Truyền thông mạng là một phần không thể tách rời của thế giới kỹ thuật số. Tất cả các máy tính, điện thoại thông minh và các thiết bị kỹ thuật số khác được kết nối với một hệ thống mạng thường xuyên trao đổi dữ liệu. Cho dù giao tiếp với các thiết bị khác kết nối với cùng một mạng cục bộ hay với các máy chủ ở những khoảng cách xa, máy tính của bạn thường phụ thuộc vào các hệ thống khác để xử lý và hoàn thành các tác vụ.
Các hệ thống Windows có một tính năng gọi là dịch vụ Remote Procedure Call (RPC). RPC là một cách để các chương trình yêu cầu máy tính khác thực thi một hàm nhân danh nó. Vì nhiều ứng dụng khác nhau cần giao tiếp qua mạng cùng một lúc, chúng ta cần một cách để điều hướng lưu lượng truy cập đúng cách. Đây là nơi các cổng kết nối từ xa phát huy tác dụng. Bạn có thể hình dung một cổng như một số hộp thư trong một tòa nhà chung cư. Mặc dù tất cả cư dân chia sẻ cùng một địa chỉ đường phố (địa chỉ IP), mỗi căn hộ có một số duy nhất (cổng) để thư (dữ liệu) được gửi đến đúng nơi.
Viết tắt của Transmission Control Protocol, các cổng TCP được thiết kế cho những nhiệm vụ cụ thể. Một số cổng Windows RPC phổ biến bao gồm:
- Cổng 443: Dùng cho các trang web an toàn (HTTPS).
- Cổng 25: Dùng để gửi email (SMTP).
- Cổng 53: Dùng cho dịch vụ tên miền (DNS).
- Cổng 135: Dùng cho các dịch vụ Remote Procedure Call (RPC), đó là trọng tâm của bài viết này.
Cổng TCP 135 cho phép các dịch vụ và ứng dụng Windows giao tiếp để hoàn thành các tác vụ như tải xuống bản cập nhật bảo mật Windows, quản lý quyền truy cập trong mạng doanh nghiệp (Active Directory), và xử lý email trong môi trường văn phòng qua Microsoft Exchange Server. Vì RPC là nền tảng cho các mạng dựa trên Windows, cổng 135 đóng vai trò quan trọng trong việc cho phép các dịch vụ hoạt động bình thường. Tuy nhiên, cổng TCP 135 cũng là mục tiêu phổ biến của những kẻ tấn công do các lỗ hổng trong cổng Windows RPC 135 và DCOM, có thể để lộ hệ thống trước malware, các cuộc tấn công từ chối dịch vụ và truy cập trái phép. Trong bài viết này, chúng tôi sẽ xem xét kỹ cổng 135 được dùng để làm gì, những rủi ro bảo mật liên quan đến cổng kết nối từ xa này, và các phương pháp hay nhất để bảo vệ cổng Windows 135 nhằm đảm bảo mạng an toàn và ổn định.
Cổng TCP 135 là gì?
Điều quan trọng là phải tìm hiểu thêm về cổng TCP 135 và cách nó hoạt động để hiểu rõ hơn các rủi ro bảo mật xung quanh nó. Là một cổng kết nối từ xa được sử dụng trên các máy tính Windows, cổng TCP này tạo điều kiện cho các dịch vụ RPC và cho phép một chương trình yêu cầu máy khác thực hiện một chức năng thay mặt nó. Điều này tạo ra một khuôn khổ cho giao tiếp giữa các ứng dụng trên mạng. Khi một máy tính kết nối với máy chủ từ xa để thực hiện tác vụ, dù là nhận dữ liệu theo yêu cầu của người dùng hay quản lý quyền truy cập mạng, cổng Windows RPC 135 đảm bảo rằng yêu cầu được gửi và nhận như mong đợi. Nó hoạt động như một cổng kết nối từ xa, định hướng lưu lượng RPC đến dịch vụ thích hợp, giống như lễ tân trong một văn phòng bận rộn.
Như đã đề cập, cổng TCP 135 đóng vai trò quan trọng trong bảo trì hệ thống và các chức năng của nó. Nếu không có nó, nhiều dịch vụ cốt lõi Windows sẽ không thể tương tác trên mạng. Dù quan trọng như vậy, nó cũng mang lại nhiều lỗ hổng cổng 135 mà những kẻ tấn công và những diễn viên xấu có thể khai thác. Những khai thác cổng mạng 135 này có thể mang malware vào mạng doanh nghiệp, cho phép truy cập trái phép, hoặc thậm chí dẫn đến các cuộc tấn công từ chối dịch vụ (DoS). Chỉ cần một trong những mối đe dọa được đề cập là đủ để nhấn mạnh tầm quan trọng của việc bảo vệ cổng Windows 135 trên toàn diện để bảo vệ cả các hệ thống riêng lẻ và toàn bộ mạng.
Bắt Đầu Viết Blog
Tự host WordPress của bạn trên phần cứng hạng nhất, với lưu trữ NVMe và độ trễ tối thiểu trên toàn thế giới, chọn distro yêu thích của bạn.
Nhận WordPress VPS
Cổng Windows 135 và vai trò trong quản lý hệ thống
Một trong những trách nhiệm chính của cổng TCP 135 là xử lý các bản cập nhật Windows và đảm bảo rằng các hệ thống nhận được những bản vá bảo mật mới nhất và cải tiến hiệu suất mà không cần can thiệp thủ công. Điều này rất quan trọng để duy trì một cơ sở hạ tầng an toàn và ổn định, vì các hệ thống lỗi thời thường là mục tiêu đầu tiên của các cuộc tấn công mạng. Tuy nhiên, cổng mạng 135 không chỉ về cập nhật, nó còn đóng vai trò trung tâm trong Active Directory, nền tảng xác thực người dùng và kiểm soát truy cập trong môi trường doanh nghiệp. Cổng Windows 135 cho phép các tổ chức duy trì giám sát tập trung đối với tất cả người dùng và thiết bị của họ. Điều này có thể là bất kỳ thứ gì từ quản lý thông tin đăng nhập đến thực thi các chính sách bảo mật. Nếu không có nó, các doanh nghiệp sẽ gặp khó khăn trong việc thực thi bảo mật, mạo hiểm truy cập trái phép và kém hiệu quả vận hành.
Microsoft Exchange, Chia sẻ tệp và Quản lý hệ thống từ xa
Một ứng dụng quan trọng khác của cổng TCP 135 là vai trò của nó trong Microsoft Exchange Server, cung cấp năng lượng cho giao tiếp email, cập nhật lịch và đồng bộ hóa liên hệ trên các môi trường kinh doanh. Ngoài ra, chia sẻ tệp và quản lý hệ thống từ xa phụ thuộc rất nhiều vào cổng Windows RPC, cho phép quản trị viên kiểm soát các máy, khắc phục sự cố và triển khai bản cập nhật trên các mạng mà không cần truy cập vật lý. Dù để quản lý giao tiếp kinh doanh hay giữ cho cơ sở hạ tầng CNTT chạy trơn tru, cổng mạng 135 là cốt lõi của những hoạt động thiết yếu này.
Cổng 135 RPC và Mô hình đối tượng thành phần phân tán (DCOM)
Ngoài các khả năng RPC trực tiếp, cổng 135 RPC gắn liền sâu sắc với Mô hình đối tượng thành phần phân tán (DCOM), cho phép giao tiếp dựa trên đối tượng giữa các máy. Với DCOM, các ứng dụng có thể tương tác với dữ liệu và thành phần từ xa như thể chúng được lưu trữ cục bộ. Dù là lấy tệp, truy cập cơ sở dữ liệu hay chạy các quy trình tự động, DCOM và cổng 135 kết hợp để cho phép giao tiếp trên toàn diện. Với vai trò rộng rãi và cơ bản của cổng Windows 135, bảo vệ nó là ưu tiên không thể thỏa hiệp đối với các tổ chức chạy cơ sở hạ tầng dựa trên Windows. Nếu để lộ, cổng kết nối từ xa này có thể trở thành một lời mời mở cho những kẻ tội phạm mạng.
Những rủi ro bảo mật của cổng TCP 135
Mặc dù cổng TCP 135 rất cần thiết cho các dịch vụ Windows RPC, nó cũng là một trong những cổng mạng được nhắm mục tiêu thường xuyên nhất do liên quan đến các dịch vụ RPC và giao tiếp DCOM. Những giao thức này là nền tảng cho các mạng dựa trên Windows, nhưng thiết kế của chúng để lại chỗ khai thác, khiến cổng Windows 135 trở thành vectơ tấn công chính cho những kẻ tội phạm mạng. Một trong những rủi ro lớn nhất liên quan đến cổng TCP 135 là lịch sử bị khai thác trong những cuộc tấn công mạng lớn. Cái Sâu Blaster, đã gây tàn phá từ đầu những năm 2000, đã khai thác các lỗ hổng trên Port 135 để lây lan trên các mạng và thực thi lệnh mà không có sự cho phép của người dùng. Gần đây hơn, cuộc tấn công ransomware WannaCry đã tận dụng các điểm yếu RPC chưa được vá để lan truyền ở quy mô chưa từng thấy trước đây, dẫn đến mã hóa tệp và yêu cầu tiền chuộc từ các nạn nhân trên toàn thế giới.
Ngoài việc lây lan phần mềm độc hại, Port 135 trên mạng thường bị khai thác trong các cuộc tấn công từ chối dịch vụ (DoS). Kẻ tấn công có thể làm quá tải TCP 135 bằng các yêu cầu quá mức và các dịch vụ phụ thuộc RPC để làm chậm hoặc gây sự cố toàn bộ hệ thống. Một cuộc tấn công nhắm mục tiêu vào Port 135 của Windows có thể gián đoạn toàn bộ quy trình làm việc của một tổ chức và khiến các hệ thống không thể truy cập được. Vì Port 135 của TCP được sử dụng để tạo điều kiện cho các cổng kết nối từ xa trong các mạng dựa trên Windows, kẻ tấn công cũng có thể khai thác nó để thực thi các lệnh trái phép hoặc nâng cao đặc quyền trong hệ thống. Nếu một hacker có quyền truy cập thông qua RPC Port của Windows bị lộ, họ có thể di chuyển ngang qua mạng, cài đặt phần mềm độc hại hoặc trích xuất dữ liệu nhạy cảm - tất cả mà không có kiến thức của nạn nhân.
Cách bảo vệ cổng TCP 135
Do phạm vi rộng rãi của nó, bảo vệ cổng 135 của TCP yêu cầu kiểm tra nhiều khía cạnh để giảm thiểu khả năng bị tấn công DoS, truy cập trái phép, nhiễm phần mềm độc hại và các rủi ro bảo mật khác. Thông thường, các lựa chọn chính để giải quyết toàn bộ vấn đề liên quan đến Port 135 của Windows là thiết lập các quy tắc tường lửa, hạn chế cổng và áp dụng các bản vá bảo mật thường xuyên.
Hạn chế hoặc chặn truy cập bằng tường lửa
Một trong những cách hiệu quả nhất để bảo vệ cổng 135 của TCP là sử dụng cấu hình tường lửa để hạn chế hoặc chặn quyền truy cập. Windows và tường lửa của bên thứ ba cho phép quản trị viên tạo các quy tắc tùy chỉnh để ngăn chặn các mối đe dọa bên ngoài khai thác Port 135 RPC. Nếu các dịch vụ RPC của Windows không được yêu cầu cho các hoạt động cụ thể, phương pháp hay nhất là đóng hoàn toàn Port 135 trên mạng để loại bỏ bất kỳ bề mặt tấn công nào. Đối với các doanh nghiệp phụ thuộc vào Port RPC của Windows cho các dịch vụ thiết yếu như Active Directory và Microsoft Exchange Server, nên hạn chế quyền truy cập vào các mạng nội bộ đáng tin cậy. Để ngăn chặn các cuộc tấn công từ xa và quyền truy cập từ các nguồn không đáng tin cậy, tường lửa nên được cấu hình để chỉ cho phép lưu lượng truy cập TCP 135 từ các địa chỉ IP được phép.
Vô hiệu hóa dịch vụ RPC khi không cần thiết
Vì Port 135 của TCP được sử dụng cho các cuộc gọi thủ tục từ xa, việc vô hiệu hóa các dịch vụ RPC của Windows có thể giảm đáng kể các rủi ro bảo mật trong các môi trường nơi chúng không cần thiết. Nếu một hệ thống không phụ thuộc vào Port 135 trên mạng, quản trị viên có thể vô hiệu hóa các dịch vụ DCOM và RPC thông qua cài đặt Registry hoặc Group Policy của Windows. Cách tiếp cận này đảm bảo rằng kẻ tấn công không thể khai thác các lỗ hổng Port 135 để có được quyền truy cập trái phép.
Tuy nhiên, trước khi vô hiệu hóa RPC Port 135 của Windows, điều quan trọng là phải đánh giá tác động đến các ứng dụng kinh doanh và hoạt động mạng. Một số dịch vụ có thể yêu cầu các cổng kết nối từ xa để giao tiếp, và việc vô hiệu hóa RPC mà không có kế hoạch phù hợp có thể làm gián đoạn các quy trình làm việc quan trọng.
Áp dụng bản vá bảo mật và cập nhật thường xuyên
Microsoft thường xuyên phát hành các bản vá bảo mật để sửa các điểm yếu đã biết trong RPC Port và DCOM của Windows. Nếu các tổ chức muốn giảm các rủi ro bảo mật, thường là an toàn nhất khi bật các bản cập nhật tự động hoặc áp dụng các bản vá theo cách thủ công ngay khi chúng có sẵn. Ngoài ra, các doanh nghiệp có thể sử dụng các công cụ đánh giá lỗ hổng (VAPT) để xác định và khắc phục các khoảng trống bảo mật trong các cơ sở hạ tầng dựa trên Windows. Các công cụ như vậy có thể quét các cổng mở, cấu hình sai và các dịch vụ lỗi thời có thể lộ cổng 135 của TCP trước các mối đe dọa.
Giám sát hoạt động mạng để phát hiện lưu lượng đáng ngờ
Ngay cả với các quy tắc tường lửa và bản vá bảo mật, giám sát lưu lượng RPC Port 135 là rất quan trọng để phát hiện các nỗ lực truy cập trái phép. Một trong những trách nhiệm thiết yếu nhất của các nhóm bảo mật trong việc giảm rủi ro Port 135 của TCP là sử dụng các công cụ giám sát mạng để theo dõi hoạt động đáng ngờ. Một thực hành rất phổ biến để ngăn chặn các cuộc tấn công vũ phu là triển khai Hệ thống Phát hiện Xâm nhập (IDS). Bằng cách áp dụng các hạn chế tường lửa, vô hiệu hóa các dịch vụ không cần thiết, cập nhật hệ thống và giám sát hoạt động mạng, các tổ chức có thể tăng cường bảo mật Port 135 của TCP và giảm rủi ro bị các mối đe dọa mạng. Quản lý đúng cách RPC Port của Windows không chỉ là việc bảo vệ một cổng mạng - đó là về việc tăng cường tư thế bảo mật tổng thể của toàn bộ môi trường CNTT.
Suy nghĩ cuối cùng
Port 135 của TCP là một phần quan trọng của các mạng dựa trên Windows, nhưng tầm quan trọng của nó đi kèm với những rủi ro bảo mật đáng kể. Kẻ tấn công thường nhắm mục tiêu vào Port 135 của Windows để khai thác các lỗ hổng RPC, tiến hành các cuộc tấn công từ chối dịch vụ và có được quyền truy cập trái phép vào các hệ thống.
Lịch sử đã cho thấy những gì xảy ra khi Port 135 trên mạng bị lộ - các cuộc tấn công như WannaCry và Blaster Worm lan truyền nhanh chóng và gây ra các vấn đề bảo mật lớn cho các tổ chức. Đó là lý do tại sao bảo vệ RPC Port của Windows không phải là tùy chọn. Các tổ chức phải thực hiện các biện pháp chủ động, từ hạn chế quyền truy cập bằng tường lửa đến vô hiệu hóa các dịch vụ RPC khi không cần thiết và giữ các hệ thống được vá.
Một tư thế bảo mật mạnh mẽ không chỉ là về khóa một cổng kết nối từ xa duy nhất; đó là về xây dựng một mạng có khả năng chống chịu các mối đe dọa. Các bản cập nhật thường xuyên, giám sát và kiểm soát quyền truy cập là chìa khóa để giảm rủi ro và giữ các hệ thống được bảo vệ.
Câu hỏi thường gặp
Cách kiểm tra xem cổng TCP 135 có mở không?
Bạn có thể kiểm tra xem Port 135 của TCP có mở bằng cách sử dụng trình quét mạng như Nmap hoặc xem xét cài đặt tường lửa của bạn. Trên Windows, hãy vào Windows Defender Firewall > Advanced Settings > Inbound Rules và tìm RPC (TCP-In) để xem liệu cổng có được bật hay không. Ngoài ra, bạn có thể kiểm tra cài đặt bộ định tuyến hoặc phần mềm bảo mật của bạn để xem liệu Port 135 trên mạng có thể truy cập được từ các nguồn bên ngoài hay không.
Những cổng nào là bắt buộc cho SMB?
SMB (Server Message Block) chủ yếu sử dụng Port 445 (TCP) để giao tiếp trực tiếp giữa các thiết bị. Các phiên bản SMB cũ hơn cũng phụ thuộc vào Ports 137-139 (UDP/TCP) cho việc kết nối mạng dựa trên NetBIOS. Để đảm bảo SMB hoạt động chính xác, các cổng này phải mở trong một mạng đáng tin cậy, nhưng Port 445 không bao giờ nên bị lộ trên internet do rủi ro bảo mật.
Cổng 135 có phải là SMB không?
Không, Port 135 không được sử dụng cho SMB. Nó được chỉ định cho các dịch vụ RPC của Windows, xử lý các cuộc gọi thủ tục từ xa giữa các ứng dụng. SMB, chịu trách nhiệm chia sẻ tệp và máy in, chủ yếu hoạt động trên Port 445. Mặc dù cả hai giao thức đều tạo điều kiện cho giao tiếp trên mạng, RPC Port 135 của Windows phục vụ một chức năng hoàn toàn khác với SMB.
