Zabezpieczenia portów i protokołów

Na początek poznamy rolę portów i protokołów, pokażemy jak ustalać które porty są otwarte i jakie aplikacje z nich korzystają. Potem opowiemy sobie o usługach, czyli wyspecjalizowanych programach wspomagających inne aplikacje lub inne usługi. Powody, dla których warto poznać usługi i sposoby zarządzania nimi, są dwa: Po pierwsze - usługi mniej lub bardziej kontrolują dostęp do swoich portów. Po drugie - najczęściej pracują jako uprzywilejowany użytkownik - System lub Usługa Lokalna.

Porty i protokoły a dostęp do komputera.

Zanim dwa komputery połączą się ze sobą przez sieć opartą na protokole TCP/IP muszą uzgodnić między sobą numer portu, na którym odbywać się będzie transmisja danych. W sieciach port nie jest fizycznym gniazdem, jak złącze USB, lecz odgórnie ustalonym numerem używanym przez oba komputery służącym do zdefiniowania "kanału", na którym odbywa się wymiana danych. Nawiązanie połączenia odbywa się następująco: Komputer inicjujący wysyła żądanie na określony numer IP i port. Jednostka docelowa natomiast nasłuchuje na tym porcie i na podstawie numeru IP komputera źródłowego oraz informacji zawartych w wiadomości inicjującej decyduje czy odrzucić, czy zaakceptować połączenie. W globalnej pajęczynie używa się głównie dwóch protokołów (należących do TCP/IP) do komunikacji między komputerami. Są to TCP (Transmission Control Protocol) i UDP (User Datagram Protocol). W przypadku korzystania z TCP komputery nawiązują stałe połączenie między sobą i komputer odbierający potwierdza przybycie każdego pakietu. Jeżeli jednostka nadająca nie otrzyma potwierdzenia odebrania pakietu, wysyła go ponownie. Zapewnia to niezawodną transmisję danych od źródła do celu, ale generuje spore obciążenie sieci, gdyż poza właściwym strumieniem danych przesyłane są jeszcze pakiety kontrolne. W protokole UDP sprawa ma się inaczej. Komputer źródłowy wysyła do sieci całą informację w postaci pakietów UDP i nie sprawdza, czy dotarła ona w całości do celu. Może się to wydawać beznadziejnym rozwiązaniem, ale jest tak tylko na pozór. Protokół UDP doskonale sprawdza się przy przesyłaniu strumieni audio lub wideo, gdzie utrata paru bajtów czy nawet jednego pakietu jest dla użytkownika praktycznie niezauważalna, a sieć jest mniej obciążana ze względu na brak pakietów kontrolnych.

Przypisanie portów do protokołów

W większości rozwiązań sieciowych panuje zasada: jedna aplikacja - jeden port (lub zakres portów). Dlatego port jest ściśle związany z protokołem, którego używa nasłuchujący na nim program. TCP i UDP są tzw. protokołami warstwy transportowej, czyli są odpowiedzialne za fizyczne przesyłanie danych w formie pakietów. Zadaniem protokołów warstwy aplikacji jest interpretacja pakietów na użytek danego narzędzia. Aby połączyć się z programem trzeba wiedzieć na którym porcie nasłuchuje i jakiego protokołu używa. Przedstawmy prosty przykład: gdy łączymy się z serwerem WWW, nasza przeglądarka łączy się z serwerem na porcie osiemdziesiątym i używa protokołu HTTP. Prawie każdy widział źródłowy kod HTML. To właśnie on jest przesyłany przez TCP, a protokół HTML na podstawie źródła buduje stronę WWW, a przeglądarka wyświetla ją na monitorze.

Numery portów i odpowiadających im protokołów są ujednolicone (patrz tabela). To znaczy, że serwer WWW prawie zawsze odpowie na żądanie na porcie 80 lub 443, Serwer pocztowy zawsze będzie się komunikował z programem pocztowym na portach 25 i 110. Bardzo ułatwia to ruch w sieci, bo nie musimy za każdym razem dowiadywać się o konfigurację portów serwera, z usług którego zamierzamy skorzystać. Oczywiście można skonfigurować serwer WWW (czy jakikolwiek inny), aby jego zawartość była dostępna na innym porcie. Czasami znajduje to zastosowanie. Wtedy adres w przeglądarce napiszemy tak: http://www.jakisserwer.pl:1234/.

Zestawianie połączenia z portem

Aplikacja w komputerze-kliencie chcąc podłączyć się do jakiejś usługi lub innej aplikacji na komputerze-serwerze tworzy połączenie sieciowe i wysyła pakiet zawierający swój IP i numer portu, z którym chce się połączyć, np. 80 dla protokołu HTTP.

Załóżmy, że używamy TCP. W tym wypadku połączenie istnieje między portem 80 serwera a dynamicznym portem (czyli losowym wolnym portem z zakresu 1024-16383) klienta. Teraz możemy wymieniać z serwerem wiele pakietów, przesyłać i odbierać kilobajty różnych informacji, sprawdzając przy okazji poprawność transmisji, aż zakończymy połączenie (lub zrobi to serwer).

Przy użyciu UDP cały proces jest prostszy: Wysyłamy do serwera (a właściwie tylko "w kierunku" serwera - adresujemy i puszczamy w świat) pakiet UDP z jakąś informacją. Tu nie mamy pewności czy serwer otrzyma pakiet, ze względu na brak mechanizmów kontroli transmisji w tym protokole.

Jeżeli serwer, do którego wysyłamy dane nie nasłuchuje na porcie, z którym próbujemy się połączyć - nasze pakiety są odrzucane. Jest tak zarówno dla TCP jak i UDP. Łatwo stąd wysnuć wniosek - im mniej otwartych portów, na których nasłuchuje nasz komputer - tym trudniej o włamanie.

Ustalamy aktywne porty

Nie można ograniczyć ilości otwartych portów bez wiedzy, które porty są aktywne i jakie programy z nich korzystają - możemy tylko całkowicie wyłączyć dostęp z zewnątrz i przez to uniemożliwić sobie komunikację z zasobami Internetu czy sieci lokalnej. Chociaż nie ma jednego narzędzia podającego wszystkie potrzebne informacje - posłużymy się kilkoma programami pomocniczymi. Po pierwsze - Menedżer zadań. Ukazuje on wszystkie uruchomione procesy, wyświetla ich PID (identyfikator) i właściciela procesu. Aby uruchomić Menedżera zadań wciśnij [Shift+Ctrl+Esc].

Standardowo Menedżer nie wyświetla PIDów. Aby to zmienić przejdź do zakładki Procesy, kliknij menu Widok i Wybierz kolumny..., zaznacz pole PID i kliknij OK. Drugim narzędziem, którym będziemy się posługiwać jest tasklist, uruchamiany z wiersza poleceń, szczególnie z przełącznikiem /SVC, ukazującym uruchomione usługi dla każdego z procesów. Dodatkowo posłużymy się programem netstat, również uruchamianym z wiersza polecenia. dodając przełącznik /O, dzięki któremu dowiesz się, jaki jest PID programu, który otworzył każde z aktywnych połączeń:

Teraz już łatwo się domyślić, że wystarczy sprawdzić PID w Menedżerze zadań i od razu wiemy, który program używa danego portu oraz z jakim adresem się łączy. Porównajmy PID 332 z okna netstat i Menedżera zadań. Już wiesz jaką stronę oglądamy i w jakiej przeglądarce? Proste.

Jeżeli w systemie nie ma żadnych aktywnych połączeń, nie zobaczymy żadnych rezultatów po wykonaniu netstat /O. Aby wyświetlić wszystkie porty, nawet nieaktywne, ale nasłuchujące wywołaj z wiersza polecenia netstat /A. Aby dodatkowo wyświetlić PIDy właścicieli portów i numery portów zamiast ich nazw - uruchomimy netstat /ANO. Przykładowe wywołanie poniżej.

Widzimy wiele portów nasłuchujących zarówno TCP i UDP i dwa aktywne TCP. Teraz łatwo ustalić, które programy prowadzą nasłuch na tych portach. Na stronie organizacji IANA, zajmującej się rejestracją portów i powiązanych z nimi usług (http://www.iana.org/assignments/port-numbers) sprawdźmy usługę na porcie 139 uruchomiony na naszym komputerze przez proces o identyfikatorze 4. Jest to NetBIOS session service. Według Menedżera zadań usługę tę uruchomiono jako użytkownik System. Port 1465 został przypisany dynamicznie dla przeglądarki internetowej. Port 1900 na protokole UDP jest używany przez svchost.exe. Tasklist /SVC pokazuje, że proces ten uruchamia ponad 20 usług i nie da się przy użyciu tych narzędzi stwierdzić, która usługa go używa. W tym wypadku znowu zaglądamy na listę IANA i widzimy, że ten port odpowiedzialny jest za obsługę uPnP.

W ten sposób możesz uzyskać informacje o każdym aktywnym lub nasłuchującym porcie w twoim komputerze.

Ograniczanie dostępu do portów

Podstawowym celem naszego działania będzie ograniczenie ilości portów dostępnych z zewnątrz. Możemy zrealizować to na trzy sposoby:

• Zapora połączenia internetowego. To łatwe w konfiguracji narzędzie pozwala zablokować cały ruch przychodzący z wyjątkiem odpowiedzi na połączenia inicjowane z naszego komputera. Blokuje dostęp z zewnątrz do nasłuchujących portów.
• Filtrowanie TCP/IP. Pozwalają odrzucić lub zaakceptować przychodzące połączenie na podstawie adresu źródłowego, numeru portu lub protokołu komputera wywołującego.
• Filtrowanie IPSec. Mechanizm przypomina filtry TCP/IP, ale pozwalają na dodatkową ochronę przez szyfrowanie lub uwierzytelnianie przychodzącego połączenia.

Szczegółowe informacje na temat konfiguracji i używania Zapory Windows znajdziesz w innym artykule, dlatego nie będziemy poruszali tego zagadnienia.

Filtrowanie TCP/IP

W Windows XP opcja ta jest bardzo ograniczona, ponieważ filtrować można tylko pakiety przychodzące i tylko na podstawie numeru portu i nazwy protokołu. Aby włączyć filtr TCP/IP wykonajmy poniższe kroki: Otwórz Panel sterowania, a w nim Połączenia sieciowe, prawym przyciskiem myszy kliknij połączenie z Internetem i wybierz Właściwości. W zakładce Ogólne zaznacz Protokół internetowy (TCP/IP) i kliknij przycisk Właściwości. W kolejnym kroku w zakładce Ogólne okna Właściwości kliknij przycisk Zaawansowane i wybierz zakładkę Opcje. Następnie w polu Ustawienia opcjonalne zaznacz Filtrowanie TCP/IP i kliknij przycisk Właściwości. W ostatnim kroku zaznacz pole wyboru Włącz filtrowanie i wprowadź kryteria filtrowania.

Nasuwa się tylko jeden logiczny powód, dla którego opcje filtrowania TCP/IP są tak ukryte w systemie. W gruncie rzeczy ta usługa jest bezużyteczna. Bez możliwości filtrowania adresów IP jej przydatność jest znikoma i ogranicza się w praktyce do zablokowania wszystkich portów z podanymi wyjątkami. Filtr protokołów również jest nic nie warty, ponieważ praktycznie cały ruch sieciowy odbywa się po protokołach TCP, UDP i ICMP. Jeśli je zablokujesz - sam nie będziesz mógł korzystać z Internetu. Zamiast filtrowania TCP/IP bezpieczniej jest użyć wbudowanej Zapory połączenia internetowego.

IP Security (IPSec)

IPSec stanowi dobry mechanizm bezpieczeństwa. Potrafi kontrolować ruch przychodzący i wychodzący, a na podstawie modelu filtrowania konkretne połączenie może zostać zablokowane, przepuszczone, uwierzytelnione, zaszyfrowane lub uwierzytelnione i zaszyfrowane jednocześnie. W odróżnieniu od kontroli TCP/IP, w której podaje się tylko dozwolone lub blokowane adresy IP, IPSec negocjuje bezpieczne połączenie między komputerami. Konsola zabezpieczeń lokalnych, w której można zainstalować przystawkę IPSec jest dostępna wyłącznie w systemie Windows XP Professional i uruchamia się ją z wiersza polecenia (mmc). IPSec najlepiej sprawdza się w dużych sieciach o wielkiej ilości ważnych danych, np. w systemach korporacyjnych i bankowych, dlatego nie skupimy się na instalacji i konfiguracji tego narzędzia.

Wyłączanie zbędnych usług

W Windows XP domyślnie uruchomionych jest mnóstwo usług. Większość uruchamia się automatycznie wraz z systemem. Zamykając niepotrzebne usługi możemy zwiększyć nie tylko bezpieczeństwo, ale także wydajność komputera. Konsola zarządzania usługami dostępna jest z Panelu sterowania. Wybierz Narzędzia administracyjne (kategoria Wydajność i konserwacja) i kliknij ikonę Usługi.

Uruchomione usługi poznamy po kolumnie Stan. Kolumna Typ uruchomienia określa sposób, w jaki włączane będą usługi. Automatyczny - wraz z systemem, Ręczny - tylko wtedy gdy wymagać jej będzie jakiś program, Wyłączony - usługa nie zostanie uruchomiona nawet, gdy będzie wymagana przez program. Większość usług można dowolnie włączać i wyłączać.
Ale! Zanim w dzikim szale rzucisz się do wyłączania każdej usługi po kolei pamiętaj - wyłączenie usługi niezbędnej dla systemu spowoduje niemożność jego uruchomienia.

Usługi, które bezpiecznie możesz wyłączyć, to:

• ClipBook - jeżeli nie posiadasz aplikacji ClipBook Viewer
• Usługa raportowania błędów - jeżeli nie chcesz, by Windows wysyłał do Microsoftu informacji i awariach systemu i aplikacji, wyłącz ją następująco: wejdź w Panel Sterowania, System, Zaawansowane, Raportowanie błędów i przełącz opcję na Wyłącz raportowanie błędów.
• Publikowanie za pomocą usługi FTP - dla bezpieczeństwa wyłącz tę usługę, chyba, że naprawdę jej potrzebujesz.
• NetMeeting Remote Desktop Sharing - Udostępnia pulpit w programie NetMeeting. Jeżeli go nie używasz lub nie chcesz udostępniać w nim pulpitu - wyłącz.
• DSDM DDE sieci
• Menedżer autopołączenia zdalnego dostępu - wyłącz, jeżeli nie używasz modemu.
• Menedżer sesji pomocy pulpitu zdalnego - wyłącz, jeżeli nie korzystasz z pomocy zdalnej.
• Rejestr Zdalny - dla większego bezpieczeństwa wyłącz tę usługę.
• Magazyn wymienny - praktycznie nieużywana usługa.
• Routing i dostęp zdalny
• Simple Mail Transfer Protocol - wyłącz, jeżeli nie posiadasz na komputerze serwera pocztowego
• Telnet

Inne usługi warto pozostawić w ich domyślnym ustawieniu. Dobrym zwyczajem jest uprzednie przełączenie usługi na tryb ręczny, popracowanie na komputerze parę dni i wyłączenie usługi dopiero, gdy nie stwierdziło się nienormalnego zachowania systemu.