Les ports ouverts et leurs vulnérabilités

L’une des règles d’or d’une bonne sécurité réseau consiste à n’ouvrir que les ports réseau nécessaires et à s’assurer que tout port ouvert au monde extérieur est protégé.   

Les ports ouverts offrent aux attaquants la possibilité de compromettre votre environnement. Examinons les ports couramment ouverts, leurs vulnérabilités et les raisons pour lesquelles ils peuvent être dangereux. 

Qu’est-ce qu’un port ouvert ? 

Un port ouvert est un port de réseau qui accepte le trafic en utilisant TCP ou UDP et permet la communication avec les technologies de serveur sous-jacentes. Des ports ouverts sont nécessaires pour l’hébergement de services distants auxquels les utilisateurs finaux peuvent se connecter.   

Pourquoi les ports sont-ils ouverts en premier lieu ?     

De nombreuses technologies courantes sur Internet et permettant la communication reposent sur des ports ouverts pour fonctionner. Les technologies standard telles que les serveurs web, les transferts de fichiers FTP, la voix sur IP (VOIP), la résolution de noms et de nombreuses autres technologies courantes qui permettent au trafic réseau de traverser l’Internet utilisent des ports et des technologies spécifiques pour communiquer.   

Quelle est la différence entre TCP et UDP ? 

Vous remarquerez que les ports sont définis comme étant des ports TCP ou UDP. TCP et UDP fonctionnent tous deux dans la couche transport de la pile TCP/IP et utilisent le protocole IP.  Quelle est la différence entre TCP et UDP ? Le protocole de contrôle de transmission (Transmission Control Protocol) est orienté connexion. Il intègre la reprise sur erreur et la retransmission.  

Le protocole UDP (User Datagram Protocol) est un protocole sans connexion qui ne nécessite pas d’accusé de réception. Il permet d’améliorer les performances de l’UDP par rapport au TCP, au sacrifice de la garantie de livraison.   

Ports ouverts courants 

Il existe des ports réseau spécifiques associés aux technologies et aux normes de communication réseau dans l’environnement de l’entreprise, notamment dans un réseau Windows. Quels sont ces ports ?  Notez les ports suivants et les technologies de communication qui leur sont associées : 

• Port TCP 21 FTP (File Transfer Protocol) – Fournit un moyen de transférer des fichiers entre des ordinateurs qui fonctionnent sur les concepts simples de get et put pour recevoir ou envoyer des fichiers à un point d’extrémité distant. FTP n’a pas été conçu pour être un moyen de communication sécurisé. 

• Port TCP 22 SSH (Secure Shell) – L’objectif de SSH est de fournir aux administrateurs la possibilité de se connecter à un point d’extrémité sur un réseau non sécurisé de manière sécurisée 
• Port TCP 23 Telnet – permet d’interagir avec un point d’extrémité du réseau à partir de la ligne de commande et est parfois utilisé comme outil de gestion à distance. 
• Port TCP 25 SMTP (Simple Mail Transfer Protocol) – protocole utilisé pour relayer le courrier électronique d’un serveur de messagerie à un autre. 
• Port 53 TCP et UDP DNS (Domain Name System) – protocole utilisé pour la résolution de noms sur Internet.  Il traverse le port 53 en utilisant des connexions TCP et UDP. Le DNS est chargé de convertir les adresses IP qui ne sont pas intuitives en noms de domaine conviviaux tapés dans un navigateur web. 
• Port TCP 110 POP3 – Connu sous le nom de Post Office Protocol, ce protocole est utilisé par les clients de messagerie pour synchroniser et télécharger le courrier à partir de serveurs de messagerie distants. 

• Port TCP 145 IMAP – Internet Message Access Protocol synchronise et affiche les courriels sans qu’il soit nécessaire de les télécharger. 
• Ports TCP 80 et 443 HTTP et HTTPS – HTTP (Hypertext Transport Protocol) et HTTPS (Hypertext Transport Protocol over SSL) sont les protocoles et les ports standard des serveurs web d’aujourd’hui. Le port 80 du protocole HTTP est l’ancien protocole et le port non sécurisé utilisé, tandis que le HTTPS est le protocole et le port du serveur Web sécurisé utilisé pour les communications Web cryptées. La plupart des organisations ont déprécié l’utilisation du protocole HTTP à tous les niveaux, car il s’agit d’une communication en texte clair et non sécurisée. 

• Port TCP 81 – Couramment utilisé comme port de proxy Web. 
• Ports TCP et UDP 135, 137, 139 – Le RPC (Remote Procedure Call) de Windows et le NetBIOS de Windows sur TCP/IP sont bien connus des réseaux Windows. Ils communiquent via les ports TCP et UDP 135, 137 et 139 et présentent historiquement de nombreuses vulnérabilités. 
• Port TCP 1433 SQL – Microsoft SQL Server, utilisé dans de nombreuses entreprises aujourd’hui, communique sur le port TCP 1433.   

• Port TCP 3306 MySQL – Ce port est utilisé pour la communication avec la base de données MySQL. 
• Port TCP 3389 RDP – Le protocole de bureau à distance (Remote Desktop Protocol) est utilisé pour afficher des sessions de bureau à distance avec interface graphique d’un ordinateur Windows distant. Il est couramment utilisé dans les environnements d’infrastructure de bureau virtuel (VDI). 
• Port TCP 5900 VNC – VNC est un outil couramment utilisé pour l’administration de l’accès à distance.  Il communique sur le port TCP 5900. 

Vulnérabilités des ports ouverts 

Comme nous l’avons mentionné au début, les ports ouverts offrent une « surface d’attaque » plus étendue ou agrandit la fenêtre d’opportunités pour un attaquant de trouver des vulnérabilités, des exploits, des mauvaises configurations et d’autres risques en raison de la communication réseau autorisée sur un port réseau spécifique.

De plus, les protocoles en texte clair et non chiffrés peuvent conduire à « l’espionnage » du réseau. Par exemple, un attaquant peut voir les mots de passe et autres informations sensibles transmis en clair à l’aide d’un outil réseau capable de capturer le trafic réseau, tel que Wireshark.   

Comment protéger un port ouvert 

Lorsqu’il s’agit de protéger les ports ouverts, la première étape consiste à utiliser uniquement des ports qui chiffrent le trafic. Cela signifie qu’un attaquant ne peut pas facilement capter le trafic réseau et déchiffrer les informations sensibles. Les organisations doivent également examiner minutieusement et décider si un port ouvert est nécessaire. Comme nous l’avons mentionné au début, tout port ouvert augmente la surface d’attaque et le potentiel de compromission en raison de vulnérabilités, d’une mauvaise configuration et d’autres facteurs. 

Les ports ouverts sur Internet doivent être placés derrière un pare-feu moderne ou un autre dispositif de filtrage pour examiner le trafic se connectant au port ouvert. Il permet de s’assurer que la communication est censée être une communication valide avec la technologie qui écoute sur ce port ou si elle a des intentions malveillantes. 

Les ports ouverts doivent également être séparés de votre réseau interne dans ce que l’on appelle une DMZ ou zone démilitarisée. Si un attaquant compromet le port ouvert du réseau, il est plus facile de contenir l’activité malveillante si elle est segmentée du reste du réseau. 

Les services protégés par mot de passe qui écoutent sur un port ouvert obligent les organisations à protéger les mots de passe utilisés pour authentifier les services sur ces ports. Outre le fait de ne jamais utiliser de protocoles en clair, ce point souligne la nécessité de disposer de politiques de mots de passe solides qui empêchent les mots de passe faibles, violés ou facilement devinables.   

Enfin, et c’est peut-être le plus important, assurez-vous que les technologies et systèmes sous-jacents qui écoutent et répondent sur le port ouvert sont entièrement corrigés et que les mises à jour de sécurité sont appliquées dès que possible. Les attaquants recherchent souvent des vulnérabilités non corrigées pour compromettre un port ouvert. Outre les stratégies mentionnées ci-dessus pour la protection des ports ouverts, l’audit et les autres stratégies de cybersécurité, les entreprises doivent appliquer des mots de passe forts et utiliser des politiques de mots de passe forts.    

Renforcer les mots de passe dans votre environnement 

Les mots de passe sont souvent utilisés pour authentifier les utilisateurs sur les ports ouverts. Malheureusement, les services authentifiés par mot de passe sécurisant les ports ouverts sont vulnérables aux attaques et à la compromission des mots de passe. Quelles sont les meilleures pratiques à prendre en compte ? 

• Ne jamais utiliser de protocoles réseau en clair 
• Audit des ports réseau ouverts 
• Utilisez des politiques de mot de passe rigoureuses et une protection contre la violation des mots de passe 

Specops Password Policy permet aux organisations d’étendre les capacités natives de la politique de mot de passe Active Directory et d’ajouter facilement la protection contre les violations de mot de passe et de nombreuses autres fonctionnalités telles que les dictionnaires de mots de passe multiples, le vieillissement basé sur la longueur, etc.    

Specops Password Auditor permet de voir rapidement les risques liés aux mots de passe dans l’environnement et d’auditer les politiques de mot de passe qui sont utilisées actuellement avec les recommandations des meilleures pratiques de l’industrie.  

Obtenez une visibilité sur les politiques de mot de passe existantes et voyez si elles sont conformes aux meilleures pratiques du secteur.

Apprenez-en davantage sur Specops Password Policy et Specops Password Auditor et téléchargez une version d’essai gratuite de Specops Password Policy.