張正欣

（鹽城市社會保障信息中心，江蘇 鹽城 224001）

端口是網(wǎng)絡應用層程序與傳輸層TCP、UDP協(xié)議間聯(lián)系的通道，每個端口對應著一個應用程序。通常系統(tǒng)中運行的程序越多，開放的端口也越多，系統(tǒng)被入侵的風險也就越大。Windows、Linux等操作系統(tǒng)上常見的 TCP 135、139、445、593、1025、111、513端口和UDP 135、137、138、445端口以及一些流行病毒的后門端口（如 TCP 2745、3127、6129 端口）等默認情況下都是處于開放狀態(tài)，使得網(wǎng)絡病毒或黑客可通過這些開放端口對受害者電腦開展惡意破壞、竊取數(shù)據(jù)信息等攻擊行為。如何有效避免開放高危端口、快速定位排查信息系統(tǒng)故障，保障信息系統(tǒng)的安全穩(wěn)定運行顯得極為重要。

1.現(xiàn)象描述

1.1 端口開放情況及關(guān)聯(lián)關(guān)系不清晰

信息系統(tǒng)在建轉(zhuǎn)運過程中未對系統(tǒng)端口開放情況進行梳理和審核，系統(tǒng)的端口開放情況、每個端口的用途以及端口之間的關(guān)聯(lián)關(guān)系未形成詳細記錄。部分系統(tǒng)開放了許多不必要的端口，存在感染病毒木馬或被攻擊者利用，進而影響到整個信息網(wǎng)絡安全的風險。此外，端口的作用和端口之間關(guān)聯(lián)關(guān)系不清晰，導致系統(tǒng)接口故障難以準確定位，故障排查效率低下。

1.2 缺少端口治理的自動化工具

缺少專門用于端口治理的自動化工具，端口治理工作中的大部分工作只能靠人工完成，不僅效率低下，而且準確性不高。

1.3 沒有明確的端口異動管控機制可供參考

安全運維中，沒有明確的系統(tǒng)端口異動管控機制可供參考，無法發(fā)現(xiàn)端口異動情況，及時采取有效的應對措施，日積月累必然會產(chǎn)生大量高危端口或非必要端口，存在較大的安全隱患。

2.主要做法

針對上述問題，基于自動化工具建立全面系統(tǒng)的業(yè)務端口信息臺帳制度，實現(xiàn)全業(yè)務對象全生命周期全流程常態(tài)化的有效管控，主要做法如下：

2.1 業(yè)務端口治理

采用自動化手段全面梳理信息內(nèi)外網(wǎng)服務器IP地址上的端口開放情況。研究每個高危端口的用途和存在的風險，并制定相應的防護措施。

2.1.1 生成全服務網(wǎng)段端口清單

本文以掃描一個C網(wǎng)段地址上開放的所有端口為例。通過以下命令掃描服務器上開放的所有端口并將結(jié)果保存在“up_hosts_all_ports_fullscan.xml”文件中：

nmap --open -p0-65535 192.168.104.0/24 -oX d：up_hosts_all_ports_fullscan.xml

執(zhí)行效果如圖所示：

圖1 Nmap掃描服務器C網(wǎng)段上所有端口結(jié)果

生成的xml端口掃描結(jié)果文件內(nèi)容截圖如下：

圖2 xml端口掃描結(jié)果

2.1.2 自主開發(fā)自動化工具完成端口梳理

（1）按端口號對端口掃描結(jié)果進行分組和排序

使用自主編寫的python腳本實現(xiàn)對端口掃描結(jié)果進行分組和排序，并生成一個多重嵌套列表文件(即列表的每個元素也可展開為一個獨立的列表)。其中，每個成員列表第一個元素為端口號(int)，第二個元素為該端口的IP地址(string)列表。腳本代碼如下：

腳本執(zhí)行結(jié)果截圖如下所示：

圖3 端口分組排序結(jié)果

（2）按端口號進行查詢

提高端口梳理的效率，掌握每個端口（尤其是高危端口）的開放和分布情況，可編寫端口查詢腳本。通過腳本，可以根據(jù)端口查詢出相應的主機，腳本代碼如下：

執(zhí)行效果如下圖所示：

圖4 端口查詢結(jié)果

（3）高危端口數(shù)量統(tǒng)計

參考國家漏洞庫漏洞，結(jié)合端口查詢腳本，統(tǒng)計出開放高危端口的主機數(shù)量，并有針對性地開展整改工作，各高危端口的統(tǒng)計數(shù)量如下表所示：

表1 高危端口數(shù)量排名前20列表

2.1.3 高危端口治理

根據(jù)前期統(tǒng)計出的高危端口的主機列表，主要采用以下三種方式來關(guān)閉高危端口：關(guān)停端口對應的服務；配置防火墻策略限制對高危端口的訪問；修改服務器注冊表關(guān)閉高危端口。

關(guān)閉高危端口對業(yè)務系統(tǒng)運行可能造成的影響，分階段關(guān)閉高危端口。

第一階段：勒索病毒相關(guān)端口治理

在所有的windows服務器組策略中集中關(guān)閉勒索病毒相關(guān)端口（137、138、139和445端口）的服務。同時，在各邊界防火墻上配置訪問控制策略，禁止所有訪問勒索病毒端口的行為。

圖5 IP組策略集中關(guān)閉勒索病毒相關(guān)的端口

第二階段：rlogin遠程登錄及RPC遠程調(diào)用端口治理

集中關(guān)閉513和111端口。111端口是Linux類系統(tǒng)上的RPC遠程過程調(diào)用服務端口，通過關(guān)閉portmap服務與關(guān)閉服務自動啟動的方式來關(guān)閉。因NFS共享文件服務也使用111端口，對于開啟了NFS的服務器，采用人工逐臺核對的方式進行手動關(guān)閉，對于確實需要使用NFS服務的系統(tǒng)通過防火墻策略對111端口進行限制。而513端口是remote login遠程登錄服務端口，通過批量卸載rsh-server軟件包的方式徹底關(guān)閉服務，目前已全部關(guān)閉513端口服務。

圖6 集中關(guān)閉513、111端口

第三階段：其余端口治理

對剩余高危端口關(guān)閉可能產(chǎn)生的影響及風險進行評估記錄，分批次、分階段關(guān)閉剩余的高危端口。

第四階段：從源頭上治理

為了防止出現(xiàn)經(jīng)高危端口治理后開放端口數(shù)量下降，但新增設備繼續(xù)出現(xiàn)高危端口的情況，可制作linux標準化安裝光盤，使用linux標準化安裝光盤安裝后，刪除不必要的服務，僅開通了10022的遠程連接端口，能夠提升系統(tǒng)的安全性，減少后期的端口治理工作量。

圖7 驗證僅開通10022遠程連接端口

2.2 業(yè)務端口臺賬管理及應用

制定全服務器網(wǎng)段端口清單，同時制定業(yè)務端口臺帳異動管理辦法，通過確認每次檢修操作是否對IP地址臺帳進行變更，來保持臺帳信息的完整準確。

2.2.1 形成全服務器網(wǎng)段端口清單

通過技術(shù)手段獲取內(nèi)外網(wǎng)服務器網(wǎng)段的所有業(yè)務端口后，可給每個網(wǎng)段分配一名監(jiān)督負責人，及時更新臺賬信息形成一份完整的全服務器網(wǎng)段端口清單。其中各監(jiān)督負責人參考已有的內(nèi)外網(wǎng)服務器IP地址資源臺賬，聯(lián)系各IP地址申請人員填寫IP地址端口功能臺賬表格。端口臺賬清單模板如下圖所示：

圖8 IP地址端口臺帳清單模板

2.2.2 制定業(yè)務端口臺帳信息異動管理辦法

涉及IP地址端口臺賬信息變更都必須經(jīng)過檢修，為確保每次檢修后對端口的變更記錄在冊，及時更新IP地址端口臺帳信息，可給每個IP地址網(wǎng)段指定一名監(jiān)督負責人和管理員外，同時指定IP臺帳信息總負責人。若某次檢修后IP地址端口臺帳信息有變更，監(jiān)督負責人則更新維護所負責的臺帳信息，同時將變更信息反饋給臺帳信息總負責人，由總負責人更新IP地址端口信息總臺賬，并做好相關(guān)記錄，以便后期核查。因此形成兩份IP地址端口信息臺帳變更維護表，一份由各監(jiān)督負責人記錄留存，另一份由總負責人記錄留存。其中變更維護表可以看做是一份IP端口信息更新日志記錄，檢修操作后如IP端口臺帳信息有變更，需及時記錄在兩份變更維護表中。IP地址端口變更記錄管控流程圖如下所示：

圖9 IP地址端口變更記錄管控流程圖

為確保IP地址端口臺帳的準確完整性，可實行每三個月對各網(wǎng)段IP地址端口臺帳開展一次全面的內(nèi)外網(wǎng)服務器端口掃描，并結(jié)合IP地址端口總臺帳信息變更維護表，審核IP地址總臺賬信息是否依舊準確完整。

2.2.3 網(wǎng)絡安全風險預警單處理

驗證業(yè)務端口治理提升工作的有效性和實用性，將端口治理成果應用到網(wǎng)絡安全風險預警單處理過程。

例如2017年6月22日全球能源互聯(lián)網(wǎng)研究院發(fā)布的BMC RSCD AGENT遠程命令執(zhí)行漏洞風險預警單，利用該漏洞惡意攻擊者可繞過操作系統(tǒng)認證執(zhí)行任意命令，取得對服務器的控制權(quán)限。預警單給出的排查方法是：

利用端口掃描工具對目標服務器進行端口掃描，確認TCP 4750端口是否開放；

在測試機上執(zhí)行bmpexp.exe工具，bmcexp.exe –host x.x.x.x–cmd=”ifconfig”，成功返回命令的結(jié)果則說明存在此漏洞；

對所有使用BMC rscd agent軟件（存在的漏洞版本為：BMC rscd agent＜8.7）的版本進行系統(tǒng)排查，更新BMC rscd agent至最新版本。為快速高效實現(xiàn)漏洞預警單的處理，可利用自動化端口掃描、分組、排序、查詢及統(tǒng)計腳本，結(jié)合IP地址臺賬變更記錄管控機制，形成一份準確完整的4750端口臺賬清單，給各網(wǎng)段IP地址臺賬負責人下發(fā)漏洞預警，對責任范圍內(nèi)的所有使用BMC rscd agent軟件版本的系統(tǒng)進行快速排查，及時更新軟件版本。

2.3 外網(wǎng)系統(tǒng)業(yè)務端口歸并

對外網(wǎng)信息系統(tǒng)對社會僅開放80及443端口的可行性進行分析。完成互聯(lián)網(wǎng)出口統(tǒng)一。

3.結(jié)語

有效管控全業(yè)務對象全生命周期全流程常態(tài)化，提高信息系統(tǒng)運行安全防護水平，探索提出基于自動化、分類、細顆粒度的建設運行全生命周期的端口治理方案，基于自動化工具建立全面系統(tǒng)的分類結(jié)構(gòu)化業(yè)務端口信息臺帳，制定常態(tài)化的全業(yè)務對象全生命周期全流程風險管控制度，實現(xiàn)網(wǎng)絡安全風險管控和業(yè)務端口治理提升工作。

3.1 依托自動化工具

從零開始建立全面系統(tǒng)的分類結(jié)構(gòu)化的業(yè)務端口信息臺賬。基于自主編寫的自動化腳本建立了信息系統(tǒng)分類結(jié)構(gòu)化業(yè)務端口信息臺帳，梳理在運系統(tǒng)、設備及服務器上開放的所有端口清單，顆粒度細化各IP地址所有端口的用途和訪問關(guān)系，可為端口治理常態(tài)化工作奠定基礎；編寫自動化腳本實現(xiàn)端口分組、排序、查詢及高危端口統(tǒng)計、關(guān)閉等功能，提高端口信息的快速搜集分類、信息系統(tǒng)故障和網(wǎng)絡安全風險預警單分析處置的效率。

3.2 依托信息化工具

基于分類結(jié)構(gòu)化的端口信息臺賬，可建立全業(yè)務對象全生命周期全流程常態(tài)化的風險管控制度?；诜诸惤Y(jié)構(gòu)化的端口信息臺帳，建立全業(yè)務對象全生命周期全流程的常態(tài)化風險管控制度，重點監(jiān)控高危端口、重要業(yè)務端口，實現(xiàn)端口全生命業(yè)務對象的有效管控；制定端口異動管控機制，參照標準化配置手冊相關(guān)做法，從源頭上規(guī)避高危端口風險隱患，實現(xiàn)端口全生命周期的常態(tài)化管控；以自動化腳本為輔助工具，提高端口臺帳信息的快速收集、分析、研判、預警處置能力，實現(xiàn)端口全流程的常態(tài)化管控。

3.3 依托連續(xù)有效的信息臺賬數(shù)據(jù)

開展風險防范和業(yè)務系統(tǒng)優(yōu)化工作，依據(jù)連續(xù)有效的業(yè)務端口信息臺帳，開展信息外網(wǎng)系統(tǒng)端口治理提升工作，在不影響外網(wǎng)業(yè)務系統(tǒng)應用的前提下，將外網(wǎng)業(yè)務對互聯(lián)網(wǎng)開放的端口統(tǒng)一歸并為80和443端口，保障外網(wǎng)業(yè)務系統(tǒng)的安全穩(wěn)定運行。