Некоторые сетевые сервисы, необходимые для работы сети, при неаккуратной настройке или изначально небезопасной конфигурации могут использоваться злоумышленниками. Из-за этого могут быть разные проблемы.
На что обратить внимание:
- Mikrotik. Часто оставляют открытыми порты DNS (53) и WinBox (8291) для запросов из внешнего мира.
DNS-серверы, принимающие рекурсивные запросы извне, могут быть использованы для DNS-амплифа.
При наличии старых прошивок и/или слабых паролей может быть взломан.
- NTP (123), SSDP (1900), Quake3 (27960), LDAP (389) и любые UDP-протоколы, способные генерировать объёмные ответы.
Следует быть осторожным, выставляя их во внешний мир. Использованная зло-хакерами DDoS-амплификация сделает работу вашего интернет-канала очень медленной и некомфортной. В локальной сети их использование менее опасно, но только если нет заражённых устройств.
- Подозрительные устройства с али-экспресса. Некоторые IPTV-приставки и CCTV-камеры могут быть подозрительно дёшевы.
Иногда они идут уязвимыми или даже сразу заражёнными прямо от производителя.
- Средства удалённого доступа.
- RDP. Особо опасно при необновлённой виндовс, при слабых паролях - смертельно. Вирусы-шифровальщики часто именно так и попадают.
- FTP (21), Telnet (23), WAN-Web-Management-HTTP (80). Рекомендуется ограничить список адресов, откуда можно соединяться.
В идеале - отказаться от нешифрованных протоколов вообще.
- SIP (5060). Очень опасно, если слабые пароли и есть выход на межгород. Если у вас нет своей IP-АТС, то это не про вас.
- WAN-Web-Management-httpS (443), SSH (22) - уделить особое внимание актуальности ПО и стойкости паролей.
Ограничения по адресам источника не помешают, в логах чище будет
- Proxy (8080 часто), TOR (в режиме EXIT-ноды). Опасно тем, что при злонамеренном использовании плохими людьми
хакеры будут китайские/украинские/зимбабвийские, а полиция и прочие органы придут к владельцу точки подключения.
Таблица портов и протоколов наиболее известных сетевых сервисов.
Для проверки доступности сетевых портов вашего оборудования рекомендуем использовать сканер портов NMAP, наиболее просто это сделать через онлайн-сервисы:
https://2ip.ru/port-scaner/
https://pentest-tools.com/network-vulne ... nline-nmap
https://nmap.online/
https://hackertarget.com/nmap-online-port-scanner/
https://hostedscan.com/nmap-port-scan
Свой IP-адрес для сканирования вы можете узнать на https://ip.weba.ru/