🔌 Port Security Matrix

Матрица портов, протоколов и связанных угроз безопасности

🚨

Критически важные порты для мониторинга

Эти порты часто являются целью атак и должны находиться под постоянным контролем SOC. Любая необычная активность на этих портах требует немедленного расследования.

🔴

Critical Risk Ports

445 TCP
SMB (Server Message Block)
Файловый обмен Windows, печать, межпроцессное взаимодействие
🎯 Угрозы:
  • EternalBlue (WannaCry, NotPetya)
  • Pass-the-Hash атаки
  • Lateral movement
  • Ransomware распространение
🛡️ Защита:
Блокировать на периметре, использовать SMB signing, отключить SMBv1, регулярное патчирование, сегментация сети
3389 TCP
RDP (Remote Desktop Protocol)
Удаленный рабочий стол Windows
🎯 Угрозы:
  • BlueKeep (CVE-2019-0708)
  • Brute-force атаки
  • Man-in-the-middle
  • Credential theft
🛡️ Защита:
VPN для доступа, NLA включен, сложные пароли, 2FA, ограничение по IP, RD Gateway
22 TCP
SSH (Secure Shell)
Защищенный удаленный доступ к Unix/Linux системам
🎯 Угрозы:
  • Brute-force атаки
  • SSH key compromise
  • Cryptojacking
  • Backdoor установка
🛡️ Защита:
Отключить парольную аутентификацию, использовать ключи, fail2ban, нестандартный порт, bastion hosts
1433 TCP
MS SQL Server
База данных Microsoft SQL Server
🎯 Угрозы:
  • SQL injection
  • xp_cmdshell exploitation
  • Data exfiltration
  • Privilege escalation
🛡️ Защита:
Изоляция от интернета, Windows аутентификация, шифрование соединений, аудит запросов
🟠

High Risk Ports

23 TCP
Telnet
Незащищенный протокол удаленного доступа
🎯 Угрозы:
  • Передача паролей в открытом виде
  • IoT botnet recruitment
  • Network sniffing
🛡️ Защита:
Полностью отключить, заменить на SSH, блокировать на firewall
135-139 TCP/UDP
NetBIOS
Сетевые службы Windows (имена, сессии, датаграммы)
🎯 Угрозы:
  • Null session enumeration
  • SMB relay attacks
  • Information disclosure
🛡️ Защита:
Отключить NetBIOS over TCP/IP, блокировать на периметре
21 TCP
FTP
File Transfer Protocol - передача файлов
🎯 Угрозы:
  • Clear text credentials
  • Anonymous access abuse
  • FTP bounce attacks
🛡️ Защита:
Использовать SFTP/FTPS, отключить анонимный доступ, chroot jail
161/162 UDP
SNMP
Simple Network Management Protocol
🎯 Угрозы:
  • Default community strings
  • Information enumeration
  • Configuration changes
🛡️ Защита:
SNMPv3 с шифрованием, сложные community strings, ACL
🟡

Medium Risk Ports

80/443 TCP
HTTP/HTTPS
Web трафик - основа интернета
🎯 Угрозы:
  • Web application attacks
  • C2 communication
  • Data exfiltration
  • Phishing delivery
🛡️ Защита:
WAF, SSL/TLS inspection, контентная фильтрация, IPS
53 TCP/UDP
DNS
Domain Name System - разрешение имен
🎯 Угрозы:
  • DNS tunneling
  • Cache poisoning
  • DDoS amplification
  • Zone transfer
🛡️ Защита:
DNSSEC, ограничение рекурсии, мониторинг аномалий, RPZ
25 TCP
SMTP
Simple Mail Transfer Protocol - отправка email
🎯 Угрозы:
  • Open relay abuse
  • Spam distribution
  • Email spoofing
🛡️ Защита:
SPF/DKIM/DMARC, закрыть open relay, rate limiting
3306 TCP
MySQL
База данных MySQL/MariaDB
🎯 Угрозы:
  • SQL injection
  • Unauthorized access
  • Data theft
🛡️ Защита:
Bind на localhost, SSL соединения, сильная аутентификация
🟢

Common Service Ports

123 UDP
NTP
Network Time Protocol - синхронизация времени
🎯 Угрозы:
  • DDoS amplification
  • Time manipulation
🛡️ Защита:
Ограничить monlist, использовать локальные NTP серверы
67/68 UDP
DHCP
Dynamic Host Configuration Protocol
🎯 Угрозы:
  • DHCP starvation
  • Rogue DHCP server
🛡️ Защита:
DHCP snooping, port security, статические привязки
514 UDP
Syslog
Централизованное логирование
🎯 Угрозы:
  • Log injection
  • Information disclosure
🛡️ Защита:
TLS для syslog, валидация источников, rate limiting
8080 TCP
HTTP Alternate
Альтернативный HTTP порт, прокси
🎯 Угрозы:
  • Proxy abuse
  • Web service exposure
🛡️ Защита:
Аутентификация для прокси, мониторинг использования

🎯 Распространенные атаки на порты

Port Scanning
Сканирование портов для определения открытых сервисов. Используется как первый этап разведки перед атакой.
Service Exploitation
Эксплуатация уязвимостей в сервисах, работающих на открытых портах. Часто приводит к RCE (Remote Code Execution).
Brute Force
Перебор паролей для сервисов аутентификации (SSH, RDP, FTP). Автоматизированные атаки с использованием ботнетов.
Man-in-the-Middle
Перехват и модификация трафика между клиентом и сервером. Особенно опасно для незашифрованных протоколов.
Denial of Service
Перегрузка сервиса большим количеством запросов. SYN flood, UDP flood, application-layer attacks.
Protocol Tunneling
Использование разрешенных протоколов (DNS, HTTP) для скрытой передачи данных и обхода security controls.

🛠️ Port Monitoring Tools

🔍
Nmap
Сканер портов и сервисов
📊
Netstat
Мониторинг сетевых соединений
🌊
Wireshark
Анализ сетевого трафика
🛡️
Shodan
Поиск открытых портов в интернете
📈
Masscan
Быстрое сканирование портов
🔐
Nessus
Сканер уязвимостей
Zmap
Internet-wide сканирование
🎯
TCPView
Real-time порт монитор Windows