الثغرات والمنافذ كيف نغلقها !!!! بالامثله

عام 0 geek4arab
Spread the love
0
(0)

سم الله الرحمن الرحيم

=++++++++++++++++++=

جميع الحقوق: أبو عبد العزيز

الونه سوفت
=++++++++++++++++++=

الأمن في الانترنت موضوع طويل وطويل جدا ولكن نشرح هنا بعض المسائل بخصوص

الثغرات والمنافذ وأتمنى أن يشارك الكل في إثراء الموضوع.

ناخذها حبه حبه زي ما تقدر ويسمح لنا الوقت:

والأمثلة الوردة تخص الوندوز الجديد يعني شد بلد . .

فإذا ظهرت لك منافذ مفتوحه أكثر معناها برامج انت محملها

1-إغلاق المنافذ الغير مستخدمه:
يأتي نظام الوندوز وبه خدمات اتصالات عديدة والكثير منها غير مستخدم وعادة يكون من
الأفضل إيقاف بعضها إن لم يكن جميعها وأقصد بذلك المستخدم العادي الذي لا يرتبط نظامه
بأنظمة أخرى كما في الشركات وغيره.

سنورد هنا الطرق اللازمة والكافية لإنهاء هذا الموضوع الأول وهناك بعض المصطلحات التي
تخص تفاصيل تقنية ستضاف لاحقا إلى الموضوع على هيئة ردود بإذن الله.

نعلم جميعا أن وراء كل منفذ مفتوح يوجد برنامج معين يقوم بالاتصال عن طريقه تماما مثل تردد موجات الراديو
كل محطة تستخدم تردد معين ولكي نغلق المنفذ لابد من إيقاف البرنامج أو الخدمة التي تستخدمه.

أسرع طريقة لمعرفة منافذ TCP / UDP المفتوحة هي باستخدام الأمر netstat :

في نظام Windows 2000
يعطينا الامر netstat -an command النتائج التالية:
نوافذ الدوس يا أخوان تكتب على شكل كود

PHP CODE:
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0016
0017
0018
0019
0020
0021
0022
0023
0024
0025

<?php :WINNT>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4983 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:1029 *:*
UDP 0.0.0.0:3456 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*

?>

في نظام Windows XP
يعطينا الامر netstat -ano command النتائج التالية:

PHP CODE:
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0016
0017
0018
0019
0020
0021
0022

<?php C:WINDOWS>netstat -ano

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 1160
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 704
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 127.0.0.1:123 *:* 976
UDP 127.0.0.1:1900 *:* 1160
UDP 192.70.106.143:123 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4
UDP 192.70.106.143:1900 *:* 1160

ملاحظه

تنبيه مهم: وهو ان الأمر netstat لا يظهر منافذ TCP / UDP المفتوحة في الحقيقة بل
يظهر فقط حالة ال TDI وهي بدورها تظهر عنوان بدء الاتصال ونقطة انقطاعه لأن نظام
الوندوز عموما عمره ما صمم ليوضح أي هذه العلميات يستخدم ذلك المنفذ وبالعكس. . .

بينما أن هذه الخاصية توجد في نظام اليونكس. . .
ولكن هناك أداة غريبة تسمى Inzider والتي تحشر نفسها
بين مقابس الاتصالات TCP /UDP sockets لتظهر حقيقة المنافذ وهي الأفضل

مثال في الوندوز على إتصال outgoing TCP connection من منفذ محلي رقم 1367 الى
منفذ رقم 22 وعنوانه 192.70.106.76 كمثال فإن الأمر netstat يظهر كالآتي :
:24:

PHP CODE:
0001
0002
0003
0004

<?php C:WINDOWS>netstat -anp tcp | find ':1367'
TCP 0.0.0.0:1367 0.0.0.0:0 LISTENING
TCP 192.70.106.142:1367 192.70.106.76:22 ESTABLISHED

😉

كما تلاحظ السطر الثاني يضهر الأتصال جاري ESTABLISHED بين المنفذ المحلي
1367 والمنفذ الخارجي 22 , بينما في السطر الأول يظهر نفس المنفذ المحلي في حالة استماع
LISTENING وهذا غير صحيح فكيف يكون نفس المنفذ له حالتين في نفس الوقت !!

ملاحظه: تم اصلاح هذا الخلل في النظام Windows Server 2003

قبل البدء في افقال المنافذ وحذف الخدمات الغير مستعملة
بإستخدام الامر ( the net stop command)
يجب ان نتأكد من عدم رجوعها بعد إعادة التشغيل ويكون ذلك كالتالي:

في الوندوز 2000
يسمح لك service manager بأختيار كيف تريد الخدمه ان تبدأ مع بداية التشغيل
فهو يعطيك الخيارات التالية
( The Startup Type (Automatic, Manual or Disabled
تصل اليها كالتالي C:WINDOWS>services.msc
من قائمة تشغيل او run اكتب services.msc
اضغط على الخدمة باليمين واختار خصائص ثم عام ثم اختار Disabled

الخدمات التي يتم ايقافها في وندوز2000 هي:

– IIS 5: iisadmin, w3svc, smtpsvc
– Others: messenger, msdtc, policyagent, schedule

في الوندوز xp:
يتم إيقاف الخدمات بالامر التالي
:C:WINDOWS>sc config service_name start= disabled
وللتشغيل يدويا الامر:
C:WINDOWS>sc config service_name start= manual
الخدمات التي يتم ايقافها
messenger, policyagent, schedule, ssdpsrv, w32time

–[ Windows 2000 ]–
-[ IIS 5 ]-
ايقاف خدمات IIS عندها نقفل المنافذ التاليه:

TCP ports 25, 80, 443, UDP port 3456 ومنفذ آخر يستخدم
من قبل IIS administration website عادة يكون 4983 ومنفذ آخرين للخدمة RPC services يكونان دائما أكثر من 1023 .

الوندوز 2000 من الدوس كالتالي

PHP CODE:
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0016
0017
0018
0019
0020
0021
0022
0023
0024
0025
0026
0027
0028
0029
0030
0031
0032
0033
0034
0035
0036
0037
0038
0039

<?php C:WINNT>net stop iisadmin
The following services are dependent on the IIS Admin Service service.
Stopping the IIS Admin Service service will also stop these services.

World Wide Web Publishing Service
Simple Mail Transport Protocol (SMTP)

Do you want to continue this operation? (Y/N) [N]: y
The World Wide Web Publishing Service service is stopping.
The World Wide Web Publishing Service service was stopped successfully.

The Simple Mail Transport Protocol (SMTP) service is stopping.
The Simple Mail Transport Protocol (SMTP) service was stopped successfully.

...
The IIS Admin Service service was stopped successfully.

ثم تكون النتيجه كالتالي

C:WINNT>netstat -an

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*

يتضح ان عدد المنافذ قد تناقص

]ايقاف الخدمة -[ IPsec ]- لاقفال المنفذ 500

PHP CODE:
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0016
0017
0018
0019
0020
0021

<?php C:WINNT>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.

نتأكد من النتيجه

C:WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*

?>

ايقاف الخدمة -[ Distributed Transaction Coordinator ]- ويغلق المنفذين 3372 و 1023

كالتالي

C:WINNT>net stop msdtc
The Distributed Transaction Coordinator service is stopping.
The Distributed Transaction Coordinator service was stopped successfully.

نتأكد من النتيجه

PHP CODE:
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013

<?php C:WINNT>netstat -an

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*

?>

–[ Windows XP ]–

الخدمات التي يمكن ايقافها بسهولة وهي:
IPsec services PolicyAgent
SSDP Discovery Service SSDPSRV
Windows Time W32Time

الأوامر التالية تفي بأداء المهمة

PHP CODE:
0001
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014

<?php C:WINDOWS>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.

C:>WINDOWS>net stop ssdpsrv
The SSDP Discovery Service service is stopping.
The SSDP Discovery Service service was stopped successfully.

C:>WINDOWS>net stop w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully

يظهر الأمر netstat -ano command المنافذ التي تم اغلاقها

TCP 5000 and UDP 123, 500 , 1900

C:WINDOWS>netstat -ano

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

الكاتب geek4arab

geek4arab

مواضيع متعلقة

التعليقات مغلقة