防黑必备技能之端口篇(3)

释放双眼,带上耳机,听听看~!

走近卡巴斯基(四)

前     言 杀毒软件市场硝烟四起,很多免费产品的出现,让大家忘记了杀毒软件的本质是什么,很多人更关注的是谁更便宜,而不是谁更安全。近期很多人被勒索病毒感染,这些人的电脑上大多安装的有杀毒软件,有一个中过毒的客户感慨说:原来免费的才是最贵的。

在前两节,我们讲了端口的基本知识以及如何查看端口的占用情况。

防黑必备技能之端口篇(1)

防黑必备技能之端口篇(2)

我们知道,端口是黑客最容易利用的渠道,通过扫描端口打开情况,黑客就可以利用漏洞入侵计算机,所以对于一些非必要的端口,我们要及时关闭。那么我们今天就来讲一讲如何关闭和打开端口。以关闭端口为例来介绍,打开只是关闭的反向操作。


当我们知道楼里的某个小子可能会被外面的人利用的时候,我们一般的做法是要么把他赶出去,要么切断外界跟他的联系,所以针对通过端口攻击的防范也有这两个思路:一个是关闭占用该端口的系统服务,二是阻止对端口的访问。

一、关闭服务

     

对于1024以下的端口,因为是系统占用的,一般软件也不会去占用,比如WEB使用80端口,FTP使用21端口,共享文件和打印机使用445端口等,还有一些端口,是约定俗成的服务常用的,比如远程桌面,默认占用3389端口,MSSQL默认占用1433,等等。

类似这样的端口如果要关闭,只要禁用相应服务即可。我们以3389端口为例,来看看如何关闭它。


       我们知道,3389端口是Windows 系统远程桌面的服务端口,可以通过这个端口,用”远程桌面”等连接工具来连接到远程的服务器,如果连接上了,输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑,是管理员远程维护服务器的利器,当然黑客用起来也很方便。一般建议关闭远程桌面服务,或者更改端口号。下面来看看如何关闭3389服务。


3389端口对应的服务有前台和后台,先看来来后台服务,打开“计算机管理”—>“服务”,找到三个以Remote Desktop开头的三个服务,将其禁用。

Remote Desktop Configuration

Remote Desktop Services

Remote Desktop Services UserMode Port Redirector

如图:

同时,按照提示,还应该将系统属性控制面板项目的“远程”选项卡上的复选框清除。

关闭服务是一个彻底杜绝黑客利用该漏洞来进行攻击的釜底抽薪方法,但也是一个因噎废食的方法,因为如果彻底关闭这些服务固然能防止黑客,但同时也会给我们的工作带来诸多不便。如果你必须要用到该服务,又担心黑客通过该端口攻击,也可以通过注册表修改该服务所占用的端口号。在注册表中,有两个地方需要修改:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] PortNumber值,默认是3389,修改成所希望的端口,如9833。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]PortNumber值,默认是3389,同样修改成所希望的端口值,如9833。

注:打开注册表的常用命令是regedit,关于注册表的详细知识,我会在下一章中具体介绍,敬请期待。

当然,根据服务器安全的最小化原则,对于一些没有必要的服务,一定要禁用,比如,如果不是WEB服务器,就不要开户WEB服务,如果不是FTP服务器,就不要开户FTP服务,这些服务和端口都是黑客最容易利用的。


这种方法一般适用于固定端口的服务,如一些系统服务或者常见应用系统的服务,只是关闭了利用该端口的服务,并没有将端口关闭,按照我们在上节(《防黑必备技能之端口篇(1)》)所举的例子,如果将电脑比做一个大楼,里面有65536个房间,端口就是每个房间的门,这种方式是将这个房间里面的人赶走了,但门并没有关,或者还会有别的人来占用这个房间。为了防止别人来占用这个房间,还是要通过别的方法,比如通过大楼的门卫检查通行证。


下面介绍一下另外的几种方式:


二、阻止端口访问的方法


想一下,如果你去一个单位,门卫一般会问你以下几个问题:

1、你从哪来呀?     (来源地址)

2、到哪去啊?        (目的地址)

3、去哪个房间啊? (端口)

4、怎么过来的?       (采用什么协议,如TCP还是UPD)

然后他会根据这个几问题,再对比领导给他下的命令决定是通行还是拒绝。

现在,你就是那个给门卫下命令的人,你要给门卫一个清晰的指令,告诉他应该如何做。指令中明确回答以上问题以及应该执行的动作。


所以,在下面介绍的三种中,关键就是要设置以下规则:

来源地址、目的地址、端口、协议、动作(通过还是拒绝)。


第一种方法:利用策略编辑器,限制访问端口。

以WIN10为例:

右键点击开始菜单,选择运行,在输入框输入gpedit.msc,回车,打开“策略编辑器”。计算机配置——windows设置——安全设置,创建IP安全策略。

有了备份,真的就确保安全了吗?

        在上篇文章里(《有了双活,真的就确保安全了吗?》),我们了解了双活与备份的关系,知道了双机和双写都属于预防措施,是数据保护的重要一环,但不是最后一道防线,仅能解决硬件原因引起的故障,万一出现逻辑错误或者接管失败,可能就会给我们带来更


第二种方法:使用防火墙阻止对端口的访问


上面的操作有点麻烦,还有一种方法是使用防火墙。防火墙分为网络防火墙(Network Firewall)和主机防火墙(Host Firewall)。网络防火墙一般为硬件设备,放置在网络出口处,主机防火墙一般为软件,安装在操作系统上。

(注:关于防火墙的详细介绍,会在后面的章节陆续推出,敬请关注)


我以WINDOWS操作系统自带的防火墙和第三方防火墙为例来介绍如何通过防火墙来关闭端口,还以3389为例:

1、利用WINDOWS系统自带的防火墙

WIN7/8中:打开控制面板—>系统和安全—>windows防火墙,启用windows防火墙,选择高级设置:

windows10中:打开windows defender安全中心,选择防火墙—>高级设置

选择入站规则—>新建规则,按照向导,依次选择协议、端口、来源地址、目的地址和动作等要素,然后起个名字保存规则。


2、使用第三方防火墙


注意:系统自带防火墙系统防火墙和第三方防火墙只能选择一个,当你安装使用第三方的防火墙的时候,系统会自动关闭自身的防火墙。

笔者电脑上安装的是卡巴斯基,就以他为例介绍:

打开卡巴斯基,选择设置—>防火墙—>网络包规则,选择添加规则,然后按照刚才说的那几个要素进行设置即可。

以上介绍了关闭指定端口的几种方法,打开端口的方法类似,只要做相反操作即可。

这几种方法中,最常用也是最方便的是利用防火墙,对企业用户建议使用第三方防火墙,不仅操作相对简单,而且可以由管理员集中管理,集中下发策略。而不用一台一台电脑去设置。

目前常用的桌面终端管理产品和企业级防病毒产品一般都带有防火墙功能。

下一节我们会介绍,如何通过查看端口关闭可疑进程。

持续更新,敬请关注……

延伸阅读相关章节:

防黑必备技能之端口篇(1)

防黑必备技能之端口篇(2)


欢迎扫描二维码关注:大兵说安全

本文源自微信公众号:大兵说安全

巧设“蜜罐”,定位蓝屏攻击源

近期很多单位被这个Intrusion.Win.MS17-010.o的攻击搞的有点头大,尤其是在医疗行业,我也写了多篇文章介绍这个攻击事件,详细介绍了关于这个攻击的处理办法。《小心,一大波病毒来袭!!》《难道这就是近期医院屡受攻击的原因?》 不过在问题的处理上,我们

人已赞赏
安全工具

勒索程序演化与发展趋势(14~16年)

2019-10-14 17:34:15

安全工具

走近卡巴斯基(四)

2019-10-14 17:34:26

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索