[SECURITY] 잘알려진 포트 및 취약포트 정리

방화벽을 관리하기위해서는 화이트리스트 정책으로 작업을 하는것이 가장 기본적인 원칙이죠

 

결국 필요한 네트워크 포트만 개방하고 외부로 개방된 포트가 안전한지 확인해야 합니다.

 

만약 Any로 열게 된다면 공격자에게 내부 서버 자원을 훼손시키도록 손을 놓는것과 같습니다.

 

그래서 일반적으로 잘 알려진 포트를 구분할 줄 알아야 하며, 취약포트 또한 인지해야 합니다.

 

 

잘 알려진 포트
Well-known port

 

 

  ㅇ  1 : TCPMUX (TCP Port service multiplexer) 
  ㅇ  7 : ECHO (echo) 
  ㅇ 13 : DAYTIME (daytime)
  ㅇ 20 : FTP - DATA (FTP의 데이터 전송)
  ㅇ 21 : FTP - CONTROL (FTP의 데이터 전송 제어) 
  ㅇ 23 : TELNET (터미널 에뮬레이션)
  ㅇ 25 : SMTP (메일 메세지 전송 프로토콜)
  ㅇ 53 : DNS (DNS 질의응답)
  ㅇ 69 : TFTP (간단한 화일전송프로토콜)
  ㅇ 80 : HTTP (웹 전송)
  ㅇ 123 : NTP (Network Time Protocol)
  ㅇ 179 : BGP (BGP 라우팅 프로토콜)

 

 

 

취약 포트
Vulnerability port

 

  ㅇ  20, 21 : FTP
  ㅇ  22 : SSH
  ㅇ  139, 137, 445 : SMB
  ㅇ  53 : DNS
  ㅇ  443, 80, 8080, 8443 : HTTP/HTTPS
  ㅇ  23 : TELNET
  ㅇ  25 : SMTP
  ㅇ  69 : TFTP

 

  ㅇ  20, 21 : FTP

     - FTP는 File Transfer Protocol의 약자이며, 20, 21번 포트는 사용자가 서버에서 PC로 파일을 송수신할 수 있도록 사용되는 TCP 포트입니다.

     - 이는 아래와 같이 악용 될 수 있습니다.

       > anonymous계정인 ID/PW로 로그인

       > Cross-Site Scripting (XSS)

       > Bruteforcing password

       > Directory trversal attacks

 

  ㅇ  22 : SSH

     - SSH는 Secure Shell의 약자이며, 서버에 대한 안전한 원격 엑세스를 보장하기 위해 사용되는 TCP포트입니다. SSH는 Credential을 BruteForcing하거나 개인 키를 사용해 해당 서버에 엑세스하는것으로 악용될 수 있습니다.

  ㅇ  139, 137, 445 : SMB

     - SMB는 Server Message Block의 약자로, Microsoft가 네트워크상에서 파일 및 프린터의 공유 엑세스를 제공하기 위해 만든 통신 프로토콜입니다. SMB포트 버전을 인터넷에서 검색하면 searchsploit, Metasploit의 공격이 가능하다는것을 알 수 있습니다.

     - 특히, EternalBlue 취약성을 이용해 랜섬웨어의 하나인 WANNACRY 취약에 노출 될 수 있습니다.

  ㅇ  53 : DNS

     - DNS는 Domain Name System의 약자로, 전송 및 쿼리에 각각 사용되는 TCP 포트 및 UDP 포트입니다. DNS 포트에서의 일반적인 취약점은 DDoS(Distributed Denial of Service)입니다.

  ㅇ  443, 80, 8080, 8443 : HTTP/HTTPS

     - HTTP는 HyperText Transfer Protocol의 약자로 (S는 Secure) 인터넷에서 가장 많이 사용 중인 프로토콜이며, 그에 따라 많은 취약점이 발견된 프로토콜입니다. SQL Injection, XSS, XS-Request Forgery 등.. 많은 취약점을 갖고 있습니다.

 

  ㅇ  23 : TELNET

     - 텔넷 프로토콜은 사용자가 인터넷을 통해 원격 컴퓨터에 연결할 수 있도록 하는 TCP 프로토콜입니다. 텔넷 포트는 SSH로 대체된지 오래지만 현재도 일부 웹사이트에서도 사용하고 있다고 합니다. 

     - 텔넷은 Spoofing, Credential Sniffing, Credential Brute-Forcing 취약점 등이 있습니다.

  ㅇ  25 : SMTP

     - SMTP는 Simple Mail Transfer Protocol의 약자로, 메일의 송수신에 사용되는 TCP 포트 입니다. 보안이 제대로 되어 있지 않으면 메일스팸, Spoofing에 취약할 수 있습니다.

  ㅇ  69 : TFTP

     - TFTP는 Trivial File Transfer Protocol의 약자로, 네트워크를 통해 사용자와 서버간 파일을 송수신하는데 사용되는 UDP 포트 입니다. TFTP는 파일 전송 프로토콜(FTP)를 단순화 한 버전입니다. UDP이기 때문에 인증이 필요없다는건. 속도가 빠르고 보안성을 떨어진다는 말입니다.

     - Password spraying, unauthorized access, DDOS등에 취약합니다.

 

---

 

여러 종류에 대한 취약포트에 대해 확인해보았는데 보안이 왠만큼 되어 있는 기업일 경우 FW, IDS, IPS, AV, WEB FW 등등 여러 솔루션에 의해 탐지 및 차단이 되며 예방이 되고 있습니다.

 

하지만 해커들은 위의 프로토콜의 취약점 뿐만 아니라 APT/사회공학 해킹 등 수법이 고도화되고 있어 보안담당자로서 내부문서 보안 및 솔루션 펌웨어 업데이트 / CVE에 따른 주기적인 서버 업데이트 등 책임감을 갖고 업무를 수행해야 할 것 같습니다.