Bir TCP Portu Nasıl İzlenir (Ve Bir Portun Açık Olması Durumunda Ne Zaman Uyarı Verilir)

Port izleme tek seferde iki iştir. Bazen veritabanı veya SMTP aktarıcısı gibi bir hizmetin dinlediğini bilmek istersiniz. Bazen internete açık bir örnekteki SSH gibi bir portun güvenlik duvarıyla kapalı kalmasını bilmek istersiniz. Aynı sonda her iki soruya da yanıt verir, ancak zıt sonuçlar üzerinde uyarı verirsiniz. Bu rehber her modun ne zaman kullanılacağını, neyin uyarılacağını ve insanları yakalayan portları kapsar.

Bir TCP port monitörü gerçekte nasıl çalışır

Bir TCP port monitörü, hedefte seçilen porta bir soket açar ve üç yönlü el sıkışmasının tamamlanmasını bekler. El sıkışma başarılı olursa port açıktır. Bağlantı reddedilirse port kapalıdır. Bağlantı zaman aşımına uğrarsa, sondalayıcı ile ana bilgisayarınız arasındaki bir şey paketi düşürüyor, genellikle bir güvenlik duvarı.

Sonda, soketin üstünde bir protokol konuşmaz. TLS müzakere etmez, SSH başlıklarını değiştirmez veya bir veritabanı sorgusu çalıştırmaz. Yalnızca portun yanıt verip vermediğini size söyler. Uygulama katmanı sağlığı için bunun üzerine bir HTTP veya özel kontrole ihtiyacınız vardır.

Portun AÇIK olmasını istediğinizde

HTTP kontrolünü kolayca yapamadığınız durumlarda port izlemeyi bir servis sağlık probu olarak kullanın. Beş yaygın durum karşımıza çıkıyor.

• Veritabanı sunucuları 5432 (Postgres), 3306 (MySQL), 6379 (Redis), 27017 (MongoDB) portlarında. Dinleyici çökerse bağımlı her servis bozulur, ancak HTTP probu çalıştıramazsınız.
• SMTP aktarıcıları 25 veya 587 portunda. SMTP banner kontrolleri, dahili sağlık uç noktalarının kaçırdığı dinleyici çökmelerini yakalar.
• Oyun sunucuları ve HTTP konuşmayan diğer özel TCP protokolleri.
• Dahili yük dengeleyiciler, üst akış servislerine HTTP olmayan bir sağlık portu sunan.
• VPN uç noktaları, OpenVPN-TCP ve WireGuard için 443 gibi UDP-ama-aynı-zamanda-TCP portlarında.

Portun KAPALI olmasını istediğinizde

Ters port izleme bir güvenlik koruyucusudur. İzleyiciyi, port açıldığında uyarı verecek şekilde ayarlarsınız, çünkü genel internete asla açık olmamalıdır. Bu model, normal bir hafta boyunca altyapı değişikliklerinde ortaya çıkan sorunları yakalar.

Birisi hata ayıklama için bir güvenlik duvarı kuralını geçici olarak açar ve geri almayı unutur. Bir Kubernetes servisi yanlışlıkla LoadBalancer türü alır. Yeni bir örnek yanlış güvenlik grubunu alır. Bir Terraform modülü değişikliği, dahili olması gereken bir portu açığa çıkarır. Her durumda, ters port izleyici maruziyeti bir kontrol aralığı içinde yakalar.

Hemen şimdi ters izlemeye değer yüksek değerli portlar

Bunları açığa çıkarmaması gereken internete bakan herhangi bir ana bilgisayar için beş port, ters kontrol kurmaya değer.

• 22 (SSH) üretim uygulama sunucularında. Yalnızca bastion erişimi normdur ve yanlışlıkla açık bırakılan bir SSH portu saatler içinde toplu tarama kayıtlarında görünür.
• 3306 (MySQL) ve 5432 (Postgres). Genel veritabanı portları, kimlik bilgisi doldurma saldırılarının önemli bir kısmından sorumludur.
• 6379 (Redis). Kimlik doğrulaması olmayan açık Redis, sektörde en çok istismar edilen yanlış yapılandırmalardan biridir.
• 27017 (MongoDB). Redis ile aynı hikaye. Varsayılan yapılandırma, kimlik doğrulaması yok, genel port veri kaybı demektir.
• 9200 (Elasticsearch). Açık kümeler saatler içinde kazınır, madencilik yapılır ve fidye ile esir alınır.

Port izleme için uyarı eşikleri

Servis sağlığı (port AÇIK olmalı), HTTP ile aynı eşik modelini ister: 3 ardışık başarısızlıktan sonra uyarı verin, kısa dalgalanmaları bastırın. Tek bir probu kapatan ağ kesintileri gürültüdür.

Güvenlik (port KAPALI olmalı) tam tersini ister. İlk tespitte uyarı verin. Yanlışlıkla açık bir SSH veya Redis portu beş alarmlı bir olaydır. Botlar genel interneti sürekli tarıyor ve iyi bilinen bir portta maruziyet ile uzlaşma arasındaki süre dakikalarla ölçülür.

Başlangıç güvenlik port izleme kontrol listesi

Ekibinizin işlettiği internete bakan her IP için 22, 3306, 5432, 6379 ve 27017 portlarına 60 saniyelik aralıklarla ters izleyiciler kurun. Uyarıları, servis sağlığı uyarılarınızdan ayrı olarak güvenlik kanalınıza yönlendirin. Çeyrekte bir kez, kendi IP'lerinize karşı kontrol amaçlı gerçek bir port taraması çalıştırın. Maliyeti küçük, kapsamı geniş ve yakaladığı hata modları felakettir.