Komunikacja sieciowa jest nieodłączną częścią cyfrowego świata. Wszystkie komputery, smartfony i inne urządzenia cyfrowe podłączone do systemu sieciowego często wymieniają dane. Niezależnie od tego, czy z innymi urządzeniami podłączonymi do tej samej sieci lokalnej, czy z serwerami na duże odległości, Twój komputer często korzysta z innych systemów do przetwarzania i wykonywania zadań.
Systemy Windows oferują usługę zwaną usługą zdalnego wywołania procedury (RPC). RPC to sposób, w jaki programy mogą żądać od innego komputera wykonania funkcji w jego imieniu. Ponieważ wiele różnych aplikacji musi komunikować się w sieci w tym samym czasie, potrzebujemy sposobu na prawidłowe kierowanie ruchem. W tym miejscu z pomocą przychodzą porty do połączeń zdalnych. Port można porównać do numeru skrzynki pocztowej w budynku mieszkalnym. Mimo tego, że wszyscy mieszkańcy mają ten sam adres (adres IP), każde mieszkanie posiada unikalny numer (port), dzięki czemu poczta (dane) docierają we właściwe miejsce.
Skrót od protokołu kontroli transmisji, porty TCP są przeznaczone do określonych zadań. Niektóre popularne porty Windows RPC obejmują:
- Port 443: używany do bezpiecznych stron internetowych (HTTPS).
- Port 25: Używany do wysyłania wiadomości e-mail (SMTP).
- Port 53: używany do usług nazw domen (DNS).
- Port 135: używany do usług zdalnego wywoływania procedur (RPC), na których skupimy się w tym poście.
Port TCP 135 umożliwia usługom i aplikacjom systemu Windows komunikację w celu wykonywania zadań, takich jak pobieranie aktualizacji zabezpieczeń systemu Windows, zarządzanie uprawnieniami w sieciach biznesowych (Active Directory) i obsługa poczty e-mail w środowiskach biurowych za pośrednictwem serwera Microsoft Exchange. Ponieważ RPC jest niezbędne w sieciach opartych na systemie Windows, port 135 odgrywa znaczącą rolę w umożliwianiu prawidłowego działania usług. Jednak port TCP 135 jest również częstym celem atakujących ze względu na luki w zabezpieczeniach portu 135 w porcie Windows RPC i DCOM, które mogą narazić systemy na złośliwe oprogramowanie, ataki typu „odmowa usługi” i nieautoryzowany dostęp. W tym poście przyjrzymy się bliżej temu, do czego używany jest port 135, zagrożeniom bezpieczeństwa związanym z tym portem zdalnego połączenia oraz najlepszym praktykom ochrony portu 135 systemu Windows w celu zapewnienia bezpiecznej i stabilnej sieci.
Co to jest port TCP 135?
Ważne jest, aby dowiedzieć się więcej o porcie TCP 135 i jego działaniu, aby lepiej zrozumieć związane z nim zagrożenia bezpieczeństwa. Jako port zdalnego połączenia używany na komputerach z systemem Windows, port TCP ułatwia usługi RPC i pozwala jednemu programowi zażądać od innego komputera wykonania funkcji w jego imieniu. Umożliwia to stworzenie struktury komunikacji pomiędzy aplikacjami w sieci. Gdy komputer łączy się ze zdalnym serwerem w celu wykonania zadania — niezależnie od tego, czy odbiera dane na żądania użytkownika, czy zarządza uprawnieniami sieciowymi — port 135 systemu Windows RPC gwarantuje, że żądanie zostanie zarówno wysłane, jak i odebrane tak, jak powinno. Działa jako port zdalnego połączenia, kierując ruch RPC do właściwej usługi, podobnie jak recepcjonista kierujący połączeniami w ruchliwym biurze.
Jak wspomniano, protokół TCP 135 odgrywa kluczową rolę w utrzymaniu i funkcjonalności systemu. Bez tego wiele podstawowych usług systemu Windows nie byłoby w stanie współdziałać w sieci. Choć jest to istotne, przynosi również wiele luk w zabezpieczeniach portu 135, które mogą wykorzystać osoby atakujące i złe podmioty. Tego rodzaju próby wykorzystania portu sieciowego 135 mogą spowodować przeniesienie złośliwego oprogramowania do sieci przedsiębiorstwa, umożliwienie nieautoryzowanego dostępu, a nawet doprowadzić do ataków typu „odmowa usługi” (DoS). Nawet jedno z wymienionych zagrożeń powinno wystarczyć, aby podkreślić znaczenie wszechstronnego zabezpieczenia portu Windows 135 w celu ochrony zarówno poszczególnych systemów, jak i całej sieci.
Zacznij blogować
Samodzielnie hostuj swój WordPress na sprzęcie najwyższej klasy, wyposażonym w pamięć NVMe i minimalne opóźnienia na całym świecie — wybierz swoją ulubioną dystrybucję.
Zdobądź WordPress VPS
Port Windows 135 i jego rola w zarządzaniu systemem
Jednym z kluczowych zadań portu TCP 135 jest obsługa aktualizacji systemu Windows i zapewnianie, że systemy otrzymają najnowsze poprawki zabezpieczeń i ulepszenia wydajności bez ręcznej interwencji. Ma to kluczowe znaczenie dla utrzymania bezpiecznej i stabilnej infrastruktury, ponieważ przestarzałe systemy są często pierwszymi celami cyberataków. Jednak port sieciowy 135 nie służy tylko do aktualizacji — odgrywa także kluczową rolę w usłudze Active Directory, kręgosłupie uwierzytelniania użytkowników i kontroli dostępu w środowiskach korporacyjnych. Windows Port 135 pozwala organizacjom zachować scentralizowany nadzór nad wszystkimi użytkownikami i ich urządzeniami. Może to obejmować wszystko, od zarządzania danymi logowania po egzekwowanie zasad bezpieczeństwa. Bez tego przedsiębiorstwa borykałyby się z egzekwowaniem bezpieczeństwa, ryzykując nieautoryzowanym dostępem i nieefektywnością operacyjną.
Microsoft Exchange, udostępnianie plików i zdalne zarządzanie systemem
Innym istotnym zastosowaniem protokołu TCP 135 jest jego rola w programie Microsoft Exchange Server, który obsługuje komunikację e-mail, aktualizacje kalendarza i synchronizację kontaktów w środowiskach biznesowych. Ponadto udostępnianie plików i zdalne zarządzanie systemem w dużym stopniu zależą od portu Windows RPC, umożliwiając administratorom kontrolowanie maszyn, rozwiązywanie problemów i wdrażanie aktualizacji w sieciach bez fizycznego dostępu. Niezależnie od tego, czy chodzi o zarządzanie komunikacją biznesową, czy o zapewnienie płynnego działania infrastruktury IT, port sieciowy 135 stanowi rdzeń tych niezbędnych operacji.
Port 135 RPC i rozproszony model obiektowy komponentów (DCOM)
Oprócz możliwości bezpośredniego RPC, Port 135 RPC jest ściśle powiązany z modelem obiektów rozproszonych (DCOM), który umożliwia komunikację obiektową między maszynami. Dzięki DCOM aplikacje mogą wchodzić w interakcję ze zdalnymi danymi i komponentami, tak jakby były przechowywane lokalnie. Niezależnie od tego, czy chodzi o pobieranie plików, uzyskiwanie dostępu do baz danych, czy uruchamianie zautomatyzowanych procesów, DCOM i Port 135 łączą się w parę, aby umożliwić wszechstronną komunikację. Biorąc pod uwagę powszechną i podstawową rolę portu Windows 135, jego zabezpieczenie jest niepodlegającym negocjacjom priorytetem dla organizacji korzystających z infrastruktur opartych na systemie Windows. W przypadku pozostawienia tego portu zdalnego połączenia, ten port zdalnego połączenia może służyć jako otwarte zaproszenie dla cyberprzestępców.
Konsekwencje bezpieczeństwa portu TCP 135
Chociaż port TCP 135 jest niezbędny dla usług Windows RPC, jest także jednym z najczęściej atakowanych portów sieciowych ze względu na jego powiązanie z usługami RPC i komunikacją DCOM. Protokoły te mają fundamentalne znaczenie dla sieci opartych na systemie Windows, ale ich konstrukcja pozostawia miejsce na wykorzystanie, co czyni port Windows 135 głównym wektorem ataku cyberprzestępców. Jednym z największych zagrożeń związanych z protokołem TCP 135 jest jego historia wykorzystania w poważnych cyberatakach. The Robak Blaster, który siał spustoszenie na początku XXI wieku, wykorzystywał luki w porcie 135 do rozprzestrzeniania się w sieciach i uruchamiania poleceń bez zgody użytkowników. Niedawno, Atak ransomware WannaCry wykorzystał niezałatane słabości protokołu RPC do rozprzestrzeniania się na bezprecedensową skalę, prowadząc do szyfrowania plików i żądania zapłaty okupu od ofiar na całym świecie.
Oprócz rozprzestrzeniania się złośliwego oprogramowania, port sieciowy 135 jest często wykorzystywany w atakach typu „odmowa usługi” (DoS). Atakujący mogą przeciążyć protokół TCP 135 nadmiernymi żądaniami i usługami zależnymi od RPC, co może spowodować całkowite spowolnienie lub awarię. Ukierunkowany atak na port Windows 135 może zakłócić przepływ pracy całej organizacji i sprawić, że systemy staną się niedostępne dla wszystkich. Ponieważ port TCP 135 służy do ułatwiania portów połączeń zdalnych w sieciach opartych na systemie Windows, osoby atakujące mogą go również wykorzystać do wykonywania nieautoryzowanych poleceń lub zwiększania uprawnień w systemie. Jeśli haker uzyska dostęp przez odsłonięty port Windows RPC, może poruszać się po sieci, instalować złośliwe oprogramowanie lub wydobywać poufne dane – a wszystko to bez wiedzy ofiary.
Jak zabezpieczyć port TCP 135
Ze względu na duży zasięg zabezpieczenie portu TCP 135 wymaga zaznaczenia wielu pól, aby zminimalizować ryzyko ataków DoS, nieautoryzowanego dostępu, infekcji złośliwym oprogramowaniem i innych zagrożeń bezpieczeństwa. Zwykle najlepszymi opcjami powiązania wszystkich luźnych końcówek dotyczących portu Windows 135 jest konfiguracja reguł zapory sieciowej, ograniczeń portów i regularnych poprawek zabezpieczeń.
Ogranicz lub zablokuj dostęp za pomocą zapór sieciowych
Jednym z najskuteczniejszych sposobów zabezpieczenia protokołu TCP 135 jest użycie konfiguracji zapory ogniowej w celu ograniczenia lub zablokowania dostępu. Zapory systemu Windows i innych firm umożliwiają administratorom tworzenie niestandardowych reguł zapobiegających wykorzystywaniu portu 135 RPC przez zagrożenia zewnętrzne. Jeśli usługi Windows RPC nie są wymagane do określonych operacji, najlepszą praktyką jest całkowite zamknięcie portu sieciowego 135, aby wyeliminować potencjalną powierzchnię ataku. W przypadku firm korzystających z portu Windows RPC w przypadku podstawowych usług, takich jak Active Directory i Microsoft Exchange Server, zaleca się ograniczenie dostępu do wewnętrznych, zaufanych sieci. Aby zapobiec zdalnym atakom i dostępowi z niezaufanych źródeł, zapory sieciowe należy skonfigurować tak, aby zezwalały na ruch TCP 135 tylko z autoryzowanych adresów IP.
Wyłącz usługi RPC, gdy nie są potrzebne
Ponieważ port TCP 135 jest używany do zdalnych wywołań procedur, wyłączenie usług Windows RPC może znacznie zmniejszyć ryzyko bezpieczeństwa w środowiskach, w których nie są one niezbędne. Jeśli system nie korzysta z portu sieciowego 135, administratorzy mogą wyłączyć usługi DCOM i RPC za pomocą ustawień rejestru systemu Windows lub zasad grupy. Takie podejście gwarantuje, że osoby atakujące nie będą mogły wykorzystać luk w porcie 135 w celu uzyskania nieautoryzowanego dostępu.
Jednak przed wyłączeniem portu Windows 135 RPC należy ocenić wpływ na aplikacje biznesowe i operacje sieciowe. Niektóre usługi mogą wymagać zdalnych portów połączeniowych do komunikacji, a wyłączenie RPC bez odpowiedniego planowania może zakłócić krytyczne przepływy pracy.
Stosuj poprawki zabezpieczeń i regularnie aktualizuj
Firma Microsoft regularnie publikuje poprawki zabezpieczeń, aby naprawić znane słabości w porcie Windows RPC i DCOM. Jeśli organizacje chcą zmniejszyć ryzyko bezpieczeństwa, zawsze bezpieczniej jest włączyć automatyczne aktualizacje lub ręcznie zastosować poprawki, gdy tylko staną się dostępne. Dodatkowo firmy mogą korzystać narzędzia oceny podatności (VAPT) identyfikowanie i eliminowanie luk w zabezpieczeniach infrastruktur opartych na systemie Windows. Takie narzędzia mogą skanować w poszukiwaniu otwartych portów, błędnych konfiguracji i nieaktualnych usług, które mogą narazić protokół TCP 135 na zagrożenia.
Monitoruj aktywność sieciową pod kątem podejrzanego ruchu
Nawet przy zastosowaniu reguł zapory sieciowej i poprawek zabezpieczeń monitorowanie ruchu RPC na porcie 135 ma kluczowe znaczenie dla wykrywania prób nieautoryzowanego dostępu. Jednym z najważniejszych obowiązków zespołów ds. bezpieczeństwa w ograniczaniu zagrożeń związanych z portem TCP 135 jest używanie narzędzi do monitorowania sieci w celu śledzenia podejrzanej aktywności. Bardzo powszechną praktyką zapobiegania atakom siłowym jest wdrażanie systemów wykrywania włamań (IDS). Stosując ograniczenia zapory ogniowej, wyłączając niepotrzebne usługi, aktualizując systemy i monitorując aktywność sieciową, organizacje mogą zwiększyć bezpieczeństwo portu TCP 135 i zmniejszyć ryzyko zagrożeń cybernetycznych. Właściwe zarządzanie portem Windows RPC nie polega tylko na zabezpieczeniu jednego portu sieciowego — chodzi o wzmocnienie ogólnego stanu bezpieczeństwa całego środowiska IT.
Ostatnie przemyślenia
Port TCP 135 jest kluczową częścią sieci opartych na systemie Windows, ale jego znaczenie wiąże się ze znacznymi zagrożeniami bezpieczeństwa. Atakujący często atakują port 135 systemu Windows, aby wykorzystać luki w zabezpieczeniach RPC, przeprowadzić ataki typu „odmowa usługi” i uzyskać nieautoryzowany dostęp do systemów.
Historia pokazała, co się dzieje, gdy port sieciowy 135 pozostaje odsłonięty — ataki takie jak WannaCry i Blaster Worm rozprzestrzeniają się szybko i powodują poważne problemy z bezpieczeństwem organizacji. Dlatego zabezpieczenie portu Windows RPC nie jest opcjonalne. Organizacje muszą podejmować proaktywne działania, od ograniczania dostępu za pomocą zapór ogniowych po wyłączanie usług RPC, gdy są niepotrzebne, i utrzymywanie poprawek w systemach.
Silny poziom zabezpieczeń nie polega tylko na blokowaniu jednego portu zdalnego połączenia; chodzi o zbudowanie sieci odpornej na zagrożenia. Regularne aktualizacje, monitorowanie i kontrolowany dostęp są kluczem do ograniczenia ryzyka i zapewnienia ochrony systemów.
Często zadawane pytania
Jak sprawdzić, czy port TCP 135 jest otwarty?
Możesz sprawdzić, czy port TCP 135 jest otwarty, używając skanera sieciowego, takiego jak Nmap, lub przeglądając ustawienia zapory sieciowej. W systemie Windows przejdź do Zapora systemu Windows Defender > Ustawienia zaawansowane > Reguły przychodzące i poszukaj RPC (TCP-In), aby sprawdzić, czy port jest włączony. Dodatkowo możesz sprawdzić ustawienia routera lub oprogramowania zabezpieczającego, aby sprawdzić, czy port sieciowy 135 jest dostępny ze źródeł zewnętrznych.
Jakie porty są wymagane w przypadku SMB?
SMB (Server Message Block) wykorzystuje przede wszystkim port 445 (TCP) do bezpośredniej komunikacji pomiędzy urządzeniami. Starsze wersje SMB również korzystały z portów 137-139 (UDP/TCP) dla sieci opartych na NetBIOS. Aby zapewnić prawidłowe działanie protokołu SMB, porty te muszą być otwarte w zaufanej sieci, ale Port 445 nie powinien nigdy być wystawiony na działanie Internetu ze względu na zagrożenia bezpieczeństwa.
Czy port 135 to SMB?
Nie, port 135 nie jest używany w przypadku protokołu SMB. Jest przeznaczony dla usług Windows RPC, które obsługują zdalne wywołania procedur pomiędzy aplikacjami. SMB, odpowiedzialny za udostępnianie plików i drukarek, działa głównie na porcie 445. Chociaż oba protokoły ułatwiają komunikację w sieci, port 135 systemu Windows RPC pełni zupełnie inną funkcję niż SMB.
