張正欣

（鹽城市社會(huì)保障信息中心，江蘇 鹽城 224001）

端口是網(wǎng)絡(luò)應(yīng)用層程序與傳輸層TCP、UDP協(xié)議間聯(lián)系的通道，每個(gè)端口對(duì)應(yīng)著一個(gè)應(yīng)用程序。通常系統(tǒng)中運(yùn)行的程序越多，開放的端口也越多，系統(tǒng)被入侵的風(fēng)險(xiǎn)也就越大。Windows、Linux等操作系統(tǒng)上常見的 TCP 135、139、445、593、1025、111、513端口和UDP 135、137、138、445端口以及一些流行病毒的后門端口（如 TCP 2745、3127、6129 端口）等默認(rèn)情況下都是處于開放狀態(tài)，使得網(wǎng)絡(luò)病毒或黑客可通過(guò)這些開放端口對(duì)受害者電腦開展惡意破壞、竊取數(shù)據(jù)信息等攻擊行為。如何有效避免開放高危端口、快速定位排查信息系統(tǒng)故障，保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行顯得極為重要。

1.現(xiàn)象描述

1.1 端口開放情況及關(guān)聯(lián)關(guān)系不清晰

信息系統(tǒng)在建轉(zhuǎn)運(yùn)過(guò)程中未對(duì)系統(tǒng)端口開放情況進(jìn)行梳理和審核，系統(tǒng)的端口開放情況、每個(gè)端口的用途以及端口之間的關(guān)聯(lián)關(guān)系未形成詳細(xì)記錄。部分系統(tǒng)開放了許多不必要的端口，存在感染病毒木馬或被攻擊者利用，進(jìn)而影響到整個(gè)信息網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。此外，端口的作用和端口之間關(guān)聯(lián)關(guān)系不清晰，導(dǎo)致系統(tǒng)接口故障難以準(zhǔn)確定位，故障排查效率低下。

1.2 缺少端口治理的自動(dòng)化工具

缺少專門用于端口治理的自動(dòng)化工具，端口治理工作中的大部分工作只能靠人工完成，不僅效率低下，而且準(zhǔn)確性不高。

1.3 沒(méi)有明確的端口異動(dòng)管控機(jī)制可供參考

安全運(yùn)維中，沒(méi)有明確的系統(tǒng)端口異動(dòng)管控機(jī)制可供參考，無(wú)法發(fā)現(xiàn)端口異動(dòng)情況，及時(shí)采取有效的應(yīng)對(duì)措施，日積月累必然會(huì)產(chǎn)生大量高危端口或非必要端口，存在較大的安全隱患。

2.主要做法

針對(duì)上述問(wèn)題，基于自動(dòng)化工具建立全面系統(tǒng)的業(yè)務(wù)端口信息臺(tái)帳制度，實(shí)現(xiàn)全業(yè)務(wù)對(duì)象全生命周期全流程常態(tài)化的有效管控，主要做法如下：

2.1 業(yè)務(wù)端口治理

采用自動(dòng)化手段全面梳理信息內(nèi)外網(wǎng)服務(wù)器IP地址上的端口開放情況。研究每個(gè)高危端口的用途和存在的風(fēng)險(xiǎn)，并制定相應(yīng)的防護(hù)措施。

2.1.1 生成全服務(wù)網(wǎng)段端口清單

本文以掃描一個(gè)C網(wǎng)段地址上開放的所有端口為例。通過(guò)以下命令掃描服務(wù)器上開放的所有端口并將結(jié)果保存在“up_hosts_all_ports_fullscan.xml”文件中：

nmap --open -p0-65535 192.168.104.0/24 -oX d：up_hosts_all_ports_fullscan.xml

執(zhí)行效果如圖所示：

圖1 Nmap掃描服務(wù)器C網(wǎng)段上所有端口結(jié)果

生成的xml端口掃描結(jié)果文件內(nèi)容截圖如下：

圖2 xml端口掃描結(jié)果

2.1.2 自主開發(fā)自動(dòng)化工具完成端口梳理

（1）按端口號(hào)對(duì)端口掃描結(jié)果進(jìn)行分組和排序

使用自主編寫的python腳本實(shí)現(xiàn)對(duì)端口掃描結(jié)果進(jìn)行分組和排序，并生成一個(gè)多重嵌套列表文件(即列表的每個(gè)元素也可展開為一個(gè)獨(dú)立的列表)。其中，每個(gè)成員列表第一個(gè)元素為端口號(hào)(int)，第二個(gè)元素為該端口的IP地址(string)列表。腳本代碼如下：

腳本執(zhí)行結(jié)果截圖如下所示：

圖3 端口分組排序結(jié)果

（2）按端口號(hào)進(jìn)行查詢

提高端口梳理的效率，掌握每個(gè)端口（尤其是高危端口）的開放和分布情況，可編寫端口查詢腳本。通過(guò)腳本，可以根據(jù)端口查詢出相應(yīng)的主機(jī)，腳本代碼如下：

執(zhí)行效果如下圖所示：

圖4 端口查詢結(jié)果

（3）高危端口數(shù)量統(tǒng)計(jì)

參考國(guó)家漏洞庫(kù)漏洞，結(jié)合端口查詢腳本，統(tǒng)計(jì)出開放高危端口的主機(jī)數(shù)量，并有針對(duì)性地開展整改工作，各高危端口的統(tǒng)計(jì)數(shù)量如下表所示：

表1 高危端口數(shù)量排名前20列表

2.1.3 高危端口治理

根據(jù)前期統(tǒng)計(jì)出的高危端口的主機(jī)列表，主要采用以下三種方式來(lái)關(guān)閉高危端口：關(guān)停端口對(duì)應(yīng)的服務(wù)；配置防火墻策略限制對(duì)高危端口的訪問(wèn)；修改服務(wù)器注冊(cè)表關(guān)閉高危端口。

關(guān)閉高危端口對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行可能造成的影響，分階段關(guān)閉高危端口。

第一階段：勒索病毒相關(guān)端口治理

在所有的windows服務(wù)器組策略中集中關(guān)閉勒索病毒相關(guān)端口（137、138、139和445端口）的服務(wù)。同時(shí)，在各邊界防火墻上配置訪問(wèn)控制策略，禁止所有訪問(wèn)勒索病毒端口的行為。

圖5 IP組策略集中關(guān)閉勒索病毒相關(guān)的端口

第二階段：rlogin遠(yuǎn)程登錄及RPC遠(yuǎn)程調(diào)用端口治理

集中關(guān)閉513和111端口。111端口是Linux類系統(tǒng)上的RPC遠(yuǎn)程過(guò)程調(diào)用服務(wù)端口，通過(guò)關(guān)閉portmap服務(wù)與關(guān)閉服務(wù)自動(dòng)啟動(dòng)的方式來(lái)關(guān)閉。因NFS共享文件服務(wù)也使用111端口，對(duì)于開啟了NFS的服務(wù)器，采用人工逐臺(tái)核對(duì)的方式進(jìn)行手動(dòng)關(guān)閉，對(duì)于確實(shí)需要使用NFS服務(wù)的系統(tǒng)通過(guò)防火墻策略對(duì)111端口進(jìn)行限制。而513端口是remote login遠(yuǎn)程登錄服務(wù)端口，通過(guò)批量卸載rsh-server軟件包的方式徹底關(guān)閉服務(wù)，目前已全部關(guān)閉513端口服務(wù)。

圖6 集中關(guān)閉513、111端口

第三階段：其余端口治理

對(duì)剩余高危端口關(guān)閉可能產(chǎn)生的影響及風(fēng)險(xiǎn)進(jìn)行評(píng)估記錄，分批次、分階段關(guān)閉剩余的高危端口。

第四階段：從源頭上治理

為了防止出現(xiàn)經(jīng)高危端口治理后開放端口數(shù)量下降，但新增設(shè)備繼續(xù)出現(xiàn)高危端口的情況，可制作linux標(biāo)準(zhǔn)化安裝光盤，使用linux標(biāo)準(zhǔn)化安裝光盤安裝后，刪除不必要的服務(wù)，僅開通了10022的遠(yuǎn)程連接端口，能夠提升系統(tǒng)的安全性，減少后期的端口治理工作量。

圖7 驗(yàn)證僅開通10022遠(yuǎn)程連接端口

2.2 業(yè)務(wù)端口臺(tái)賬管理及應(yīng)用

制定全服務(wù)器網(wǎng)段端口清單，同時(shí)制定業(yè)務(wù)端口臺(tái)帳異動(dòng)管理辦法，通過(guò)確認(rèn)每次檢修操作是否對(duì)IP地址臺(tái)帳進(jìn)行變更，來(lái)保持臺(tái)帳信息的完整準(zhǔn)確。

2.2.1 形成全服務(wù)器網(wǎng)段端口清單

通過(guò)技術(shù)手段獲取內(nèi)外網(wǎng)服務(wù)器網(wǎng)段的所有業(yè)務(wù)端口后，可給每個(gè)網(wǎng)段分配一名監(jiān)督負(fù)責(zé)人，及時(shí)更新臺(tái)賬信息形成一份完整的全服務(wù)器網(wǎng)段端口清單。其中各監(jiān)督負(fù)責(zé)人參考已有的內(nèi)外網(wǎng)服務(wù)器IP地址資源臺(tái)賬，聯(lián)系各IP地址申請(qǐng)人員填寫IP地址端口功能臺(tái)賬表格。端口臺(tái)賬清單模板如下圖所示：

圖8 IP地址端口臺(tái)帳清單模板

2.2.2 制定業(yè)務(wù)端口臺(tái)帳信息異動(dòng)管理辦法

涉及IP地址端口臺(tái)賬信息變更都必須經(jīng)過(guò)檢修，為確保每次檢修后對(duì)端口的變更記錄在冊(cè)，及時(shí)更新IP地址端口臺(tái)帳信息，可給每個(gè)IP地址網(wǎng)段指定一名監(jiān)督負(fù)責(zé)人和管理員外，同時(shí)指定IP臺(tái)帳信息總負(fù)責(zé)人。若某次檢修后IP地址端口臺(tái)帳信息有變更，監(jiān)督負(fù)責(zé)人則更新維護(hù)所負(fù)責(zé)的臺(tái)帳信息，同時(shí)將變更信息反饋給臺(tái)帳信息總負(fù)責(zé)人，由總負(fù)責(zé)人更新IP地址端口信息總臺(tái)賬，并做好相關(guān)記錄，以便后期核查。因此形成兩份IP地址端口信息臺(tái)帳變更維護(hù)表，一份由各監(jiān)督負(fù)責(zé)人記錄留存，另一份由總負(fù)責(zé)人記錄留存。其中變更維護(hù)表可以看做是一份IP端口信息更新日志記錄，檢修操作后如IP端口臺(tái)帳信息有變更，需及時(shí)記錄在兩份變更維護(hù)表中。IP地址端口變更記錄管控流程圖如下所示：

圖9 IP地址端口變更記錄管控流程圖

為確保IP地址端口臺(tái)帳的準(zhǔn)確完整性，可實(shí)行每三個(gè)月對(duì)各網(wǎng)段IP地址端口臺(tái)帳開展一次全面的內(nèi)外網(wǎng)服務(wù)器端口掃描，并結(jié)合IP地址端口總臺(tái)帳信息變更維護(hù)表，審核IP地址總臺(tái)賬信息是否依舊準(zhǔn)確完整。

2.2.3 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警單處理

驗(yàn)證業(yè)務(wù)端口治理提升工作的有效性和實(shí)用性，將端口治理成果應(yīng)用到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警單處理過(guò)程。

例如2017年6月22日全球能源互聯(lián)網(wǎng)研究院發(fā)布的BMC RSCD AGENT遠(yuǎn)程命令執(zhí)行漏洞風(fēng)險(xiǎn)預(yù)警單，利用該漏洞惡意攻擊者可繞過(guò)操作系統(tǒng)認(rèn)證執(zhí)行任意命令，取得對(duì)服務(wù)器的控制權(quán)限。預(yù)警單給出的排查方法是：

利用端口掃描工具對(duì)目標(biāo)服務(wù)器進(jìn)行端口掃描，確認(rèn)TCP 4750端口是否開放；

在測(cè)試機(jī)上執(zhí)行bmpexp.exe工具，bmcexp.exe –host x.x.x.x–cmd=”ifconfig”，成功返回命令的結(jié)果則說(shuō)明存在此漏洞；

對(duì)所有使用BMC rscd agent軟件（存在的漏洞版本為：BMC rscd agent＜8.7）的版本進(jìn)行系統(tǒng)排查，更新BMC rscd agent至最新版本。為快速高效實(shí)現(xiàn)漏洞預(yù)警單的處理，可利用自動(dòng)化端口掃描、分組、排序、查詢及統(tǒng)計(jì)腳本，結(jié)合IP地址臺(tái)賬變更記錄管控機(jī)制，形成一份準(zhǔn)確完整的4750端口臺(tái)賬清單，給各網(wǎng)段IP地址臺(tái)賬負(fù)責(zé)人下發(fā)漏洞預(yù)警，對(duì)責(zé)任范圍內(nèi)的所有使用BMC rscd agent軟件版本的系統(tǒng)進(jìn)行快速排查，及時(shí)更新軟件版本。

2.3 外網(wǎng)系統(tǒng)業(yè)務(wù)端口歸并

對(duì)外網(wǎng)信息系統(tǒng)對(duì)社會(huì)僅開放80及443端口的可行性進(jìn)行分析。完成互聯(lián)網(wǎng)出口統(tǒng)一。

3.結(jié)語(yǔ)

有效管控全業(yè)務(wù)對(duì)象全生命周期全流程常態(tài)化，提高信息系統(tǒng)運(yùn)行安全防護(hù)水平，探索提出基于自動(dòng)化、分類、細(xì)顆粒度的建設(shè)運(yùn)行全生命周期的端口治理方案，基于自動(dòng)化工具建立全面系統(tǒng)的分類結(jié)構(gòu)化業(yè)務(wù)端口信息臺(tái)帳，制定常態(tài)化的全業(yè)務(wù)對(duì)象全生命周期全流程風(fēng)險(xiǎn)管控制度，實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控和業(yè)務(wù)端口治理提升工作。

3.1 依托自動(dòng)化工具

從零開始建立全面系統(tǒng)的分類結(jié)構(gòu)化的業(yè)務(wù)端口信息臺(tái)賬?；谧灾骶帉懙淖詣?dòng)化腳本建立了信息系統(tǒng)分類結(jié)構(gòu)化業(yè)務(wù)端口信息臺(tái)帳，梳理在運(yùn)系統(tǒng)、設(shè)備及服務(wù)器上開放的所有端口清單，顆粒度細(xì)化各IP地址所有端口的用途和訪問(wèn)關(guān)系，可為端口治理常態(tài)化工作奠定基礎(chǔ)；編寫自動(dòng)化腳本實(shí)現(xiàn)端口分組、排序、查詢及高危端口統(tǒng)計(jì)、關(guān)閉等功能，提高端口信息的快速搜集分類、信息系統(tǒng)故障和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警單分析處置的效率。

3.2 依托信息化工具

基于分類結(jié)構(gòu)化的端口信息臺(tái)賬，可建立全業(yè)務(wù)對(duì)象全生命周期全流程常態(tài)化的風(fēng)險(xiǎn)管控制度?；诜诸惤Y(jié)構(gòu)化的端口信息臺(tái)帳，建立全業(yè)務(wù)對(duì)象全生命周期全流程的常態(tài)化風(fēng)險(xiǎn)管控制度，重點(diǎn)監(jiān)控高危端口、重要業(yè)務(wù)端口，實(shí)現(xiàn)端口全生命業(yè)務(wù)對(duì)象的有效管控；制定端口異動(dòng)管控機(jī)制，參照標(biāo)準(zhǔn)化配置手冊(cè)相關(guān)做法，從源頭上規(guī)避高危端口風(fēng)險(xiǎn)隱患，實(shí)現(xiàn)端口全生命周期的常態(tài)化管控；以自動(dòng)化腳本為輔助工具，提高端口臺(tái)帳信息的快速收集、分析、研判、預(yù)警處置能力，實(shí)現(xiàn)端口全流程的常態(tài)化管控。

3.3 依托連續(xù)有效的信息臺(tái)賬數(shù)據(jù)

開展風(fēng)險(xiǎn)防范和業(yè)務(wù)系統(tǒng)優(yōu)化工作，依據(jù)連續(xù)有效的業(yè)務(wù)端口信息臺(tái)帳，開展信息外網(wǎng)系統(tǒng)端口治理提升工作，在不影響外網(wǎng)業(yè)務(wù)系統(tǒng)應(yīng)用的前提下，將外網(wǎng)業(yè)務(wù)對(duì)互聯(lián)網(wǎng)開放的端口統(tǒng)一歸并為80和443端口，保障外網(wǎng)業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。