עד כמה שאני יודע (או בעצם חושב שאני יודע), האקרים חודרים למחשבים באמצעות פורטים פתוחים. אם כן, האם אפשר לחדור למחשב דרך פורט 80 או כל פורט פתוח אחר (לדוגמה, פורט 5190 של ה-ICQ או הפורטים שמשמשים את האימיול)? אם לא, למה?

תודה רבה.

א) ניצול באג בתוכנה - ובכלל זה באג באחת התוכנות הכבדות והמסובכות ביותר שמריץ המחשב - מערכת ההפעלה.
ב) ניצול חוסר העירנות והידע של המשתמש במחשב וגרימה לו להפעיל תוכנית זדונית דרכה ההאקר משתלט על המחשב.

אם, לדוגמא, יגלו באג בתוכנת ה-ICQ או באמיול ופאקט לא תקני שהאקר שולח לך למחשב לאותו פורט (אליו מאזינה התוכנה) יגרום למצב בו ההאקר יוכל, לדוגמא, להפעיל פקודות על המחשב שלך, הוא יוכל לפרוץ לך למחשב.

אחת הבעיות במערכת ההפעלה חלונות (גירסאות NT, 2000 וצפונה) הן שמפאת העובדה שמדובר במערכות הפעלה המיועדות לאינטגרציה עם רשתות מנוהלות (DC, Active Directory) ישנם לא מעט שירותי מערכת המאזינים לפורטים שונים ומשונים שמבחינת רובם למשתמש הביתי אין צורך בהם. אם מתגלה באג באחד השירותים הללו, הדבר יכול לאפשר להאקרים לפגוע לך במחשב.
עד XP SP1 לא היה FW מובנה במערכת ההפעלה, ועד XP SP2 ה-FW לא הופעל בצורה דיפולטית, מה שגרם לכך שלמשתמש המחובר ישירות למודם (לא דרך ראוטר) כל הפורטים היו פתוחים, ולכן הוא היה פגיע עקב מליון ואחת פרצות אבטחה שהיו באותן גרסאות של XP (זוכר את וירוס 60 השניות, סארס?).


דוגמא נוספת לאפשרות פריצה למחשב היא שיתוף משאבים. הדבר היה נפוץ בעיקר ברשתות של שני מחשבים המחוברים בינהם בכבל מוצלב כאשר אחד המחשבים מחובר גם לאינטרנט ומשתף אותו עם המחשב השני.
כאשר אתה מעפיל את שירות שיתוף כוננים במערכת חלונות ברירת המחדל היא לשייך את השיתוף לכל התקני הרשת הקיימים. אדם לא היה מודע לכך וביטל את השיוך או שלא היה חוסם את הפורט של שירות זה לאינטרנט היה עלול למצוא את עצמו במצב בו כל העולם ואשתו היו יכולים לקרוא מידע, לכתוב מידע ולמחוק מידע מהמחשב שלו (לרוב משתמשים אלו גם אל הגדירו סיסמה כדי להגן על השיתוף, לא שהיא כ"כ עוזרת).

כאשר מדבירם על פורטים פתוחים (בעיקר בהקשר של נתבים), מדברים בעיקר על פורטים נכנסים. כאשר מדובר בניצול באגים בתוכנות ושירותי מערכת ההפעלה, אגן פורטים נכנסים פתוחים הם אלו שמהווים את מירב הסיכון, אולם כאשר מדובר בתוכנה זדונית שהמשתמש בטיפשותו הרבה הפעיל, גם חסימת הפורטים הנכנסים לא בטוח תעזור כי אותה תוכנה יכולה ליזום קשר עם שרת חיצוני ולקבל ממנו את הפקודות המזיקות.

לגבי פורט 80, כל עוד אתה לא מריץ שרת WEB על המחשב שלך או תוכנה אחרת המאזינה לפורט זה, פורט 80 הנכנס לא פתוח. הדפדפן שלך יוזם קשר עם שרתי WEB בפורט 80, אולם שום תוכנה לא מאזינה לפורט זה במחשב שלך.

חברי כנסת ישרים

קודם כל, תודה רבה לך על התגובה המפורטת!

מספר שאלות:

1)
א. כדי להתגונן מפני האקרים, עליי להבין כיצד הם עובדים: איך שולחים פאקט?
ב. מהו פאקט לא תקני?

2) אני משתמש בראוטר. האם כל הפורטים שלי סגורים כברירת-מחדל?

3) אופציית שיתוף המשאבים כבויה אלא אם כן אפעיל אותה?

4) מה ההבדל בין פורט נכנס לפורט יוצא?

שוב תודה.

אני לא אכנס כרגע למודל השכבות ולכן לשם הפשטות אני אתיחס אך ורק לשכבת המידע (או שכבת המשתמש).
כשאתה מוריד קובץ, לדווגמא, באמיול ממשתמש אחר אתה בהתחלה שולח לו פאקט עם בקשה לקבלת הקובץ (או יותר נכון, לחלקים מסוימים מהקובץ) והוא שולח לך פאקטים עם המידע שיש בחלקי הקובץ.
תוכנת האמיול שלך ותוכנת האמיול שלו מניחים שהן מדברות עם תוכנות תקינות ולכן במקרה הזה פאקט תקני זה פאקט שהתחביר שלו מתאים לפרוטוקול ("שפת התקשרות") של תוכנות האמיול.

עכשיו, תחשוב שאני, במקום להריץ אמיול על המחשב שלי, מריץ תוכנה שאני כתבתי ש"מדברת" עם תוכנות אמיול של אנשים אחרים ברשת אבל שולחת פאקטים שתוכנה רגילה לא היתה שולחת (לדוגמא, אם הוחלט ששם הקובץ באמיול לא יכול להיות מעל 255 תוים, התוכנה שלי תנסה לשלוח פאקטים עם שמות קבצים של מעל 255 תוים וכו'). אם אלו שכתבו את האמיול לא דאגו לטפל בכאלו פאקטים, הדבר יכול להסתיים בקריסה של התוכנה אצל המשתמשים או אפילו באפשרות לפרוץ להם למחשב.

בראוטר, בגלל מנגנון ה-NAT (אותו מנגנון שמאפשר לך לשתף אינטרנט למספר מחשבים ברשת הפנימית כאשר יש לך כתובת IP חיצונית אחת), כל הפורטים הנכנסים חסומים כברירת מחדל, אלא אם כן ביצעת הפניית פורטים (ובהנחה שאין שום באג במערכת של הראוטר).


המושגים }פורט נכנס" ו-"פורט יוצא" הם לא הכי מקצועיים, אבל הכוונה שלי היא:
פורט נכנס - פורט שתוכנה על המחשב מאזינה לו. באמיול, לדוגמא, אתה יכול להגדיר לתוכנה לאיזה פורט להאזין. אם הפורט הזה פתוח (כלומר, לא חסום ע"י FW ובמידה ויש לך ראוטר קידמת אותו למחשב שלך) אזי אם מישהו ישלח פאקט מידע בפורט הספציפי לכתובת ה-IP שלך, תוכנת האמיול תקבל אותו ותוכל לפעול בהתאם.

פורט יוצא - האפשרות של תוכנה על המחשב שלך לשלוח מידע לפורט של שרת כלשהו ביאנטרנט. נניח ואתה לא מעוניין שאנשים בעסק שלך יוכלו להשתמש בדוא"ל (לשלוח ולקבל) "מבוסס OUTLOOK" (כלומר, שירותי POP3 ו-SMTP). אתה יכול לחסום בתוכנת ה-FW את התקשורת היוצאת לפורטים 110 ו-25. ה-FW מנתח את כל המידע שעובר דרכו ואם הוא רואה פאקט מידע שפורט היעד שלו הוא 25 או 110, הוא פשוט זורק אותו לזבל.

בראוטרים הביתיים, עד כמה שידוע לי, אין סינון פורטים יוצאים. דבר כזה ניתן להשיג ע"י שימוש
בתוכנת FW על המחשבים או ע"י שימוש במחשב יעודי המריץ תוכנת FW כמו שצריך (עדיף שירוץ לא תחת חלונות) דרכו תעבור כל תעבורת המדיע ברשת.

חברי כנסת ישרים

ומהו פורט יוצא?

תודה.

לדוגמא, אם תחסום את הפורט היוצא 80, אף תוכנת דפדפן לא תוכל לפעול.

חברי כנסת ישרים

סליחה שאני נדחף אבל יש לי שאלה,
פרט יוצא - פורט שדרכו התוכנה שולחת מידע
ופורט נכנס - זה פורט שדרכו התוכנה מקבלת מידע
אני צודק?

לכל פאקט מידע שנשלח ברשת ה-IP (בין אם זה TCP או UDP) יש את הנתונים הבאים:
1) כתובת IP של שולח הפאקט.
2) הפורט דרכו נשלח הפאקט.
3) כתובת ה-IP של מקבל הפקט.
4) הפורט אליו נשלח הפאקט.

"פורט נכנס" זה פורט שתוכנה מסוים מאזינה לו.
לדוגמא, אם אתה מריץ שרת WEB על המחשב שלך, תוכנת השרת מאזינה לפורט 80.

כאשר אתה גולש לאתר כלשהו, הדפדפן שלך מגריל פורט רנדומלי ושולח את הפאקט עם בקשת הדף לשרת אל פורט 80.
נניח שכתובת ה-IP שלך היא 212.175.34.12 וכתובת האתר היא 82.80.248.160. הדפדפן מגריל מספר פורט (שהוא מוודא שהוא פנוי, נניח 22412) ושולח פאקט עם בקשה לדף ספציפי מהאתר.
לפאקט שנשלח יש את הנתונים הבאים:
1) כתובת IP של שולח הפאקט: 212.175.34.12
2) הפורט דרכו נשלח הפאקט: 22412.
3) כתובת ה-IP של מקבל הפקט: 82.80.248.160
4) הפורט אליו נשלח הפאקט: 80.

ברגע זה הדפדפן מאזין לפורט דרכו הוא שלח (22412) ושרת האינטרנט ישלח פאקטים עם התוכן של הדף חזרה אל כתובת IP 212.175.34.12 בפורט 22412.

הכוונה שלי בפורט יוצא זה סעיף מס' 4, הפורט אליו נשלח הפאקט, כי אם אתה יודע שישומים מסוימים מתקשרים דרך פורט ספציפי (בברית מחדל, לדוגמא, WEB ב-80, SMTP ב-25, POP3 ב-110, ICQ ב-5190 וכו'), אתה יכול לחסום את הגישה אל אותם פורטים.

חברי כנסת ישרים

תודה רבה לך!

רגע רגע,
אז יש בעיה במה שאמרת,
נגיד אני שולח דרך פורט 22412 פאקט לפורט 80 על השרת וואב,
והוא מנסה להחזיר לי פאקט - עם המידע של האתר
הפורט 22412 סגור אצלי, איך הוא מצליח ?

כשמוקם חיבור TCP, מערכת ההפעלה מאזינה לפאקטים שחוזרים ויודעת לנתב אותם על פי טבלה פנימית לאפליקציה המתאימה. לא צריך לפתוח פורט האזנה בשביל זה. אם תחסום באמצעות פיירוול למשל, תקשורת שפורט היעד שלה הוא 22412, אכן תגובת שרת ה Web לא תחזור אלייך, ותקבל timeout...

נמאס לכם לזכור סיסמאות? לחצו כאן!