Port 135 คืออะไร? | ความเสี่ยงด้านความปลอดภัยที่คุณอาจมองข้าม

การสื่อสารผ่านเครือข่ายเป็นส่วนที่แยกไม่ออกจากโลกดิจิทัล คอมพิวเตอร์ สมาร์ตโฟน และอุปกรณ์ดิจิทัลอื่นๆ ที่เชื่อมต่อกับระบบเครือข่ายต่างแลกเปลี่ยนข้อมูลกันอยู่ตลอดเวลา ไม่ว่าจะเป็นการส่งข้อมูลระหว่างอุปกรณ์ในเครือข่ายท้องถิ่นเดียวกัน หรือติดต่อกับเซิร์ฟเวอร์ที่อยู่ห่างไกล คอมพิวเตอร์ของคุณมักต้องพึ่งระบบอื่นในการประมวลผลและทำงานให้สำเร็จ

ระบบ Windows มีบริการที่เรียกว่า Remote Procedure Call (RPC) ซึ่งเป็นกลไกที่ช่วยให้โปรแกรมสามารถขอให้คอมพิวเตอร์เครื่องอื่นรันฟังก์ชันแทนตัวเองได้ เนื่องจากแอปพลิเคชันหลายตัวต้องสื่อสารผ่านเครือข่ายพร้อมกัน จึงจำเป็นต้องมีวิธีกำหนดทิศทางของข้อมูลให้ถูกต้อง นี่คือที่มาของพอร์ตสำหรับการเชื่อมต่อระยะไกล ลองนึกถึงพอร์ตเหมือนหมายเลขตู้จดหมายในอาคารชุด แม้ผู้พักอาศัยทุกคนจะใช้ที่อยู่เดียวกัน (IP address) แต่แต่ละห้องก็มีหมายเลขเฉพาะของตัวเอง (พอร์ต) เพื่อให้จดหมาย (ข้อมูล) ถูกส่งไปยังผู้รับที่ถูกต้อง

พอร์ต TCP ย่อมาจาก Transmission Control Protocol ถูกออกแบบมาสำหรับงานเฉพาะด้าน พอร์ต Windows RPC ที่พบบ่อย ได้แก่

• พอร์ต 443 : ใช้สำหรับเว็บไซต์ที่ปลอดภัย (HTTPS)
• พอร์ต 25 : ใช้สำหรับการส่งอีเมล (SMTP)
• พอร์ต 53 : ใช้สำหรับบริการชื่อโดเมน (DNS)
• พอร์ต 135 : ใช้สำหรับบริการ Remote Procedure Call (RPC) ซึ่งเป็นหัวข้อหลักที่เราจะพูดถึงในบทความนี้

 

 

TCP Port 135 ช่วยให้บริการและแอปพลิเคชัน Windows สามารถสื่อสารกันได้ เพื่อทำงานต่าง ๆ เช่น ดาวน์โหลด Security Update ของ Windows, จัดการสิทธิ์ใน Business Network (Active Directory) และจัดการอีเมลในองค์กรผ่าน Microsoft Exchange Server เนื่องจาก RPC เป็นส่วนสำคัญของเครือข่ายที่ใช้ Windows, Port 135 จึงมีบทบาทหลักในการให้บริการต่าง ๆ ทำงานได้อย่างถูกต้อง อย่างไรก็ตาม TCP Port 135 ยังเป็นเป้าหมายที่ผู้โจมตีมักใช้โจมตี เนื่องจากช่องโหว่ใน Windows RPC Port และ DCOM ซึ่งอาจเปิดทางให้มัลแวร์, การโจมตีแบบ Denial-of-Service และการเข้าถึงโดยไม่ได้รับอนุญาต บทความนี้จะอธิบายว่า Port 135 ใช้ทำอะไร, ความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับ Remote Connect Port นี้ และแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยให้ Windows Port 135 เพื่อให้เครือข่ายมีความมั่นคงและปลอดภัย

 

TCP Port 135 คืออะไร?

การทำความเข้าใจ TCP Port 135 และการทำงานของมันช่วยให้เห็นภาพความเสี่ยงด้านความปลอดภัยได้ชัดขึ้น ในฐานะ Remote Connect Port ที่ใช้งานบนเครื่อง Windows, TCP Port จะรองรับ RPC Services และอนุญาตให้โปรแกรมหนึ่งร้องขอให้เครื่องอื่นรันฟังก์ชันแทน ซึ่งสร้างกลไกสำหรับการสื่อสารระหว่างแอปพลิเคชันในเครือข่าย เมื่อเครื่องคอมพิวเตอร์เชื่อมต่อกับ Remote Server เพื่อทำงาน ไม่ว่าจะเป็นการรับข้อมูลตามคำขอของผู้ใช้หรือการจัดการสิทธิ์ในเครือข่าย, Windows RPC Port 135 จะรับประกันว่าคำขอถูกส่งและรับอย่างถูกต้อง มันทำหน้าที่เป็น Remote Connect Port ที่นำ RPC Traffic ไปยังบริการที่ถูกต้อง คล้ายกับพนักงานต้อนรับที่โอนสายโทรศัพท์ในสำนักงานที่ยุ่งวุ่นวาย

ดังที่กล่าวไว้ TCP 135 มีบทบาทสำคัญในการบำรุงรักษาระบบและการทำงานต่าง ๆ หากไม่มี, บริการหลักหลายอย่างของ Windows จะไม่สามารถสื่อสารกันในเครือข่ายได้ แต่ความสำคัญนี้ก็มาพร้อมกับช่องโหว่จำนวนมากที่ผู้โจมตีสามารถใช้ประโยชน์ได้ การโจมตี Network Port 135 เหล่านี้อาจนำมัลแวร์เข้าสู่เครือข่ายขององค์กร, เปิดทางให้เข้าถึงโดยไม่ได้รับอนุญาต หรือแม้แต่ก่อให้เกิดการโจมตีแบบ Denial-of-Service (DoS) แม้แต่ภัยคุกคามเพียงข้อเดียวก็เพียงพอที่จะแสดงให้เห็นว่าการรักษาความปลอดภัย Windows Port 135 อย่างครอบคลุมนั้นสำคัญแค่ไหน ทั้งสำหรับระบบแต่ละเครื่องและเครือข่ายโดยรวม

 

 

Windows Port 135 และบทบาทในการจัดการระบบ

หนึ่งในหน้าที่หลักของ TCP Port 135 คือการจัดการอัปเดต Windows และตรวจสอบให้แน่ใจว่าระบบได้รับ Security Patch และการปรับปรุงประสิทธิภาพล่าสุดโดยไม่ต้องดำเนินการด้วยตนเอง สิ่งนี้สำคัญมากสำหรับการรักษาโครงสร้างพื้นฐานให้ปลอดภัยและเสถียร เพราะระบบที่ล้าสมัยมักเป็นเป้าหมายแรกของการโจมตีทางไซเบอร์ อย่างไรก็ตาม Network Port 135 ไม่ได้มีหน้าที่แค่เรื่องอัปเดตเท่านั้น แต่ยังมีบทบาทสำคัญใน Active Directory ซึ่งเป็นแกนหลักของการยืนยันตัวตนผู้ใช้และการควบคุมการเข้าถึงในสภาพแวดล้อมองค์กร Windows Port 135 ช่วยให้องค์กรสามารถบริหารจัดการผู้ใช้และอุปกรณ์ทั้งหมดจากศูนย์กลาง ตั้งแต่การจัดการข้อมูลรับรองการเข้าสู่ระบบไปจนถึงการบังคับใช้นโยบายความปลอดภัย หากไม่มีมัน, องค์กรจะประสบปัญหาในการบังคับใช้มาตรการความปลอดภัย ซึ่งเพิ่มความเสี่ยงต่อการเข้าถึงโดยไม่ได้รับอนุญาตและความไม่มีประสิทธิภาพในการดำเนินงาน

 

Microsoft Exchange, การแชร์ไฟล์ และการจัดการระบบระยะไกล

อีกหนึ่งการใช้งานที่สำคัญของ TCP 135 คือบทบาทใน Microsoft Exchange Server ซึ่งรองรับการสื่อสารทางอีเมล, การอัปเดตปฏิทิน และการซิงค์รายชื่อติดต่อในสภาพแวดล้อมทางธุรกิจ นอกจากนี้ การแชร์ไฟล์และการจัดการระบบระยะไกลยังพึ่งพา Windows RPC Port อย่างมาก ซึ่งช่วยให้ผู้ดูแลระบบควบคุมเครื่อง, แก้ไขปัญหา และติดตั้งอัปเดตทั่วทั้งเครือข่ายโดยไม่ต้องเข้าถึงทางกายภาพ ไม่ว่าจะเป็นการจัดการการสื่อสารทางธุรกิจหรือการดูแลโครงสร้างพื้นฐาน IT ให้ทำงานได้อย่างราบรื่น, Network Port 135 คือแกนกลางของการดำเนินงานเหล่านี้

 

Port 135 RPC และ Distributed Component Object Model (DCOM)

นอกจากความสามารถ RPC โดยตรง, Port 135 RPC ยังผูกพันอย่างใกล้ชิดกับ Distributed Component Object Model (DCOM) ซึ่งช่วยให้แอปพลิเคชันสามารถโต้ตอบกับข้อมูลและคอมโพเนนต์บนเครื่องระยะไกลได้ราวกับว่าจัดเก็บอยู่ในเครื่องตัวเอง ไม่ว่าจะเป็นการดึงไฟล์, เข้าถึงฐานข้อมูล หรือรันกระบวนการอัตโนมัติ DCOM และ Port 135 ทำงานร่วมกันเพื่อให้การสื่อสารเกิดขึ้นได้ทั่วทั้งระบบ เมื่อพิจารณาถึงบทบาทที่กว้างขวางและพื้นฐานของ Windows Port 135, การรักษาความปลอดภัยจึงเป็นสิ่งที่องค์กรที่ใช้โครงสร้างพื้นฐานบน Windows ไม่สามารถมองข้ามได้ หากปล่อยให้เปิดโล่ง, Remote Connect Port นี้อาจกลายเป็นช่องทางเปิดต้อนรับอาชญากรไซเบอร์

 

ความเสี่ยงด้านความปลอดภัยของ TCP Port 135

แม้ TCP Port 135 จะมีความจำเป็นสำหรับ Windows RPC Services แต่ก็เป็นหนึ่งใน Network Port ที่ถูกโจมตีบ่อยที่สุด เนื่องจากความเชื่อมโยงกับ RPC Services และการสื่อสาร DCOM โปรโตคอลเหล่านี้เป็นพื้นฐานของเครือข่าย Windows แต่การออกแบบของมันก็เปิดช่องให้ถูกโจมตีได้ ทำให้ Windows Port 135 กลายเป็นเป้าหมายหลักสำหรับอาชญากรไซเบอร์ ความเสี่ยงที่ใหญ่ที่สุดอย่างหนึ่งของ TCP 135 คือประวัติการถูกใช้โจมตีในเหตุการณ์ไซเบอร์สำคัญ Blaster Worm ที่สร้างความเสียหายครั้งใหญ่ในช่วงต้นปี 2000ได้ใช้ช่องโหว่ของ Port 135 เพื่อแพร่กระจายทั่วเครือข่ายและรันคำสั่งโดยไม่ได้รับอนุญาตจากผู้ใช้ ในช่วงที่ผ่านมา การโจมตีของ WannaCry Ransomware ได้ใช้ประโยชน์จากช่องโหว่ RPC ที่ยังไม่ได้รับการแก้ไขเพื่อแพร่กระจายในระดับที่ไม่เคยเกิดขึ้นมาก่อน ส่งผลให้ไฟล์ถูกเข้ารหัสและเรียกค่าไถ่จากเหยื่อทั่วโลก

 

นอกจากการแพร่กระจายมัลแวร์, Network Port 135 มักถูกโจมตีในรูปแบบ Denial-of-Service (DoS) ด้วย ผู้โจมตีสามารถส่งคำขอจำนวนมากไปยัง TCP 135 และบริการที่พึ่งพา RPC จนทำให้ระบบทำงานช้าลงหรือล่มได้ การโจมตีที่มุ่งเป้าไปที่ Windows Port 135 อาจทำให้การทำงานขององค์กรทั้งหมดหยุดชะงักและระบบไม่สามารถเข้าถึงได้ เนื่องจาก TCP 135 Port ใช้สำหรับรองรับ Remote Connect Port ในเครือข่าย Windows, ผู้โจมตียังอาจใช้ช่องทางนี้รันคำสั่งโดยไม่ได้รับอนุญาตหรือยกระดับสิทธิ์ภายในระบบ หากแฮกเกอร์เข้าถึงได้ผ่าน Windows RPC Port ที่เปิดอยู่, พวกเขาสามารถเคลื่อนที่ผ่านเครือข่าย, ติดตั้งซอฟต์แวร์อันตราย หรือดึงข้อมูลสำคัญออกไปได้โดยที่เหยื่อไม่รู้ตัว

 

วิธีเพิ่มความปลอดภัยให้ TCP Port 135

เนื่องจาก TCP Port 135 เชื่อมโยงกับระบบในวงกว้าง การรักษาความปลอดภัยจึงต้องครอบคลุมหลายด้านเพื่อลดโอกาสเกิดการโจมตีแบบ DoS, การเข้าถึงโดยไม่ได้รับอนุญาต, มัลแวร์ และความเสี่ยงด้านความปลอดภัยอื่น ๆ โดยทั่วไป แนวทางหลักในการจัดการกับ Windows Port 135 ได้แก่ การกำหนด Firewall Rule, การจำกัด Port และการติดตั้ง Security Patch อย่างสม่ำเสมอ

 

จำกัดหรือบล็อกการเข้าถึงด้วย Firewall

วิธีที่ได้ผลที่สุดวิธีหนึ่งในการรักษาความปลอดภัย TCP 135 คือการใช้การกำหนดค่า Firewall เพื่อจำกัดหรือบล็อกการเข้าถึง Firewall ของ Windows และ Third-party Firewall อนุญาตให้ผู้ดูแลระบบสร้างกฎกำหนดเองเพื่อป้องกันภัยคุกคามภายนอกจากการโจมตี Port 135 RPC หาก Windows ไม่จำเป็นต้องใช้บริการ RPC สำหรับการดำเนินงานใด วิธีที่ดีที่สุดคือปิด Port 135 ทั้งหมดเพื่อลดพื้นที่ที่อาจถูกโจมตี สำหรับองค์กรที่ต้องพึ่งพา Windows RPC Port สำหรับบริการสำคัญ เช่น Active Directory และ Microsoft Exchange Server แนะนำให้จำกัดการเข้าถึงเฉพาะเครือข่ายภายในที่น่าเชื่อถือ เพื่อป้องกันการโจมตีจากระยะไกลและการเข้าถึงจากแหล่งที่ไม่น่าไว้วางใจ ควรกำหนดค่าไฟร์วอลล์ให้อนุญาตเฉพาะ TCP 135 traffic จาก IP address ที่ได้รับอนุญาตเท่านั้น

 

ปิดใช้งาน RPC เมื่อไม่ต้องการ

เนื่องจาก TCP Port 135 ใช้สำหรับ remote procedure calls การปิดใช้งานบริการ Windows RPC จะช่วยลดความเสี่ยงด้านความปลอดภัยได้อย่างมากในสภาพแวดล้อมที่ไม่จำเป็นต้องใช้งาน หากระบบไม่ได้ใช้ Port 135 ผู้ดูแลระบบสามารถปิดใช้งาน DCOM และบริการ RPC ผ่าน Windows Registry หรือการตั้งค่า Group Policy ได้ วิธีนี้ช่วยให้มั่นใจว่าผู้โจมตีจะไม่สามารถใช้ประโยชน์จากช่องโหว่ของ Port 135 เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต

อย่างไรก็ตาม ก่อนปิดใช้งาน Windows Port 135 RPC ควรประเมินผลกระทบที่อาจเกิดขึ้นกับแอปพลิเคชันและการดำเนินงานของเครือข่ายก่อน บริการบางอย่างอาจต้องใช้ remote connect ports ในการสื่อสาร และการปิด RPC โดยไม่วางแผนอย่างรอบคอบอาจทำให้กระบวนการทำงานสำคัญหยุดชะงักได้

 

ติดตั้ง Security Patch และอัปเดตระบบสม่ำเสมอ

Microsoft ออกแพตช์ความปลอดภัยเป็นประจำเพื่อแก้ไขช่องโหว่ที่ทราบแล้วใน Windows RPC Port และ DCOM หากองค์กรต้องการลดความเสี่ยงด้านความปลอดภัย ควรเปิดใช้งานการอัปเดตอัตโนมัติหรือติดตั้งแพตช์ด้วยตนเองทันทีที่มีให้ใช้งาน นอกจากนี้ องค์กรยังสามารถใช้ เครื่องมือประเมินช่องโหว่ (VAPT) เพื่อระบุและแก้ไขช่องโหว่ด้านความปลอดภัยในโครงสร้างพื้นฐานที่ใช้ Windows เครื่องมือเหล่านี้สามารถสแกนหา port ที่เปิดอยู่ การตั้งค่าที่ผิดพลาด และบริการที่ล้าสมัยซึ่งอาจทำให้ TCP 135 เสี่ยงต่อภัยคุกคาม

 

ตรวจสอบการรับส่งข้อมูลในเครือข่ายเพื่อหากิจกรรมที่น่าสงสัย

แม้จะมีกฎไฟร์วอลล์และแพตช์ความปลอดภัยแล้ว การตรวจสอบ traffic ของ Port 135 RPC ยังคงมีความสำคัญในการตรวจจับความพยายามเข้าถึงโดยไม่ได้รับอนุญาต หนึ่งในหน้าที่หลักของทีมความปลอดภัยในการลดความเสี่ยงของ TCP Port 135 คือการใช้เครื่องมือตรวจสอบเครือข่ายเพื่อติดตามกิจกรรมที่น่าสงสัย การติดตั้ง Intrusion Detection Systems (IDS) เป็นวิธีที่นิยมใช้กันมากในการป้องกัน brute force attacks การผสมผสานระหว่างการจำกัดสิทธิ์ด้วยไฟร์วอลล์ การปิดบริการที่ไม่จำเป็น การอัปเดตระบบ และการตรวจสอบกิจกรรมเครือข่าย จะช่วยให้องค์กรเสริมความแข็งแกร่งให้กับ TCP Port 135 และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้ การจัดการ Windows RPC Port อย่างถูกต้องไม่ใช่แค่การรักษาความปลอดภัยของ port เดียว แต่คือการยกระดับความปลอดภัยโดยรวมของสภาพแวดล้อม IT ทั้งหมด

 

สรุป

TCP Port 135 เป็นส่วนสำคัญของเครือข่ายที่ใช้ Windows แต่ความสำคัญนี้มาพร้อมกับความเสี่ยงด้านความปลอดภัยที่ไม่ควรมองข้าม ผู้โจมตีมักตั้งเป้าที่ Windows Port 135 เพื่อใช้ประโยชน์จากช่องโหว่ RPC เปิดการโจมตีแบบ denial-of-service และเข้าถึงระบบโดยไม่ได้รับอนุญาต

ประวัติศาสตร์แสดงให้เห็นแล้วว่าจะเกิดอะไรขึ้นเมื่อ Port 135 ถูกเปิดทิ้งไว้ โจมตีอย่าง WannaCry และ Blaster Worm แพร่กระจายอย่างรวดเร็วและสร้างปัญหาด้านความปลอดภัยครั้งใหญ่ให้กับองค์กรต่างๆ นั่นคือเหตุผลว่าทำไมการรักษาความปลอดภัยของ Windows RPC Port จึงไม่ใช่ทางเลือก องค์กรต้องดำเนินการเชิงรุก ตั้งแต่การจำกัดการเข้าถึงด้วยไฟร์วอลล์ ไปจนถึงการปิดบริการ RPC เมื่อไม่จำเป็น และดูแลให้ระบบได้รับแพตช์อย่างสม่ำเสมอ

ความปลอดภัยที่แข็งแกร่งไม่ได้หมายถึงแค่การล็อก port เดียว แต่คือการสร้างเครือข่ายที่ทนทานต่อภัยคุกคาม การอัปเดตสม่ำเสมอ การตรวจสอบ และการควบคุมการเข้าถึงคือกุญแจสำคัญในการลดความเสี่ยงและรักษาความปลอดภัยของระบบ

 

คำถามที่พบบ่อย

จะตรวจสอบได้อย่างไรว่า TCP Port 135 เปิดอยู่หรือไม่?

คุณสามารถตรวจสอบว่า TCP Port 135 เปิดอยู่หรือไม่โดยใช้ network scanner เช่น Nmap หรือตรวจสอบการตั้งค่าไฟร์วอลล์ของคุณ บน Windows ให้ไปที่ Windows Defender Firewall > Advanced Settings > Inbound Rules แล้วค้นหา RPC (TCP-In) เพื่อดูว่า port เปิดใช้งานอยู่หรือไม่ นอกจากนี้คุณยังสามารถตรวจสอบการตั้งค่าเราเตอร์หรือซอฟต์แวร์ความปลอดภัยเพื่อดูว่า Port 135 สามารถเข้าถึงได้จากภายนอกหรือไม่

 

SMB ต้องใช้ Port ใดบ้าง?

SMB (Server Message Block) ใช้ Port 445 (TCP) เป็นหลักสำหรับการสื่อสารโดยตรงระหว่างอุปกรณ์ SMB เวอร์ชันเก่ายังใช้ Ports 137-139 (UDP/TCP) สำหรับเครือข่ายแบบ NetBIOS ด้วย เพื่อให้ SMB ทำงานได้อย่างถูกต้อง port เหล่านี้ต้องเปิดอยู่ภายในเครือข่ายที่น่าเชื่อถือ แต่ Port 445 ไม่ควรเปิดเผยสู่อินเทอร์เน็ตเด็ดขาดเนื่องจากความเสี่ยงด้านความปลอดภัย

 

Port 135 เป็น SMB หรือไม่

ไม่ Port 135 ไม่ได้ใช้สำหรับ SMB แต่ถูกกำหนดให้ใช้กับบริการ Windows RPC ซึ่งจัดการ remote procedure calls ระหว่างแอปพลิเคชัน ส่วน SMB ที่รับผิดชอบการแชร์ไฟล์และเครื่องพิมพ์นั้นทำงานหลักบน Port 445 แม้ทั้งสองโปรโตคอลจะรองรับการสื่อสารบนเครือข่าย แต่ Windows RPC Port 135 มีหน้าที่ต่างออกไปโดยสิ้นเชิงจาก SMB