Virusi WannaCry, i njohur gjithashtu si WannaCrypt ose Wanna Decryptor, goditi botën virtuale në maj 2017. Malware depërtoi në rrjetet lokale, duke infektuar një kompjuter pas tjetrit, duke enkriptuar skedarët në disqe dhe duke kërkuar që përdoruesi të transferojë 300 deri në 600 dollarë te ransomware për t'i zhbllokuar. Virusi Petya, i cili fitoi pothuajse famë politike në verën e vitit 2017, veproi në të njëjtën mënyrë.

Të dy dëmtuesit e rrjetit depërtuan në sistemin operativ të kompjuterit viktimë përmes të njëjtës derë - portat e rrjetit 445 ose 139. Pas dy viruseve të mëdhenj, filluan të shfrytëzohen lloje më të vogla të infeksioneve kompjuterike se çfarë porte janë këto që skanohen nga të gjithë dhe të ndryshme?

Për çfarë janë përgjegjëse portat 445 dhe 139 në Windows?

Këto porte përdoren në Windows për të ndarë skedarë dhe printera. Porta e parë është përgjegjëse për protokollin e Blloqeve të Mesazheve të Serverit (SMB) dhe porta e dytë drejton protokollin e Sistemit Basic Input-Output të Rrjetit (NetBIOS). Të dy protokollet lejojnë kompjuterët që përdorin Windows të lidhen përmes rrjetit me dosjet dhe printerët "të përbashkët" mbi protokollet bazë TCP dhe UDP.

Duke filluar me Windows 2000, ndarja e skedarëve dhe printerëve përmes rrjetit kryhet kryesisht përmes portit 445 duke përdorur protokollin e aplikacionit SMB. Protokolli NetBIOS u përdor në versionet e mëparshme të sistemit, duke funksionuar përmes porteve 137, 138 dhe 139, dhe kjo veçori u ruajt në versionet e mëvonshme të sistemit si një atavizëm.

Pse portet e hapura janë të rrezikshme?

445 dhe 139 është një cenueshmëri delikate, por domethënëse në Windows. Duke i lënë këto porte të pambrojtura, ju hapni derën e hard diskut tuaj gjerësisht të hapur për mysafirë të paftuar si viruset, trojanët, krimbat dhe sulmet e hakerëve. Dhe nëse kompjuteri juaj është i lidhur me një rrjet lokal, atëherë të gjithë përdoruesit e tij janë në rrezik të infektimit me softuer me qëllim të keq.

Në fakt, ju po ndani hard diskun tuaj me këdo që mund të hyjë në këto porte. Nëse dëshirohet dhe janë të aftë, sulmuesit mund të shikojnë përmbajtjen e një hard disk, apo edhe të fshijnë të dhënat, të formatojnë vetë diskun ose të enkriptojnë skedarët. Kjo është pikërisht ajo që bënë viruset WannaCry dhe Petya, epidemia e të cilave përfshiu botën këtë verë.

Kështu, nëse kujdeseni për sigurinë e të dhënave tuaja, do të ishte mirë të mësoni se si të mbyllni portat 139 dhe 445 në Windows.

Gjetja nëse portet janë të hapura

Në shumicën e rasteve, porta 445 është e hapur në Windows sepse ndarja e printerit dhe skedarëve aktivizohet automatikisht kur instalohet Windows. Ju lehtë mund ta kontrolloni këtë në kompjuterin tuaj. Shtypni shkurtoren e tastierës Win + R për të hapur dritaren e nisjes së shpejtë. Në të, futni “ cmd" për të nisur linjën e komandës. Në vijën e komandës, shkruani " netstat -na" dhe shtypni Hyni. Kjo komandë ju lejon të skanoni të gjitha portat aktive të rrjetit dhe të shfaqni të dhëna për statusin e tyre dhe lidhjet aktuale hyrëse.

Pas disa sekondash, do të shfaqet një tabelë statistikore e portit. Në krye të tabelës do të tregohet adresa IP e portit 445 nëse kolona e fundit e tabelës përmban statusin "DËGJIMI", kjo do të thotë se porti është i hapur. Në mënyrë të ngjashme, mund të gjeni portin 139 në tabelë dhe të zbuloni statusin e tij.

Si të mbyllni portet në Windows 10/8/7

Ekzistojnë tre metoda kryesore për të mbyllur portin 445 në Windows 10, 7 ose 8. Ato nuk ndryshojnë shumë në varësi të versionit të sistemit dhe janë mjaft të thjeshta. Ju mund të provoni ndonjë prej tyre për të zgjedhur. Ju gjithashtu mund të mbyllni portin 139 duke përdorur të njëjtat metoda.

Mbyllja e porteve përmes murit të zjarrit

Metoda e parë, e cila ju lejon të mbyllni portin 445 në Windows, është më e thjeshta dhe është e arritshme për pothuajse çdo përdorues.

1. Shkoni te Start > Control Panel > Windows Firewall dhe klikoni në lidhjen Opsione shtesë.
2. Klikoni Rregullat për përjashtimet hyrëse > Rregulli i ri. Në dritaren që shfaqet, zgjidhni Për Portin > Tjetra > Protokolli TCP > Portet specifike lokale, futni 445 në fushën pranë saj dhe klikoni Me tutje.
3. Më pas zgjidhni Blloko lidhjen dhe shtypni përsëri Me tutje. Kontrolloni përsëri tre kuti Me tutje. Futni një emër dhe, nëse dëshironi, një përshkrim të rregullit të ri dhe klikoni Gati.

Tani do të mbyllet mundësia e lidhjeve hyrëse në portin 445. Nëse është e nevojshme, një rregull i ngjashëm mund të krijohet për portin 139.

Mbyllja e porteve përmes linjës së komandës

Metoda e dytë përfshin operacionet e linjës së komandës dhe është më e përshtatshme për përdoruesit e avancuar të Windows.

1. Klikoni Filloni dhe në shiritin e kërkimit në fund të menysë, shkruani " cmd". Në listën që shfaqet, kliko me të djathtën cmd dhe zgjidhni Drejtojeni si administrator.
2. Kopjoni komandën në dritaren e linjës së komandës netsh advfirewall vendosi gjendjen e të gjithë profilit të aktivizuar. Klikoni Hyni.
3. Pastaj kopjoni komandën e mëposhtme: netsh advfirewall firewall shtoni rregullin dir=in action=block protocol=TCP localport=445 name="Block_TCP-445". Klikoni Hyni përsëri.

Si rezultat i procedurës, do të krijohet gjithashtu një rregull i Windows Firewall për të mbyllur portin 445. Megjithatë, disa përdorues raportojnë se kjo metodë nuk funksionon në makinat e tyre: gjatë kontrollit, porti mbetet në statusin "LISTENING". Në këtë rast, duhet të provoni metodën e tretë, e cila është gjithashtu mjaft e thjeshtë.

Mbyllja e porteve përmes regjistrit të Windows

Ju gjithashtu mund të bllokoni lidhjet me portin 445 duke bërë ndryshime në regjistrin e sistemit. Kjo metodë duhet të përdoret me kujdes: regjistri i Windows është baza kryesore e të dhënave të të gjithë sistemit dhe një gabim aksidental mund të çojë në pasoja të paparashikueshme. Para se të punoni me regjistrin, rekomandohet të bëni një kopje rezervë, për shembull, duke përdorur CCleaner.

1. Klikoni Filloni dhe në shiritin e kërkimit futni "regedit". Klikoni Hyni.
2. Në pemën e regjistrit, lundroni në drejtorinë e mëposhtme: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters.
3. Një listë opsionesh do të shfaqet në anën e djathtë të dritares. Klikoni me të djathtën në një zonë boshe të listës dhe zgjidhni Krijo. Nga menyja rënëse, zgjidhni Vlera DWORD (32-bit) ose Vlera DWORD (64-bit) në varësi të llojit të sistemit tuaj (32-bit ose 64-bit).
4. Riemërtoni parametrin e ri në SMBDevice Enabled, dhe pastaj klikoni dy herë mbi të. Në dritaren që shfaqet Ndryshimi i një parametri në fushë Kuptimi zëvendësoni 1 me 0 dhe shtypni Ne rregull për konfirmim.

Kjo metodë është më efektive nëse ndiqni me përpikëri udhëzimet e mësipërme. Duhet të theksohet se ai zbatohet vetëm për portin 445.

Për ta bërë mbrojtjen më efektive, mund të çaktivizoni gjithashtu shërbimin Windows Server pasi të keni bërë ndryshime në regjistër. Për ta bërë këtë, bëni sa më poshtë:

1. Klikoni Start dhe futeni në shiritin e kërkimit "services.msc". Do të hapet një listë e shërbimeve të sistemit Windows.
2. Gjeni shërbimin Server dhe klikoni dy herë mbi të. Si rregull, ai ndodhet diku në mes të listës.
3. Në dritaren që shfaqet, në listën rënëse Lloji i fillimit zgjidhni I paaftë dhe shtypni Ne rregull.

Metodat e mësipërme (me përjashtim të të tretës) ju lejojnë të mbyllni jo vetëm portin 445, por edhe portet 135, 137, 138, 139. Për ta bërë këtë, kur kryeni procedurën, thjesht zëvendësoni numrin e portit me atë të dëshiruar.

Nëse më vonë duhet të hapni portet, thjesht fshini rregullin e krijuar në murin e zjarrit të Windows ose ndryshoni vlerën e parametrit të krijuar në regjistër nga 0 në 1 dhe më pas aktivizoni shërbimin Windows Server duke zgjedhur nga lista Lloji i fillimit kuptimi Automatikisht në vend të I paaftë.

E rëndësishme!Është e rëndësishme të mbani mend se porti 445 në Windows është përgjegjës për ndarjen e skedarëve, dosjeve dhe printerëve. Kështu, nëse mbyllni këtë port, nuk do të jeni më në gjendje të "ndani" dosjen e përbashkët me përdoruesit e tjerë ose të printoni një dokument përmes rrjetit.

Nëse kompjuteri juaj është i lidhur me një rrjet lokal dhe ju nevojiten këto funksione për punë, duhet të përdorni mjete mbrojtëse të palëve të treta. Për shembull, aktivizoni firewall-in tuaj antivirus, i cili do të marrë kontrollin e të gjitha porteve dhe do t'i monitorojë ato për akses të paautorizuar.

Duke ndjekur rekomandimet e mësipërme, mund të mbroheni nga dobësitë e padukshme por serioze në Windows dhe të mbroni të dhënat tuaja nga lloje të shumta softuerësh me qëllim të keq që mund të depërtojnë në sistem përmes portave 139 dhe 445.

Dje, persona të panjohur organizuan një tjetër sulm masiv duke përdorur një virus enkriptimi. Ekspertët thanë se dhjetëra kompani të mëdha në Ukrainë dhe Rusi u prekën. Virusi ransomware quhet Petya.A (ndoshta virusi ka marrë emrin e Petro Poroshenko). Ata shkruajnë se nëse krijoni një skedar perfc (pa shtesë) dhe e vendosni në C:\Windows\, virusi do t'ju anashkalojë. Nëse kompjuteri juaj rindizet dhe fillon "kontrolli i diskut", duhet ta fikni menjëherë. Nisja nga një disku LiveCD ose USB do t'ju japë akses te skedarët. Një tjetër metodë mbrojtjeje: mbyllni portat 1024–1035, 135 dhe 445. Tani do të shohim se si ta bëjmë këtë duke përdorur Windows 10 si shembull.

Hapi 1
Shkojmë Firewall i Windows(është më mirë të zgjidhni modalitetin e përmirësuar të sigurisë), zgjidhni " Opsione shtesë».
Zgjidhni skedën " Rregullat për lidhjet hyrëse", pastaj veprimi" Krijo një rregull"(në kolonën e djathtë).

Hapi 2
Zgjidhni llojin e rregullit - " për Portin" Në dritaren tjetër, zgjidhni " Protokolli TCP", tregoni portat që dëshironi të mbyllni. Në rastin tonë është " 135, 445, 1024-1035 "(pa thonjëza).

Hapi 3
Zgjidhni artikullin " Blloko lidhjen", në dritaren tjetër shënojmë të gjitha profilet: Domain, Privat, Publik.

Hapi 4
Mbetet vetëm për të gjetur një emër për rregullin (në mënyrë që të jetë e lehtë të gjendet në të ardhmen). Ju mund të specifikoni një përshkrim të rregullit.

Nëse disa programe ndalojnë së punuari ose funksionojnë gabimisht, mund të keni bllokuar portin që ata përdorin. Ju do të duhet të shtoni një përjashtim për ta në murin e zjarrit.

Porta 135 TCP përdoret nga shërbimet në distancë (DHCP, DNS, WINS, etj.) dhe në aplikacionet klient-server të Microsoft (për shembull, Exchange).

Porta 445 TCP përdoret në Microsoft Windows 2000 dhe më vonë për qasje të drejtpërdrejtë TCP/IP pa përdorur NetBIOS (për shembull, në Active Directory).

Publikimi

Portat e rrjetit mund të ofrojnë informacion jetik për aplikacionet që aksesojnë kompjuterët përmes rrjetit. Duke njohur aplikacionet që përdorin rrjetin dhe portat përkatëse të rrjetit, mund të krijoni rregulla të sakta të murit të zjarrit dhe të konfiguroni kompjuterët pritës që të lejojnë vetëm trafikun e dobishëm. Duke ndërtuar një profil rrjeti dhe duke vendosur mjete për të njohur trafikun e rrjetit, ju mund të zbuloni në mënyrë më efektive ndërhyrësit - ndonjëherë thjesht duke analizuar trafikun e rrjetit që ata gjenerojnë. Ne filluam ta shqyrtojmë këtë temë në pjesën e parë të artikullit të botuar në numrin e mëparshëm të revistës. Ai siguroi informacion bazë për portet TCP/IP si themeli i sigurisë së rrjetit. Pjesa 2 do të përshkruajë disa metoda të rrjetit dhe të hostit që mund të përdoren për të identifikuar aplikacionet që dëgjojnë në një rrjet. Më vonë në artikull do të flasim se si të vlerësojmë trafikun që kalon përmes rrjetit.

Bllokimi i aplikacioneve të rrjetit

Sipërfaqja e sulmit në rrjet është një term i zakonshëm për të përshkruar cenueshmërinë e rrjetit. Shumë sulme të rrjetit ndodhin përmes aplikacioneve të cenueshme dhe sipërfaqja e sulmit mund të reduktohet ndjeshëm duke reduktuar numrin e aplikacioneve aktive në rrjet. Me fjalë të tjera, duhet të çaktivizoni shërbimet e papërdorura, të instaloni një mur zjarri në sistemin e dedikuar për të kontrolluar legjitimitetin e trafikut dhe të krijoni një listë gjithëpërfshirëse të kontrollit të aksesit (ACL) për murin e zjarrit në perimetrin e rrjetit.

Çdo port i hapur i rrjetit përfaqëson një aplikacion që dëgjon në rrjet. Sipërfaqja e sulmit të çdo serveri të lidhur me rrjetin mund të reduktohet duke çaktivizuar të gjitha shërbimet dhe aplikacionet jo thelbësore të rrjetit. Windows Server 2003 është superior ndaj versioneve të mëparshme të sistemit operativ sepse mundëson më pak shërbime të rrjetit si parazgjedhje. Megjithatë, auditimi është ende i nevojshëm për të zbuluar aplikacionet e sapo instaluara dhe ndryshimet e konfigurimit që hapin portat e panevojshme të rrjetit.

Çdo port i hapur është një derë e pasme e mundshme për sulmuesit për të shfrytëzuar hapësirat në aplikacionin pritës ose për të hyrë në mënyrë të fshehtë në aplikacion me emrin dhe fjalëkalimin e një përdoruesi tjetër (ose të përdorin një metodë tjetër të ligjshme vërtetimi). Sido që të jetë, një hap i parë i rëndësishëm për të mbrojtur rrjetin tuaj është thjesht çaktivizimi i aplikacioneve të rrjetit të papërdorura.

Skanimi i portit

Skanimi i portit është procesi i zbulimit të aplikacioneve dëgjimore duke anketuar në mënyrë aktive portat e rrjetit të një kompjuteri ose pajisjeje tjetër rrjeti. Aftësia për të lexuar rezultatet e skanimit dhe për të krahasuar raportet e rrjetit me rezultatet e sondazhit të portit pritës ju lejon të merrni një pamje të qartë të trafikut që rrjedh nëpër rrjetin tuaj. Njohja e topologjisë së rrjetit është e rëndësishme në përgatitjen e një plani strategjik për skanimin e zonave specifike. Për shembull, duke skanuar një sërë adresash IP të jashtme, mund të grumbulloni të dhëna të vlefshme për një sulmues në Internet. Prandaj, duhet të skanoni rrjetin tuaj më shpesh dhe të mbyllni të gjitha portat e panevojshme të rrjetit.

Skanimi i portit të jashtëm të murit të zjarrit mund të zbulojë të gjitha shërbimet që përgjigjen (si p.sh. ueb-i ose posta elektronike) të vendosura në serverët e brendshëm. Këta serverë gjithashtu duhet të mbrohen. Konfiguro një skaner porti të njohur (për shembull, Network Mapper - Nmap) për të skanuar grupin e dëshiruar të porteve UDP ose TCP. Në mënyrë tipike, skanimi i portit TCP është më i besueshëm se skanimi UDP për shkak të reagimeve më të thella nga protokollet e TCP-së të orientuar drejt lidhjes. Ka versione të Nmap si për Windows ashtu edhe për Unix. Fillimi i një skanimi bazë është i lehtë, megjithëse programi ofron veçori shumë më të avancuara. Për të gjetur portat e hapura në kompjuterin e testimit, ekzekutova komandën

Nmap 192.168.0.161

Ekrani 1 tregon rezultatet e një sesioni skanimi - në këtë rast, një kompjuter Windows 2003 në një konfigurim standard. Të dhënat e mbledhura nga skanimi i portit tregojnë se ka gjashtë porte TCP të hapura.

Ekrani 1: Sesioni bazë i skanimit të Nmap

• Porta 135 përdoret nga veçoria e hartës së pikës fundore RPC që gjendet në shumë teknologji të Windows, të tilla si aplikacionet COM/DCOM, DFS, regjistrimi i ngjarjeve, përsëritja e skedarëve, radha e mesazheve dhe Microsoft Outlook. Ky port duhet të bllokohet nga muri i zjarrit rrethues i rrjetit, por është e vështirë ta bllokosh atë dhe të ruash ende funksionalitetin e Windows.
• Porta 139 përdoret nga shërbimi i sesionit NetBIOS, i cili mundëson shfletuesin "Gjej kompjuterë të tjerë", Shërbimet e ndarjes së skedarëve, hyrjen në rrjet dhe shërbimin e serverit. Është e vështirë të mbyllet, ashtu si porti 135.
• Porta 445 përdoret nga Windows për ndarjen e skedarëve. Për të mbyllur këtë port, duhet të bllokoni ndarjen e skedarëve dhe printerit për rrjetet Microsoft. Mbyllja e këtij porti nuk e pengon kompjuterin të lidhet me burime të tjera në distancë; megjithatë, kompjuterët e tjerë nuk do të mund të lidhen me këtë sistem.
• Portat 1025 dhe 1026 hapen në mënyrë dinamike dhe përdoren nga procese të tjera të sistemit Windows, në veçanti shërbime të ndryshme.
• Porta 3389 përdoret nga Remote Desktop, e cila nuk është e aktivizuar si parazgjedhje, por është aktive në kompjuterin tim testues. Për të mbyllur portin, shkoni te skeda Remote në kutinë e dialogut System Properties dhe pastroni kutinë Lejo përdoruesit të lidhen nga distanca me këtë kompjuter.

Sigurohuni që të kërkoni për porte të hapura UDP dhe mbyllni ato të panevojshme. Programi i skanimit tregon portat e hapura të kompjuterit që janë të dukshme nga rrjeti. Rezultate të ngjashme mund të merren duke përdorur mjete të vendosura në sistemin pritës.

Skanimi i hostit

Përveç përdorimit të një skaneri portash rrjeti, portat e hapura në sistemin pritës mund të zbulohen duke përdorur komandën e mëposhtme (të ekzekutohet në sistemin pritës):

Netstat -an

Kjo komandë funksionon si në Windows ashtu edhe në UNIX. Netstat ofron një listë të porteve aktive në një kompjuter. Në Windows 2003 Windows XP, duhet të shtoni opsionin -o për të marrë identifikuesin përkatës të programit (PID). Figura 2 tregon daljen Netstat për të njëjtin kompjuter që ishte skanuar më parë në port. Ju lutemi vini re se disa porte që ishin aktive më parë janë të mbyllura.

Auditimi i Regjistrit të Firewall-it

Një mënyrë tjetër e dobishme për të zbuluar aplikacionet e rrjetit që dërgojnë ose marrin të dhëna përmes rrjetit është mbledhja dhe analizimi i më shumë të dhënave në regjistrin e murit të zjarrit. Refuzimi i hyrjeve që ofrojnë informacion nga pjesa e përparme e murit të zjarrit nuk ka gjasa të jenë të dobishme për shkak të "trafikut të zhurmës" (p.sh. nga krimbat, skanerët, testimi i ping-ut) që bllokon internetin. Por nëse regjistroni paketat e lejuara nga ndërfaqja e brendshme, mund të shihni të gjithë trafikun hyrës dhe dalës të rrjetit.

Për të parë të dhënat e papërpunuara të trafikut në rrjetin tuaj, mund të instaloni një analizues rrjeti që lidhet me rrjetin dhe regjistron të gjitha paketat e zbuluara të rrjetit. Analizuesi i rrjetit falas më i përdorur është Tcpdump për UNIX (versioni i Windows quhet Windump), i cili instalohet lehtë në kompjuterin tuaj. Pas instalimit të programit, duhet ta konfiguroni që të funksionojë në mënyrën e marrjes së të gjitha paketave të rrjetit në mënyrë që të regjistrohet i gjithë trafiku, dhe më pas ta lidhni atë me një monitor porti në ndërprerësin e rrjetit dhe të monitoroni të gjithë trafikun që kalon përmes rrjetit. Vendosja e një monitor porti do të diskutohet më poshtë. Tcpdump është një program jashtëzakonisht fleksibël që mund të përdoret për të parë trafikun e rrjetit duke përdorur filtra të specializuar dhe për të treguar vetëm informacione rreth adresave IP dhe porteve ose të gjitha paketave. Është e vështirë të shikosh deponitë e rrjetit në rrjete të mëdha pa ndihmën e filtrave të duhur, por duhet pasur kujdes që të mos humbasin të dhëna të rëndësishme.

Kombinimi i komponentëve

Deri më tani, ne kemi parë metoda dhe mjete të ndryshme që mund të përdoren për të zbuluar aplikacionet duke përdorur rrjetin. Është koha për t'i kombinuar ato dhe për të treguar se si të përcaktohen portat e hapura të rrjetit. Është e mahnitshme se sa llafazan janë kompjuterët në rrjet! Së pari, rekomandohet që të lexoni dokumentin e Microsoft "Pasqyra e përgjithshme e shërbimit dhe kërkesat e portit të rrjetit për sistemin Windows Server" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), i cili liston protokollet (TCP dhe UDP) dhe numrat e portave të përdorura nga aplikacionet dhe shumica e shërbimeve thelbësore të Windows Server. Ky dokument përshkruan këto shërbime dhe portat e lidhura të rrjetit që përdorin. Ne ju rekomandojmë që të shkarkoni dhe printoni këtë udhëzues referimi të dobishëm për administratorët e rrjetit Windows.

Vendosja e një analizuesi të rrjetit

U vu re më parë se një mënyrë për të përcaktuar portat e përdorura nga aplikacionet është monitorimi i trafikut midis kompjuterëve duke përdorur një analizues rrjeti. Për të parë të gjithë trafikun, duhet të lidhni një analizues rrjeti me një qendër ose monitor porti në çelës. Çdo port në një shpërndarës sheh të gjithë trafikun nga çdo kompjuter i lidhur me atë shpërndarës, por shpërndarësit janë një teknologji e vjetëruar dhe shumica e kompanive po i zëvendësojnë ato me ndërprerës, të cilët ofrojnë performancë të mirë, por janë të vështira për t'u analizuar: çdo port komutues pranon vetëm trafikun e destinuar për një kompjuter i lidhur me shpërndarësin në këtë port. Për të analizuar të gjithë rrjetin, duhet të monitoroni trafikun e dërguar në secilën portë switch.

Kjo kërkon vendosjen e një monitori porti (shitës të ndryshëm e quajnë atë port span ose port të pasqyruar) në çelës. Instalimi i një monitori porti në një ndërprerës Cisco Catalyst nga Cisco Systems është i lehtë. Duhet të regjistroheni në çelës dhe të aktivizoni modalitetin Aktivizo, më pas shkoni te konfiguroni modalitetin e terminalit dhe futni numrin e ndërfaqes së portit të ndërprerësit në të cilin duhet të dërgohet i gjithë trafiku i monitoruar. Më në fund, duhet të specifikoni të gjitha portat e monitoruara. Për shembull, komandat e mëposhtme monitorojnë tre porte Fast Ethernet dhe përcjellin një kopje të trafikut në portin 24.

Ndërfaqja FastEthernet0/24 monitor porti FastEthernet0/1 monitor porti FastEthernet0/2 fund FastEthernet0/3

Në këtë shembull, një analizues rrjeti i lidhur me portën 24 do të shikojë të gjithë trafikun dalës dhe në hyrje nga kompjuterët e lidhur me tre portat e para të ndërprerësit. Për të parë konfigurimin e krijuar, futni komandën

Shkruani kujtesën

Analiza fillestare

Le të shohim një shembull të analizimit të të dhënave që kalojnë përmes një rrjeti. Nëse jeni duke përdorur një kompjuter Linux për analizën e rrjetit, mund të merrni një kuptim gjithëpërfshirës të llojit dhe frekuencës së paketave në rrjet duke përdorur një program të tillë si IPTraf në modalitetin statistikor. Detajet e trafikut mund të gjenden duke përdorur programin Tcpdump.

Çdo ditë, pronarët e PC përballen me një numër të madh programesh dhe virusesh të rrezikshme që në një farë mënyre përfundojnë në hard disk dhe shkaktojnë rrjedhje të të dhënave të rëndësishme, prishje të kompjuterit, vjedhje të informacionit të rëndësishëm dhe situata të tjera të pakëndshme.

Më shpesh, kompjuterët që përdorin Windows OS të çdo versioni janë të infektuar, qoftë ai 7, 8, 10 apo ndonjë tjetër. Arsyeja kryesore për këto statistika janë lidhjet hyrëse me PC ose "portet", të cilat janë pika e dobët e çdo sistemi për shkak të disponueshmërisë së tyre si parazgjedhje.

Fjala "port" është një term që i referohet numrit serial të lidhjeve hyrëse që drejtohen në kompjuterin tuaj nga softueri i jashtëm. Shpesh ndodh që këto porte të përdoren nga viruse që mund të depërtojnë lehtësisht në kompjuterin tuaj duke përdorur një rrjet IP.

Softueri i virusit, pasi ka hyrë në kompjuter përmes lidhjeve të tilla hyrëse, infekton shpejt të gjithë skedarët e rëndësishëm, jo ​​vetëm skedarët e përdoruesit, por edhe ato të sistemit. Për të shmangur këtë, ne rekomandojmë mbylljen e të gjitha porteve standarde që mund të bëhen dobësia juaj kur sulmohen nga hakerat.

Cilat janë portet më të cenueshme në Windows 7-10?

Studime dhe sondazhe të shumta të ekspertëve tregojnë se deri në 80% të sulmeve dhe hakimeve me qëllim të keq kanë ndodhur duke përdorur katër porte kryesore të përdorura për shkëmbimin e shpejtë të skedarëve midis versioneve të ndryshme të Windows:

• Porta TCP 139, e nevojshme për lidhjen dhe kontrollin në distancë të një PC;
• Porta TCP 135, e destinuar për ekzekutimin e komandave;
• Porta TCP 445, që lejon transferimin e shpejtë të skedarëve;
• Porta UDP 137, e cila përdoret për të kërkuar shpejt në një PC.

Mbyllja e portave 135-139 dhe 445 në Windows

Ju ftojmë të njiheni me mënyrat më të thjeshta për të mbyllur portat e Windows, të cilat nuk kërkojnë njohuri shtesë apo aftësi profesionale.

Duke përdorur vijën e komandës

Linja e komandës Windows është një guaskë softuerike që përdoret për të specifikuar funksione dhe parametra të caktuar për softuerin që nuk ka guaskën e vet grafike.

Për të nisur linjën e komandës, duhet:

1. Shtypni kombinimin e tasteve Win + R në të njëjtën kohë
2. Në vijën e komandës që shfaqet, futni CMD
3. Klikoni në butonin "OK".

Do të shfaqet një dritare pune me sfond të zi, në të cilën duhet të futni komandat e mëposhtme një nga një. Pas çdo rreshti të futur, shtypni tastin Enter për të konfirmuar veprimin.
netsh advfirewall firewall shtoni rregullin dir=in action=block protocol=tcp localport=135 name=»Block1_TCP-135″(komandë për të mbyllur portin 135)
netsh advfirewall firewall shtoni rregullin dir=in action=block protocol=tcp localport=137 name=»Block1_TCP-137″(komandë për të mbyllur portin 137)
netsh advfirewall firewall shtoni rregullin dir=in action=block protocol=tcp localport=138 name=»Block1_TCP-138″(komandë për të mbyllur portin 138)
netsh advfirewall firewall shtoni rregullin dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″(komandë për të mbyllur portin 139)
netsh advfirewall firewall shtoni rregullin dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″(komandë për të mbyllur portin 445)
netsh advfirewall firewall shtoni rregullin dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

Gjashtë komandat që kemi dhënë janë të nevojshme për: mbylljen e 4 porteve të cenueshme të Windows TCP (të hapura si parazgjedhje), mbylljen e portës UDP 138 dhe gjithashtu mbylljen e portës 5000, e cila është përgjegjëse për shfaqjen e një liste të shërbimeve të disponueshme.

Mbyllja e porteve me programe të palëve të treta

Nëse nuk doni të humbni kohë duke punuar me vijën e komandës, ju sugjerojmë të shikoni aplikacionet e palëve të treta. Thelbi i një softueri të tillë është të redaktoni regjistrin automatikisht me një ndërfaqe grafike, pa pasur nevojë të futni manualisht komanda.

Sipas përdoruesve tanë, programi më i popullarizuar për këto qëllime është Windows Doors Cleaner. Kjo do t'ju ndihmojë të mbyllni me lehtësi portat në një kompjuter me Windows 7/8/8.1/10. Versionet e vjetra të sistemeve operative, për fat të keq, nuk mbështeten.

Si të punoni me një program që mbyll portet

Për të përdorur Windows Doors Cleaner, duhet:

1. Shkarkoni softuerin dhe instaloni atë
2. Ekzekutoni programin duke klikuar me të djathtën në shkurtore dhe duke zgjedhur "run as administrator"
3. Në dritaren e punës që shfaqet, do të ketë një listë portash dhe butonat "Mbyll" ose "Disable", të cilët mbyllin portat e cenueshme të Windows, si dhe çdo tjetër që dëshironi.
4. Pasi të jenë bërë ndryshimet e nevojshme, duhet të rindizni sistemin

Një avantazh tjetër i programit është fakti se me ndihmën e tij jo vetëm që mund të mbyllni, por edhe të hapni.

Nxjerrja e përfundimeve

Mbyllja e portave të rrezikuara të rrjetit në Windows nuk është një ilaç për të gjitha sëmundjet. Është e rëndësishme të mbani mend se siguria e rrjetit mund të arrihet vetëm përmes veprimeve gjithëpërfshirëse që synojnë mbylljen e të gjitha dobësive të kompjuterit tuaj.

Për sigurinë e Windows, përdoruesi duhet të instalojë përditësime kritike nga Microsoft, të ketë softuer të licencuar anti-virus dhe një mur zjarri të aktivizuar, të përdorë softuer ekskluzivisht të sigurt dhe të lexojë rregullisht artikujt tanë, në të cilët flasim për të gjitha mënyrat ekzistuese për të arritur anonimitetin dhe sigurinë tuaj. të dhëna.

A dini mënyra më të mira për të mbyllur portat e rrjetit? Ndani njohuritë tuaja në komente dhe mos harroni të ripostoni artikullin në faqen tuaj. Ndani informacione të dobishme me miqtë tuaj dhe mos u jepni hakerëve një shans për të dëmtuar të dashurit tuaj!

Gjak, fakti që muri juaj i zjarrit tregon se svchost.exe po dëgjon në një port të caktuar nuk do të thotë se është i hapur për lidhje nga jashtë.

Duket sikur rregullat tuaja janë shkruar dhe duhet të funksionojnë.

A keni provuar të kontrolloni me skaner portash? - TsOB (Qendra e Sigurisë) (klauzola 2.7)

Dhe mos harroni se do t'ju duhet gjithashtu të kontrolloni IPv6, sepse... është i aktivizuar në sistemin tuaj, por skanerët zakonisht kontrollojnë vetëm IPv4 (po flas për shërbime të centralizuara).

Nëse nuk ju nevojitet fare ky protokoll, atëherë mund ta çaktivizoni:

Për të çaktivizuar komponentët e versionit IP 6 në Windows Vista, ndiqni këto hapa:

1. Klikoni Start, shkruani regedit në kutinë Start Search dhe më pas zgjidhni regedit.exe në listën e Programeve.

2. Në kutinë e dialogut Kontrolli i llogarisë së përdoruesit, klikoni Vazhdo.

3. Gjeni dhe zgjidhni nënçelësin e mëposhtëm të regjistrit:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

4. Klikoni dy herë DisabledComponents për të ndryshuar cilësimin DisabledComponents.

Shënim. Nëse parametri DisabledComponents nuk është i disponueshëm, ai duhet të krijohet. Për ta bërë këtë, ndiqni hapat e mëposhtëm.

1. Nga menyja Edit, zgjidhni New dhe më pas Vlera DWORD (32-bit).

2. Shkruani DisabledComponents dhe shtypni ENTER.

3. Klikoni dy herë DisabledComponents.

5. Futni ndonjë nga vlerat e mëposhtme për të konfiguruar IP Version 6 dhe më pas klikoni OK.

1. Futni 0 për të aktivizuar të gjithë komponentët e versionit IP 6.

Shënim. Vlera "0" është e paracaktuar.

2. Futni 0xffffffff për të çaktivizuar të gjithë komponentët e versionit IP 6, përveç ndërfaqes loopback. Me këtë cilësim, Windows Vista do të përdorë gjithashtu IP versionin 4 në vend të IPv6 në politikat e prefiksit.

3. Futni 0x20 për të përdorur politikat e prefiksit të versionit IP 4 në vend të versionit 6 të IP.

4. Futni 0x10 për të çaktivizuar ndërfaqet vendase IPv6.

5. Futni 0x01 për të çaktivizuar të gjitha ndërfaqet e tunelit të versionit IP 6.

6. Futni 0x11 për të çaktivizuar të gjitha ndërfaqet e versionit IP 6 përveç ndërfaqes loopback.

Shënime

* Përdorimi i vlerave të tjera përveç 0x0 ose 0x20 mund të shkaktojë dështimin e shërbimit të rrugëtimit dhe aksesit në distancë.

*Që ndryshimet të hyjnë në fuqi, duhet të rinisni kompjuterin tuaj.

Informacioni në këtë artikull vlen për produktet e mëposhtme.

*Windows Vista Enterprise

*Edicioni i Windows Vista Enterprise 64-bit

* Windows Vista Home Basic 64-bit

*Edicioni i Windows Vista Home Premium 64-bit

*Edicioni i Windows Vista Ultimate 64-bit

*Windows Vista Business

* Versioni 64-bit i Windows Vista Business

*Windows Vista Home Basic

*Windows Vista Home Premium

*Windows Vista Starter

*Windows Vista Ultimate

*Windows 7 Enterprise

*Windows 7 Home Basic

*Windows 7 Home Premium

*Windows 7 Professional

*Windows 7 Ultimate

* Windows Server 2008 R2 Datacenter

*Windows Server 2008 R2 Enterprise

*Windows Server 2008 R2 Standard

*Windows Server 2008 Datacenter

*Windows Server 2008 Enterprise

*Standardi i Windows Server 2008

Burimi - http://support.microsoft.com/kb/929852

Pas shkëputjes dhe rindezjes, ju keni nga lista e marrë nga komanda ipconfig /të gjitha Një tufë linjash shtesë do të zhduken dhe do të mbeten vetëm ndërfaqet që i njihni mirë.

Ri-aktivizimi kryhet thjesht duke fshirë çelësin e krijuar nga regjistri ose duke zëvendësuar vlerën me "0" dhe më pas duke rindezur.