ga konfigurirati da radi u prijemu svih mrežni paketi da zabilježite sav promet, a zatim se spojite na monitor porta na mrežnom prekidaču i nadgledate sav promet koji prolazi kroz mrežu. U nastavku će biti riječi o postavkama monitora porta. Tcpdump je iznimno fleksibilan program koji vam omogućuje pregled mrežnog prometa pomoću specijaliziranih filtara i prikaz samo informacija o IP adresama i portovima ili svim paketima. Teško je vidjeti mrežne dumpove velike mreže bez pomoći odgovarajućih filtera, ali treba paziti da se ne izgube važni podaci.
Kombiniranje komponenti
Do sada smo pogledali različite metode i alate koji se mogu koristiti za otkrivanje aplikacija koje koriste mrežu. Vrijeme je da ih spojite i pokažete kako prepoznati otvorene mrežne portove. Nevjerojatno je koliko su računala na mreži brbljava! Prije svega, preporuča se da se upoznate Microsoftov dokument"Pregled usluge i zahtjevi mrežnog porta za sustav Windows Server" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), koji navodi protokole (TCP i UDP) i brojeve portova koje koriste aplikacije i većina glavnih Windows usluge Poslužitelj. Ovaj dokument opisuje ove usluge i pridružene mrežne portove koje koriste. Preporuča se preuzeti i ispisati ovo korisno za administratore Windows mreže referentni vodič.
Konfiguracija mrežnog analizatora
Kao što je ranije navedeno, jedan od načina za određivanje portova koje koriste aplikacije je korištenje mrežnog analizatora za praćenje prometa između računala. Da biste vidjeli sav promet, trebate povezati mrežni analizator na hub ili monitor porta na prekidaču. Svaki priključak na čvorištu vidi sav promet svakog računala spojenog na to čvorište, ali čvorišta su zastarjela tehnologija i većina ih tvrtki zamjenjuje prekidačima koji pružaju dobre performanse, ali su nezgodni za analizu: svaki port na prekidaču prihvaća samo promet usmjeren na jedno računalo spojeno na ovaj port. Da biste analizirali cijelu mrežu, morate pratiti promet koji je usmjeren na svaki port na prekidaču.
To zahtijeva konfiguriranje monitora porta (različiti ga dobavljači zovu span port ili zrcaljeni port) na prekidaču. Instaliranje monitora porta na preklopku Cisco Catalyst tvrtke Cisco Systems je jednostavno. Morate se registrirati na prekidaču i aktivirati način rada Enable, zatim prijeći na način konfiguriranja terminala i unijeti broj sučelja porta komutatora na koji treba biti poslan sav praćeni promet. Konačno, morate navesti sve nadzirane portove. Na primjer, sljedeće naredbe nadziru tri Fast Ethernet porta i prosljeđuju kopiju prometa na port 24.
Sučelje FastEthernet0 / 24 porta monitor FastEthernet0 / 1 port monitor FastEthernet0 / 2 port monitor FastEthernet0 / 3 kraja
V ovaj primjer Mrežni analizator spojen na port 24 pregledat će sav odlazni i dolazni promet s računala spojenih na prva tri priključka na prekidaču. Za pregled kreirane konfiguracije unesite naredbu
Zapišite memoriju
Početna analiza
Pogledajmo primjer analize podataka koji prolaze kroz mrežu. Ako koristite Linux računalo za analizu mreže, možete dobiti sveobuhvatno razumijevanje vrste i učestalosti paketa na mreži pomoću softvera kao što je IPTraf u Statističkom načinu rada. Pojedinosti o prometu mogu se pronaći pomoću programa Tcpdump.