Cum să închideți porturile Windows. Noțiuni de bază privind porturile de rețea Cum se închide portul 135

În fiecare zi, proprietarii de PC-uri se confruntă cu un număr imens de programe și viruși periculoși care se întâlnesc cumva. HDDși provoacă scurgerea de date importante, defectarea computerului, furtul de informații importante și alte situații neplăcute.

Cel mai adesea, computerele care rulează pe sisteme de operare Windows de orice versiune, fie că este 7, 8, 10 sau oricare alta, sunt infectate. Motivul principal pentru această statistică este conexiunile de intrare la un PC sau „porturi”, care sunt punct slab orice sistem din cauza disponibilității sale implicite.

Cuvântul „port” este un termen care implică numărul de serie al conexiunilor de intrare care sunt direcționate către computer din software extern. Se întâmplă adesea ca aceste porturi să fie exploatate de viruși care pătrund ușor în computerul dvs. folosind o rețea IP.

Viral software Odată ajuns într-un computer prin astfel de conexiuni de intrare, acesta infectează rapid toate fișierele importante, nu numai fișierele utilizator, ci și fișierele de sistem. Pentru a evita acest lucru, vă recomandăm să închideți toate porturile standard care pot deveni vulnerabilitatea dvs. atunci când sunt atacate de hackeri.

Care sunt cele mai vulnerabile porturi pe Windows 7-10?

Numeroase studii și sondaje ale experților arată că până la 80% dintre atacurile și hack-urile rău intenționate au avut loc folosind cele patru porturi principale utilizate pentru schimbul rapid de fișiere între diferite versiuni de Windows:

  • Este necesar portul TCP 139 pentru conexiune la distanță si control PC;
  • Portul TCP 135 pentru executarea comenzii;
  • Port TCP 445 pentru transfer rapid de fișiere;
  • Portul UDP 137, prin care cautare rapida pe un PC.

Închiderea porturilor 135-139 și 445 în Windows

Vă invităm să vă familiarizați cu cele mai multe în moduri simpleînchiderea porturilor Windows, care nu necesită cunoștințe suplimentare și abilități profesionale.

Folosind linia de comandă

Comanda șir Windows Este un shell software care este folosit pentru a seta anumite funcții și parametri la software care nu are propriul său shell grafic.

Pentru a rula linia de comandă, trebuie să:

  1. Apăsați combinația de taste Win + R în același timp
  2. În linia de comandă care apare, introduceți CMD
  3. Faceți clic pe butonul „OK”.

Va apărea o fereastră de lucru cu fundal negru, în care este necesar să introduceți următoarele comenzi una câte una. După fiecare linie introdusă, apăsați tasta Enter pentru a confirma acțiunea.
netsh advfirewall firewall add rule dir = în acțiune = bloc protocol = tcp localport = 135 nume = "Block1_TCP-135"(comandă pentru a închide portul 135)
netsh advfirewall firewall add rule dir = în acțiune = bloc protocol = tcp localport = 137 nume = "Block1_TCP-137"(comandă pentru a închide portul 137)
netsh advfirewall firewall add rule dir = în acțiune = bloc protocol = tcp localport = 138 nume = „Block1_TCP-138 ″(comandă pentru a închide portul 138)
netsh advfirewall firewall add rule dir = în acțiune = bloc protocol = tcp localport = 139 nume = „Block_TCP-139 ″(comandă pentru a închide portul 139)
netsh advfirewall firewall add rule dir = în acțiune = bloc protocol = tcp localport = 445 nume = "Block_TCP-445"(comandă pentru a închide portul 445)
netsh advfirewall firewall add rule dir = în acțiune = bloc protocol = tcp localport = 5000 nume = "Block_TCP-5000"

Cele șase comenzi pe care le-am dat sunt necesare pentru: închiderea a 4 porturi TCP Windows vulnerabile (deschise implicit), închiderea portului UDP 138 și, de asemenea, închiderea portului 5000, care este responsabil pentru listarea serviciilor disponibile.

Închiderea porturilor cu programe terțe

Dacă nu vrei să pierzi timpul lucrând cu Linie de comanda, vă invităm să vă familiarizați cu aplicații terță parte... Esența unui astfel de software este editarea registrului în mod automat cu o interfață grafică, fără a fi necesară introducerea manuală a comenzii.

Potrivit utilizatorilor noștri, cel mai mult program popular pentru aceste scopuri este Windows Doors Cleaner. Vă va ajuta să închideți cu ușurință porturile de pe un computer care rulează Windows 7/8 / 8.1 / 10. Versiunile mai vechi ale sistemelor de operare nu sunt, din păcate, acceptate.

Cum să lucrezi cu un program care închide porturile

Pentru a utiliza Windows Doors Cleaner, trebuie să:

1. Descărcați software-ul și instalați-l
2. Rulați programul făcând clic dreapta pe comandă rapidă și selectând „run as administrator”
3. În fereastra de lucru apărută va apărea o listă de porturi și butoane „Închidere” sau „Dezactivare” care se închid porturi vulnerabile Windows, precum și orice altele după bunul plac
4. După ce au fost făcute modificările necesare, trebuie să reporniți sistemul

Un alt avantaj al programului este faptul că poate fi folosit nu numai pentru a închide porturile, ci și pentru a le deschide.

Tragerea concluziilor

Închiderea porturilor de rețea vulnerabile în Windows nu este un panaceu pentru toate bolile. Este important să rețineți că securitatea rețelei poate fi realizată numai prin acțiuni cuprinzătoare care vizează închiderea tuturor vulnerabilităților computerului dvs.

Pentru siguranță utilizator Windows trebuie neapărat să stabilească actualizări critice de la Microsoft, aveți software antivirus licențiat și un firewall activat, utilizați numai software securizat și citiți în mod regulat articolele noastre în care vorbim despre toate modalitățile existente de a obține anonimatul și securitatea datelor dvs.

Știi mai multe moduri convenabileînchideți porturile de rețea? Împărtășește-ți cunoștințele în comentarii și nu uita să postezi din nou articolul pe pagina ta. Acțiune Informatii utile cu prietenii tăi și nu le da hackerilor șansa de a-ți face rău celor dragi!

Ieri, persoane necunoscute au organizat un alt atac masiv cu ajutorul unui virus ransomware. Experții spun că zeci au fost afectați companii mariîn Ucraina și Rusia. Virusul ransomware se numește Petya.A (virusul este probabil numit după Petro Poroșenko). Ei scriu că dacă creați un fișier perfc (fără extensie) și îl plasați la C:\Windows\, virusul vă va ocoli. Dacă computerul a intrat în repornire și a început „verificarea discului”, trebuie să îl opriți imediat. Pornirea de pe o unitate LiveCD sau USB vă va oferi acces la fișiere. O altă modalitate de protecție este să închidem porturile 1024-1035, 135 și 445. Acum ne vom da seama cum să facem acest lucru folosind exemplul Windows 10.

Pasul 1
Mergi la Firewall Windows (este mai bine să alegeți modul de securitate îmbunătățită), selectați fila „ Opțiuni suplimentare».
Selectăm fila " Reguli de intrare", Apoi acțiunea" Creați o regulă„(În coloana din dreapta).

Pasul 2
Selectați tipul de regulă - " pentru Port". În fereastra următoare, selectați elementul " Protocolul TCP", Indicați porturile pe care doriți să le închideți. În cazul nostru, este „ 135, 445, 1024-1035 "(Fără ghilimele).

Pasul 3
Selectăm articolul " Blocați conexiunea", În fereastra următoare, marcați toate profilurile: Domeniu, Privat, Public.

Pasul 4
Rămâne să venim cu un nume pentru regulă (astfel încât să fie ușor de găsit în viitor). Puteți specifica o descriere pentru regulă.

Dacă vreun program nu mai funcționează sau începe să funcționeze defectuos, este posibil să fi blocat portul pe care îl utilizează. Va trebui să adăugați o excepție de firewall pentru ele.

135 Port TCP utilizat de serviciile la distanță (DHCP, DNS, WINS etc.) și în aplicațiile client-server Microsoft (ex. Exchange).

445 Port TCP utilizat în Microsoft Windows 2000 și mai târziu pentru acces direct TCP / IP fără a utiliza NetBIOS (de exemplu, în Active Directory).

Publicare

Vulnerabilitatea a fost terifiantă, adevărat
exploitul terminat nu era disponibil pentru
cea mai mare parte a oamenilor... Acesta este probabil motivul
nimeni nu a simtit frica...

Un grup de experți polonezi în domeniu
Securitate tehnologia calculatoarelor"Ultimul
Stage of Delirium „a informat publicul despre găsit
vulnerabilitățile, gestionând obiecte DCOM în
contextul protocolului RPC. A fost ceva
uimitor pentru că acest protocol
folosit de aproape toți
versiunile existente de Windows în acest moment.
Vulnerabile au fost Windows NT, Windows XP, Windows 2000
și chiar și Windows Server 2003 era sub acțiunea armei. Din aceasta
a fost mai mult decât suficient pentru a pune mâna pe el
computerele majorității utilizatorilor
internetul. Mai mult decât atât, multe servere nu
pachetele de intrare blocate pe portul 135,
el a fost folosit pentru atac. Ce
i-a făcut victime potențiale.

Dar câteva ore mai târziu, relatează Todd Sabin,
că toate serviciile RPC sunt vulnerabile. aceasta
înseamnă că setarea firewall-ului la
blocarea portului 135 nu este suficientă
un mijloc de protectie. Pericolele sunt expuse
calculatoare cu 135 deschise (UDP/TCP), 139, 445 și 593
porturi. Coperta media eroare dată, Cum
potențială amenințare la securitate
utilizatorii de Windows. Mergea la global
dezastru. Dar din moment ce publicul
nu a fost lansat niciun exploit, au continuat toată lumea
trăiește-ți vechea viață fără să te gândești
consecinţele apariţiei sale în rândul maselor.

Dar nu toată lumea a reacționat atât de pasiv la
apariţia acestei vulnerabilităţi. Hackerii
încetul cu încetul a început să scriu privat
exploatările și copiii de scenariu au tot așteptat-o
aspect. Rezultatul nu a durat mult
aștepta. În câteva zile apar
unele evoluții în acest domeniu,
apar primele exploit. cu toate acestea
majoritatea provoacă doar un eșec
pe sistemul de la distanță. Ce se poate explica
din moment ce detalii tehnice despre
vulnerabilitatea găsită nu a fost cunoscută. Deşi
unele versiuni ale sistemului de operare au deja succes
au fost exploatate.

Această zi a devenit un punct de cotitură în istorie
exploatând această vulnerabilitate. In cele din urma
apare descriere tehnica Probleme.
După care un număr mare de
exploatează, sub versiuni diferite Windows.
Unele dintre ele au chiar grafică
interfață și uneori funcție de scanare
un interval specific de adrese IP.

În acest moment, masivul
atacul hackerilor asupra utilizatorilor obișnuiți.
Mai mult, a apărut viermele de internet MS Blast,
care se infiltrau cu ușurință în calculatoare
conectat la Internet și chiar în
rețelele corporative ale celor mai mari companii
lumea. Toată lumea era în pericol...

Atacarea unei mașini la distanță nu este
munca speciala. Așa că copiii de scenariu au început
propria lor afacere. Furt de carduri de credit si private
exploit-urile a crescut de mai multe ori. ȘI
multe segmente gustoase ale rețelei de oțel
gust. Acesta este ceea ce a făcut
un hacker. El a vrut să preia serverul de mult timp,
dar o vulnerabilitate decentă sub ea înainte
nu a avut. Și nu folosi asta
pur și simplu nu putea fi un dar al sorții.

O piesă în trei acte

Primul lucru pe care trebuia să-l facă înainte
atac, acesta este pentru a verifica care dintre ele
sistemul de operare este instalat
Server. Pentru a face asta, a folosit
utilitate nmap. Hackerul a scris deja despre ea de mai multe ori
oportunități, dar mă voi repeta și voi spune asta
este folosit pentru a determina versiunea sistemului de operare
pe computer la distanță... Din fericire, ea
există atât pentru Windows, cât și pentru * nix. A
pentru că un hacker pentru meseria lui
folosea Windows, apoi alegerea lui a căzut
versiunea grafică a nmap.

Câteva minute de funcționare a scanerului și
rezultatul este pozitiv. Portul 135 s-a dovedit a fi
firewall deschis și neprotejat. aceasta
a fost începutul sfârșitului, începutul mult așteptatului
atacuri. În acest moment a fost deja scris
multe exploit-uri, inclusiv „RCP Exploit GUI # 2”.
A lui semn distinctiv a fost el
a avut interfata grafica si cuprins in
funcții de scanare încorporate
Interval IP și server FTP.

După ce a rulat exploit-ul, a indicat adresa
computerul țintă. Dar în lista OS pentru
nu au fost specificate mașini Windows NT. Dar la urma urmei
ea a fost instalată pe server. aceasta
o problemă serioasă, deoarece pentru a
pentru a rula un exploit trebuie să-l știi
adresa exactă din memorie pentru a fi transferată ulterior
control asupra ei. După un pic săpat în
fișiere descărcate cu exploatarea
a găsit o mică listă de adrese pentru o largă
un fel de linie Windows. Printre ei
Windows NT a fost prezent și cu preinstalat
Service Pack 4. Era valoarea lui pe care a indicat-o în
ca adresă de retur scuipat pe manual
alegerea sistemului de operare. Numărul 0xE527F377 a devenit secretul lui
o trecere la viața serverului. Și a lansat un atac.

Sistemul a renunțat fără niciuna
incidente, așa că hackerul a primit un reverse-shell
cu un server la distanță. Acum că putea
pentru a face ceva pe el, a venit
timpul pentru a instala Troian. Printre cei mari
numărul posibil, a fost ales de DonaldDick. Pentru
trebuia să-și ducă la îndeplinire planul
obține găzduire pe un server gratuit cu
Suport FTP. BY.RU era destul de potrivit, și anume
acolo a încărcat serverul pentru troian. Acum,
când DonaldDick a devenit disponibil prin FTP, s-a întors
a preluat victima, sau mai degrabă a început să încarce
serverul troianului la acesta. A fost bun
plan atent deoarece vulnerabilitatea
ar putea fi remediat, dar este un troian în Africa
troian. Tastând ftp în consolă, începu el
incarca fisier. Tot procesul l-a luat,
scriind doar cinci rânduri:

deschis de.ru
server_name.by.ru
parola
obține fooware.exe
pa

Unde fooware.exe este serverul redenumit pentru
DonaldDick. Când fișierul a fost descărcat, acesta are doar
doar rulează-l. Pentru a face acest lucru, el pur și simplu
a scris numele fișierului (fooware.exe) și din fericire
a apăsat Enter... Apoi hackerul a primit un convenabil
control asupra serverului.

Dar știi cum se întâmplă întotdeauna când
găsește ceva interesant, continuă cu
joacă-l. Așa a vrut Hackerul nostru
obține mai mult de un sistem. După ce m-am uitat,
că exploatarea permite o masivă
scanând, s-a pus pe treabă, sau mai bine zis
KaHt a preluat postul. Utilizarea lui
s-a dovedit a nu fi dificil. Deci, de exemplu, să
despre scanarea unei rețele cu IP 192.168.0 * (clasa C), el
a trebuit să tastați „KaHt.exe 129.168.0.1
192.168.0.254 ". Ceea ce de fapt a făcut,
apoi verificate periodic
rezultate. Astfel, a avut acces
la și mai mulți utilizatori, de la
pentru care mai târziu am reușit să obțin parole
servicii diferite, e-mail și multe altele
Informatii utile. Ca să nu mai vorbim de faptul
că a început să folosească multe dintre ele ca
proxy anonimi.

Hrana pentru minte

Deși Microsoft a lansat un patch cu mult timp în urmă,
utilizatorii și administratorii nu se grăbesc
instalați patch-uri, în speranța că rețeaua lor nu este
va fi interesant pentru oricine. Dar astfel de hackeri
un număr mare și instalarea patch-urilor este
o necesitate mai degrabă decât o oportunitate.
De asemenea, puteți bloca toate pachetele primite
pe porturile 135, 139, 445 și 593.

Desigur, hackerul a făcut toate acestea
proxy anonim și, prin urmare, curățat
există urme de prezență în sistem. Dar tu
ar trebui să te gândești înainte de a repeta
isprăvile lui. La urma urmei, astfel de acțiuni sunt luate în considerare
ilegale și se poate termina pentru
esti destul de deplorabil...

Sânge, faptul că firewall-ul tău arată că svchost.exe ascultă pe acest port nu înseamnă că este deschis pentru conectare din exterior.

Regulile tale par a fi precizate și ar trebui să funcționeze.

Ați încercat să verificați cu scanere de porturi? - TsOB (Centrul de securitate) (clauza 2.7)

Și nu uitați că mai trebuie să verificați IPv6, deoarece este activat în sistemul dumneavoastră, dar scanerele verifică de obicei doar IPv4 (vorbesc de servicii centralizate).

Dacă nu aveți nevoie deloc de acest protocol, atunci îl puteți dezactiva:

Pentru a dezactiva componentele IP versiunea 6 în Windows Vista, urmați pașii de mai jos.

1. Faceți clic pe Start, tastați regedit în caseta Start Search, apoi selectați regedit.exe din lista Programe.

2. În caseta de dialog Control cont utilizator, faceți clic pe Continuare.

3. Localizați și selectați următoarea subcheie de registry:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Servicii \ Tcpip6 \ Parametri \

4. Faceți dublu clic pe DisabledComponents pentru a modifica setarea DisabledComponents.

Notă. Dacă parametrul DisabledComponents nu este disponibil, trebuie să-l creați. Pentru a face acest lucru, urmați pașii de mai jos.

1. În meniul Editare, indicați spre Nou, apoi Valoare DWORD (32 de biți).

2. Tastați DisabledComponents și apăsați Enter.

3. Faceți dublu clic pe DisabledComponents.

5. Introduceți oricare dintre următoarele valori pentru a configura IP versiunea 6, apoi faceți clic pe OK.

1. Introduceți 0 pentru a activa toate componentele IP versiunea 6.

Notă. Valoarea „0” este utilizată implicit.

2. Introduceți 0xffffffff pentru a dezactiva toate componentele IP versiunea 6, cu excepția interfeței loopback. Cu această valoare, Windows Vista va folosi și versiunea IP 4 în politicile de prefix în loc de IPv6.

3. Introduceți 0x20 pentru a utiliza prefixul IP versiunea 4 în loc de versiunea IP 6 în politici.

4. Introduceți 0x10 pentru a dezactiva interfețele IP native versiunea 6.

5. Introduceți 0x01 pentru a dezactiva toate interfețele de tunel IP versiunea 6.

6. Introduceți 0x11 pentru a dezactiva toate interfețele IP versiunea 6, cu excepția interfeței loopback.

Note (editare)

* Utilizarea unei alte valori decât 0x0 sau 0x20 poate duce la eșecul serviciului de rutare și acces la distanță.

* Trebuie să reporniți computerul pentru ca modificările să intre în vigoare.

Informațiile din acest articol se aplică următoarelor produse.

* Windows Vista Enterprise

* Windows Vista Enterprise ediție pe 64 de biți

* Windows Vista Home Basic ediție pe 64 de biți

* Windows Vista Home Premium ediție pe 64 de biți

* Windows Vista Ultimate ediție pe 64 de biți

* Windows Vista Business

* Windows Vista Business ediție pe 64 de biți

* Windows Vista Home Basic

* Windows Vista Home Premium

* Windows Vista Starter

* Windows Vista Ultimate

* Windows 7 Enterprise

* Windows 7 Home Basic

* Windows 7 Home Premium

* Windows 7 Professional

* Windows 7 Ultimate

* Centru de date Windows Server 2008 R2

* Windows Server 2008 R2 Enterprise

* Windows Server 2008 R2 Standard

* Centru de date Windows Server 2008

* Windows Server 2008 Enterprise

* Windows Server 2008 Standard

Sursă - http://support.microsoft.com/kb/929852

După deconectare și repornire, aveți din lista obținută prin comandă ipconfig / all vor dispărea o grămadă de linii inutile și vor rămâne doar interfețele binecunoscute.

Includerea inversă se realizează prin simpla ștergere a cheii create din registry sau înlocuirea valorii cu „0” urmată de o repornire.

Porturile de rețea pot da informatii vitale despre aplicațiile care accesează computere printr-o rețea. Cunoscând aplicațiile care utilizează rețeaua și porturile de rețea corespunzătoare, puteți crea reguli precise pentru firewall și puteți configura computerele gazdă pentru a permite doar trafic util. Prin construirea unui profil de rețea și implementarea instrumentelor pentru a recunoaște traficul de rețea, puteți detecta mai eficient intrușii - uneori doar analizând traficul de rețea pe care îl generează. Am început să luăm în considerare acest subiect în prima parte a articolului publicat în numărul precedent al revistei. Acesta a acoperit elementele de bază ale porturilor TCP / IP ca bază pentru securitatea rețelei. În a doua parte, voi descrie câteva metode pentru rețele și computere gazdă care pot fi utilizate pentru a determina ce aplicații ascultă în rețea. Restul articolului va discuta despre cum să estimați traficul care trece prin rețea.

Blocarea aplicațiilor de rețea

Suprafața de atac al rețelei este un termen acceptat pentru a descrie vulnerabilitatea unei rețele. Multe atacuri de rețea trec prin aplicații vulnerabile, iar suprafața de atac poate fi redusă semnificativ prin reducerea numărului de aplicații active în rețea. Cu alte cuvinte, dezactivați serviciile neutilizate, instalați un firewall pe sistemul dedicat pentru a valida traficul și creați o listă cuprinzătoare de control al accesului (ACL) pentru firewall-ul din perimetrul rețelei.

Fiecare port de rețea deschis reprezintă o aplicație care ascultă în rețea. Suprafața de atac a fiecărui server conectat la rețea poate fi atenuată prin dezactivarea tuturor serviciilor și aplicațiilor de rețea opționale. Versiunea Windows Server 2003 este superior versiunilor anterioare sistem de operare, deoarece activează mai puțin servicii de rețea... Cu toate acestea, un audit este încă necesar pentru a redescoperi aplicații instalateși modificări de configurare care deschid porturi de rețea inutile.

Fiecare port deschis este o lacună potențială pentru atacatorii care exploatează spații din aplicația gazdă sau care accesează în mod secret aplicația cu numele și parola altui utilizator (sau folosesc o altă metodă de autentificare legitimă). Oricum, un prim pas important pentru securizarea rețelei este să dezactivați pur și simplu aplicațiile de rețea neutilizate.

Scanare porturi

Scanarea portului este procesul de detectare a aplicațiilor care ascultă prin sondarea activă a porturilor de rețea ale unui computer sau alt dispozitiv de rețea. Abilitatea de a citi rezultatele scanării și de a compara rapoarte de rețea cu rezultatele sondajului portului gazdă, oferă o imagine clară a traficului care trece prin rețea. Cunoașterea topologiei rețelei este esențială pentru pregătirea unui plan strategic pentru scanarea unor zone specifice. De exemplu, scanând o serie de adrese IP externe, puteți colecta informații valoroase despre un intrus care s-a infiltrat pe Internet. Prin urmare, ar trebui să vă scanați rețeaua mai des și să închideți toate porturile de rețea opționale.

O scanare externă a porturilor firewall poate detecta toate serviciile care răspund (cum ar fi Web sau E-mail) găzduit pe servere interne. Aceste servere ar trebui, de asemenea, protejate. Configurați un scanner de porturi familiar (de exemplu, Network Mapper - Nmap) pentru a verifica grupul potrivit porturi UDP sau TCP. În general, scanările portului TCP sunt mai fiabile decât scanările UDP datorită feedback-ului mai profund din protocoalele TCP orientate spre conexiune. Nmap este disponibil în ambele versiuni Windows și Unix. Este ușor să începeți procedura de bază de scanare, deși programul are funcții mult mai complexe. Pentru a găsi porturi deschise pe computerul de testare, am rulat comanda

Nmap 192.168.0.161

Figura 1 prezintă rezultatele unei sesiuni de scanare - în acest caz computer Windows 2003 în configurație standard... Datele colectate din scanarea portului arată că există șase porturi TCP deschise.

Figura 1: O sesiune de scanare Nmap de bază
  • Portul 135 este utilizat de caracteristica de mapare a punctelor terminale RPC a multor tehnologii Windows - de exemplu, aplicații COM/DCOM, DFS, jurnalele de evenimente, mecanismele de replicare a fișierelor, așteptarea mesajelor și Microsoft Outlook... Acest port ar trebui să fie blocat în firewall-ul perimetral, dar este dificil să îl închideți menținând funcționalitatea Windows.
  • Portul 139 este utilizat de Serviciul de sesiune NetBIOS, care invocă Browserul Găsire alte computere, Serviciul de partajare a fișierelor, Conectarea la rețea și Serviciul Server. Este greu de închis, la fel ca și portul 135.
  • Portul 445 este folosit de Windows pentru partajarea fișierelor. Pentru a închide acest port, trebuie să blocați Partajarea fișierelor și a imprimantei pentru rețelele Microsoft. Închiderea acestui port nu împiedică computerul să se conecteze la alte resurse de la distanță; cu toate acestea, alte computere nu se vor putea conecta la acest sistem.
  • Porturile 1025 și 1026 sunt deschise dinamic și utilizate de alții procese sistemice Windows, în special cu diverse servicii.
  • Portul 3389 este utilizat de Desktop la distanță, care nu este activat implicit, dar este activ pe computerul meu de testare. Pentru a închide portul, accesați fila La distanță din caseta de dialog Proprietăți sistem și debifați caseta de selectare Permite utilizatorilor să se conecteze de la distanță la acest computer.

Asigurați-vă că căutați porturi UDP deschise și închideți pe cele inutile. Programul de scanare arată porturile deschise de pe computer care sunt vizibile din rețea. Rezultate similare pot fi obținute folosind instrumentele aflate pe sistemul gazdă.

Scanare gazdă

Pe lângă utilizarea unui scanner de porturi de rețea, porturile deschise de pe sistemul gazdă pot fi detectate folosind următoarea comandă (rulate pe sistemul gazdă):

Netstat -an

Această comandă funcționează atât pe Windows, cât și pe UNIX. Netstat listează porturile active de pe computer. Pe Windows 2003 Windows XP, adăugați parametrul -o pentru a obține identificatorul de program (PID) corespunzător. Figura 2 arată ieșirea Netstat pentru același computer care a fost scanat anterior pentru porturi. Vă rugăm să rețineți că mai multe porturi care erau active anterior sunt închise.

Audit jurnal de firewall

Încă una mod util detectați aplicațiile de rețea care trimit sau primesc date prin rețea - colectați și analizați mai multe date în jurnalul de firewall. Este puțin probabil ca interfața externă a firewall-ului să fie utilă, din cauza „traficului zgomotos” (de exemplu, viermi, scanere, teste ping) care blochează Internetul. Dar dacă înregistrați pachetele permise din interfața internă, puteți vedea tot traficul de rețea de intrare și de ieșire.

Pentru a vedea datele brute de trafic din rețea, puteți instala un analizor de rețea care se conectează la rețea și înregistrează orice pachet de rețea detectat. Cel mai utilizat analizor de rețea gratuit este Tcpdump pentru UNIX (versiunea Windows se numește Windump), care este ușor de instalat pe computer. După instalarea programului, ar trebui să îl configurați să funcționeze în recepția tuturor pachete de rețea pentru a înregistra tot traficul, apoi conectați-vă la un monitor de port de pe comutatorul de rețea și monitorizați tot traficul care trece prin rețea. Setările monitorului portului vor fi discutate mai jos. Tcpdump este un program extrem de flexibil care vă permite să vizualizați traficul de rețea folosind filtre specializate și să afișați doar informații despre adresele IP și porturile, sau despre toate pachetele. Este dificil de vizualizat depozitele de rețea rețele mari fără ajutorul filtrelor adecvate, dar trebuie avut grijă să nu se piardă date importante.

Combinarea componentelor

Până acum, am analizat diferitele metode și instrumente care pot fi utilizate pentru a detecta aplicațiile care utilizează rețeaua. Este timpul să le puneți împreună și să vă arătați cum să identificați porturile de rețea deschise. Este uimitor cât de vorbăreț sunt computerele din rețea! În primul rând, este recomandat să vă familiarizați cu document Microsoft„Prezentare generală a serviciilor și cerințele portului de rețea pentru sistemul Windows Server” ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), care listează protocoalele (TCP și UDP) și numerele de porturi utilizate de aplicații și cele mai importante Servicii Windows Server. Acest document descrie aceste servicii și porturile de rețea asociate pe care le folosesc. Este recomandat să descărcați și să imprimați acest lucru util pentru administratori Rețele Windows ghid de referință.

Configurarea analizorului de rețea

După cum sa menționat mai devreme, o modalitate de a determina porturile utilizate de aplicații este utilizarea unui analizor de rețea pentru a monitoriza traficul dintre computere. Pentru a vedea tot traficul, trebuie să conectați un analizor de rețea la un hub sau un monitor de port de pe comutator. Fiecare port de pe un hub vede tot traficul fiecărui computer conectat la acel hub, dar hub-urile sunt o tehnologie învechită și majoritatea companiilor le înlocuiesc cu comutatoare care oferă performanțe bune, dar care sunt incomode pentru analiză: fiecare port de pe un switch acceptă doar trafic direcționat către un computer conectat la acest port. Pentru a analiza întreaga rețea, trebuie să monitorizați traficul care este direcționat către fiecare port de pe switch.

Acest lucru necesită configurarea unui monitor de port (diferiți furnizori îl numesc port span sau port în oglindă) pe comutator. Instalarea unui monitor de port pe un switch Cisco Catalyst de la Cisco Systems este ușoară. Trebuie să vă înregistrați pe comutator și să activați modul Activare, apoi să mergeți la modul de configurare a terminalului și să introduceți numărul de interfață al portului de comutare către care ar trebui să fie trimis tot traficul monitorizat. În cele din urmă, trebuie să specificați toate porturile monitorizate. De exemplu, următoarele comenzi monitorizează trei porturi Fast Ethernet și redirecționează o copie a traficului către portul 24.

Interfață FastEthernet0 / monitor cu 24 porturi FastEthernet0 / monitor cu 1 porturi FastEthernet0 / monitor cu 2 porturi FastEthernet0 / 3 sfârșit

V acest exemplu Un analizor de rețea conectat la portul 24 va vizualiza tot traficul de ieșire și de intrare de la computerele conectate la primele trei porturi ale comutatorului. Pentru a vizualiza configurația creată, introduceți comanda

Scrieți memoria

Analiza inițială

Să ne uităm la un exemplu de analiză a datelor care trec printr-o rețea. Dacă utilizați un computer Linux pentru analiza rețelei, puteți obține o înțelegere cuprinzătoare a tipului și frecvenței pachetelor din rețea folosind software precum IPTraf în modul statistic. Detaliile de trafic pot fi găsite folosind programul Tcpdump.