Portar och säkerhet - vill förstå mer

Trädvy Permalänk
Medlem
Registrerad
Nov 2012

Portar och säkerhet - vill förstå mer

Hej!

Vill bara dubbelkolla att jag begriper detta med portar och säkerhet.

Om jag dirigerar om i routern så att:

1. port 21 > 2121 och att programmet lyssnar på 2121

2. port 2121 > 21 och att programmet lyssnar på 21

... är variant 1 säker eller osäker? Eller bör man köra med variant 2?

Jag funderar nämligen på att ha standardlösningar såsom FTP, Webbserver etc och vill helst slippa komma ihåg custom portnummer utan köra med default, men att man kan bibehålla god säkerhet.

Trädvy Permalänk
Tangentbordskonnässör
Testpilot
Plats
Örebro
Registrerad
Sep 2005

Du ska ha en icke standard port utåt mot nätet, då slipper du massa botnät som försöker ta sig in i din FTP.
Alltså alternativ 2 om jag förstår dina alternativ rätt.

Webserver brukar man ju ha på port 80, annars måste du knappa in din customport i adressfältet varje gång du ska in på sidan/sidorna du har på webservern.

Trädvy Permalänk
Medlem
Registrerad
Nov 2012
Skrivet av huttala:

Webserver brukar man ju ha på port 80, annars måste du knappa in din customport i adressfältet varje gång du ska in på sidan/sidorna du har på webservern.

Precis så menade jag. Vill helst slippa komma ihåg custom portar till olika lösningar. Men enligt vad du skriver så tycks icke standard portar vara den enda rätta lösningen om man kör FTP och troligen även Webbserver, eller hur? Om inte annat, så kanske webblösningen man kör har säkerhetshål och man riskerar exponera personlig data.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014

Skulle väl kanske inte säga att det är mer säkert direkt, men vissa ISP blockerar portar för ftp, jag använde själv 2121 för många år sedan pga den anledningen. Tänk även på att ftp kör på två portar, inte bara 21.

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av VexedRelic:

Skulle väl kanske inte säga att det är mer säkert direkt, men vissa ISP blockerar portar för ftp, jag använde själv 2121 för många år sedan pga den anledningen. Tänk även på att ftp kör på två portar, inte bara 21.

Det är sant. Den första porten är för att öppna "kommandokanalen", men själva datat skickas över datakanalen. Beroende på om du kör aktiv ftp eller passiv ftp så bestämmer server respektive klient vilken den andra porten ska vara.
Här hittade jag en guide som beskriver hur det fungerar lite enkelt.
http://www.webbhotellsguide.se/ftp/aktivtpassivt/

Dock är det så att riktiga brandväggar och de flesta routrar kan ha "FTP ALG", dvs en slags proxy som lyssnar på kommandokanalen för att se till att rätt portar öppnas. I många fall kan man låta klienten vara passiv och servern aktiv, vilket löser i princip alla problem.

Trädvy Permalänk
Medlem
Registrerad
Nov 2012
Skrivet av VexedRelic:

Skulle väl kanske inte säga att det är mer säkert direkt, men vissa ISP blockerar portar för ftp, jag använde själv 2121 för många år sedan pga den anledningen. Tänk även på att ftp kör på två portar, inte bara 21.

Tack för inputen. Har nu ändrat porten till 2121 och får en "Connection closed by server". Jag tror det har att göra med den andra porten du pratade om. Har även läst att det i regel är 20/21. Men vad öppnar man när man bytt från 21 till 2121?

Rörande säkerhet som jag var inne på så menar jag att man inte utsätter sig för samma risk om allt som förövaren behöver göra är att gå in på ens IP adress och ta sig igenom kända säkerhetshål i den webbapplikation man har installerad på exempelvis webbservern.

Trädvy Permalänk
Medlem
Registrerad
Nov 2012
Skrivet av Haider of Sweden:

Men vad öppnar man när man bytt från 21 till 2121?

Ska besvara min egen fråga, för jag tror det löste sig.
När man ansluter till en FTP server så får man fram något i stil med

227 Entering Passive Mode (***,***,***,***,218,192)

Utifrån anvisningar på nätet har jag förstått att de två sista siffrorna står för ett portnummer och räknas fram så: 218*256+192= port nummer 56000 och således är det denna port man ska öppna vid sidan om den som ersätter 21.

Jag måste tillägga att jag inte fick det att funka på en gång. Sifferkombinationen i slutet av IP adressen ändrades från gång till gång vilket gav mig olika portnummer varje gång. Dp gick jag in i serverinställningarna (kör FileZilla Server) där man under Passive Mode Settings kunde ange "Use Custom port range". Här trodde jag man kunde få servern att "slumpa fram" något inom detta givna spann. Jag valde ett spann mellan 56000-57000.
När jag sedan anslöt på nytt så gick det hem och porten blev som ovan nämnd 56000, den första porten i spannet.
När jag loggade ut och loggade in igen fick jag inte fram "227 Entering Passive Mode" och jag vet därför inte om den fortsatte slumpa portar eller om den numera höll sig till 56000.

EDIT: Jag provade logga in med annat inlogg och sedan tillbaka till första inlogg. Varje gång jag gör så, så höjs portnumret med ett tal. Vet inte riktigt vad det är bra för och om jag borde begränsa spannet under serverinställningen.

Hoppas ovanstående hjälper någon annan som letar efter samma sak.

Vad jag undrar mer är detta rörande passive och active i FTP sammanhang. Har det någon betydelse?

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Har man en webbserver som ska nås av andra är port 80 eller 443 om det är httpssom gäller. Likaså mejl som kräver port 25. Men som du säger ftp, ssh, rdp m.m. är inga problem att köra på custom portar eftersom du har kontakt med användarna av tjänsten. Då slipper man attacker från bootar, men sedan kan man ju lika gärna köra bootar på vanliga customportar som 2121 för ftp. Men vet inte hur vanligt det är

Sedan kan man installera hammering skydd i servern som ip-blockerar för många felinloggningar. Rent spontant skulle jag direkt ip-blockera försök med Defaultinloggningar och admin/password osv. för det borde vara standard bootar testar

Trädvy Permalänk
Medlem
Registrerad
Nov 2012

Webbtjänsterna kommer inte vara öppna för allmänheten utan främst av mig. Skulle jag mot förmodan ge ut infon till bekanta, så kommer jag ge dem en URL med port.

Vad gäller skydd mot angrepp så tänker jag mig att en customport inte går att gissa sig till. Skulle man ha en webbtjänst med känt säkerhetshål öppet för angrepp så riskerar man exponera sina privata filer och dokument. Det var så jag tänkte.

Och tack för tipset om IP block. Måste ta fram diverse filter så att man garderar sig om en port mot förmodan gissas.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2004
Skrivet av Haider of Sweden:

Och tack för tipset om IP block. Måste ta fram diverse filter så att man garderar sig om en port mot förmodan gissas.

http://en.wikipedia.org/wiki/Port_scanner
http://en.wikipedia.org/wiki/Nmap

Trädvy Permalänk
Medlem
Registrerad
Maj 2014
Skrivet av Haider of Sweden:

Webbtjänsterna kommer inte vara öppna för allmänheten utan främst av mig. Skulle jag mot förmodan ge ut infon till bekanta, så kommer jag ge dem en URL med port.

Vad gäller skydd mot angrepp så tänker jag mig att en customport inte går att gissa sig till. Skulle man ha en webbtjänst med känt säkerhetshål öppet för angrepp så riskerar man exponera sina privata filer och dokument. Det var så jag tänkte.

Och tack för tipset om IP block. Måste ta fram diverse filter så att man garderar sig om en port mot förmodan gissas.

Fast det där med "inte kan gissa sig till" är bogus. Det går att scanna alla portar och sedan analysera svaren. Security by obscurity är det i princip:
http://en.wikipedia.org/wiki/Security_through_obscurity

Vad gäller aktiv eller passiv ftp så skickade jag en länk. Det handlar främst om att passera brandväggar då FTP är ett "skitprotokoll" som är besvärligt för brandväggar/bredbandsroutrar.

Trädvy Permalänk
Medlem
Registrerad
Nov 2012

@Talisker00: Tack för dina svar. Jag såg att du besvarat några av frågorna redan innan jag ställde dem. När man håller på och lär sig något man inte kan händer det lätt att man förbiser fakta för att man inte kan ta in den.
Ska försöka förstå hur man får till active mode. Men kanske saknar det betydelse i slutändan och passive kan duga gott och väl.

Rörande portscannning, menar du att man kan scanna portar utifrån? Man behöver alltså inte ha tillgång till datorn?

Trädvy Permalänk
Medlem
Plats
Câmara de Lobos, Madeira, Portugal
Registrerad
Nov 2005
Skrivet av Haider of Sweden:

@Talisker00: Tack för dina svar. Jag såg att du besvarat några av frågorna redan innan jag ställde dem. När man håller på och lär sig något man inte kan händer det lätt att man förbiser fakta för att man inte kan ta in den.
Ska försöka förstå hur man får till active mode. Men kanske saknar det betydelse i slutändan och passive kan duga gott och väl.

Rörande portscannning, menar du att man kan scanna portar utifrån? Man behöver alltså inte ha tillgång till datorn?

Man behöver inte ha tillgång till datorn för portskanning.

Fagerja

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Haider of Sweden:

Rörande portscannning, menar du att man kan scanna portar utifrån? Man behöver alltså inte ha tillgång till datorn?

Är portarna öppna i routern och något lyssnar på dem bakom kan vilken dator i världen se att de är öppna. Det enda som skyddar är då om ISP valt att blockera enskilda portar