Truyền thông mạng là một phần không thể tách rời của thế giới kỹ thuật số. Tất cả máy tính, điện thoại thông minh và các thiết bị kỹ thuật số khác được kết nối với hệ thống mạng thường xuyên trao đổi dữ liệu. Cho dù với các thiết bị khác được kết nối với cùng một mạng cục bộ hay với các máy chủ ở khoảng cách xa, máy tính của bạn thường dựa vào các hệ thống khác để xử lý và hoàn thành nhiệm vụ.
Các hệ thống Windows có tính năng gọi là dịch vụ Gọi thủ tục từ xa (RPC). RPC là một cách để các chương trình yêu cầu một máy tính khác thực hiện một chức năng thay mặt nó. Vì nhiều ứng dụng khác nhau cần giao tiếp qua mạng cùng một lúc nên chúng ta cần một cách để điều hướng lưu lượng truy cập hợp lý. Đây là nơi phát huy tác dụng của các cổng kết nối từ xa. Bạn có thể coi cổng giống như số hộp thư trong một tòa nhà chung cư. Mặc dù tất cả cư dân đều có chung một địa chỉ đường phố (địa chỉ IP), nhưng mỗi căn hộ đều có một số (cổng) duy nhất để thư (dữ liệu) được gửi đến đúng nơi.
Viết tắt của Giao thức điều khiển truyền, cổng TCP được thiết kế cho các tác vụ cụ thể. Một số cổng Windows RPC phổ biến bao gồm:
- Cổng 443: Được sử dụng cho các trang web an toàn (HTTPS).
- Cổng 25: Dùng để gửi email (SMTP).
- Cổng 53: Được sử dụng cho dịch vụ tên miền (DNS).
- Cổng 135: Được sử dụng cho các dịch vụ Cuộc gọi thủ tục từ xa (RPC) mà chúng tôi sẽ tập trung vào trong bài đăng này.
Cổng TCP 135 cho phép các dịch vụ và ứng dụng Windows giao tiếp để hoàn thành các tác vụ như tải xuống các bản cập nhật bảo mật Windows, quản lý quyền trong mạng doanh nghiệp (Active Directory) và xử lý email trong môi trường văn phòng thông qua Microsoft Exchange Server. Vì RPC rất cần thiết cho các mạng dựa trên Windows nên Cổng 135 đóng một vai trò quan trọng trong việc cho phép các dịch vụ hoạt động bình thường. Tuy nhiên, Cổng TCP 135 cũng là mục tiêu phổ biến của những kẻ tấn công do lỗ hổng cổng 135 trong Windows RPC Port và DCOM, có thể khiến hệ thống gặp phải phần mềm độc hại, tấn công từ chối dịch vụ và truy cập trái phép. Trong bài đăng này, chúng ta sẽ xem xét kỹ hơn Cổng 135 được sử dụng để làm gì, các rủi ro bảo mật liên quan đến cổng kết nối từ xa này và các phương pháp hay nhất để bảo vệ Cổng 135 của Windows nhằm đảm bảo mạng an toàn và ổn định.
Cổng TCP 135 là gì?
Điều quan trọng là phải biết thêm về Cổng TCP 135 và cách thức hoạt động của nó để hiểu rõ hơn về các rủi ro bảo mật xung quanh nó. Là một cổng kết nối từ xa được sử dụng trên các máy tính Windows, Cổng TCP hỗ trợ các dịch vụ RPC và cho phép một chương trình yêu cầu một máy khác thay mặt nó thực thi một chức năng. Điều này cho phép một khuôn khổ giao tiếp giữa các ứng dụng trên mạng. Khi một máy tính kết nối với máy chủ từ xa để thực hiện một tác vụ—cho dù đó là nhận dữ liệu theo yêu cầu của người dùng hay quản lý các quyền mạng—Windows RPC Port 135 đảm bảo rằng yêu cầu đó được gửi và nhận như bình thường. Nó hoạt động như một cổng kết nối từ xa, hướng lưu lượng RPC đến đúng dịch vụ, giống như nhân viên lễ tân điều hướng các cuộc gọi trong một văn phòng bận rộn.
Như đã đề cập, TCP 135 đóng một vai trò quan trọng trong việc bảo trì hệ thống và các chức năng. Không có nó, nhiều dịch vụ Windows cốt lõi sẽ không thể tương tác trên mạng. Quan trọng như vậy, nó cũng mang đến rất nhiều lỗ hổng cổng 135 mà kẻ tấn công và kẻ xấu có thể khai thác. Việc khai thác cổng mạng 135 này có thể mang phần mềm độc hại đi khắp mạng của doanh nghiệp, cho phép truy cập trái phép hoặc thậm chí dẫn đến các cuộc tấn công từ chối dịch vụ (DoS). Ngay cả một trong những mối đe dọa được đề cập cũng đủ để nhấn mạnh tầm quan trọng của việc bảo mật cổng Windows 135 trên toàn hệ thống để bảo vệ cả hệ thống riêng lẻ và toàn bộ mạng.
Bắt đầu viết blog
Tự lưu trữ WordPress của bạn trên phần cứng hàng đầu, có bộ lưu trữ NVMe và độ trễ tối thiểu trên toàn thế giới — hãy chọn bản phân phối yêu thích của bạn.
Nhận VPS WordPress
Windows Port 135 và vai trò của nó trong quản lý hệ thống
Một trong những trách nhiệm chính của Cổng TCP 135 là xử lý các bản cập nhật Windows và đảm bảo rằng các hệ thống nhận được các bản vá bảo mật mới nhất và cải tiến hiệu suất mà không cần can thiệp thủ công. Điều này rất quan trọng để duy trì cơ sở hạ tầng an toàn và ổn định, vì các hệ thống lỗi thời thường là mục tiêu đầu tiên của các cuộc tấn công mạng. Tuy nhiên, Cổng mạng 135 không chỉ có nhiệm vụ cập nhật—nó còn đóng vai trò trung tâm trong Active Directory, xương sống của xác thực người dùng và kiểm soát truy cập trong môi trường doanh nghiệp. Windows Port 135 cho phép các tổ chức duy trì sự giám sát tập trung đối với tất cả người dùng và thiết bị của họ. Đây có thể là bất cứ điều gì từ việc quản lý thông tin đăng nhập đến thực thi các chính sách bảo mật. Nếu không có nó, các doanh nghiệp sẽ gặp khó khăn trong việc thực thi an ninh, có nguy cơ bị truy cập trái phép và hoạt động kém hiệu quả.
Microsoft Exchange, chia sẻ tệp và quản lý hệ thống từ xa
Một ứng dụng quan trọng khác của TCP 135 là vai trò của nó trong Microsoft Exchange Server, hỗ trợ liên lạc qua email, cập nhật lịch và đồng bộ hóa liên hệ trên các môi trường kinh doanh. Ngoài ra, việc chia sẻ tệp và quản lý hệ thống từ xa phụ thuộc rất nhiều vào Cổng Windows RPC, cho phép quản trị viên kiểm soát máy, khắc phục sự cố và triển khai các bản cập nhật trên các mạng mà không cần truy cập vật lý. Cho dù để quản lý giao tiếp kinh doanh hay giữ cho cơ sở hạ tầng CNTT hoạt động trơn tru, Cổng mạng 135 là cốt lõi của các hoạt động thiết yếu này.
Cổng 135 RPC và Mô hình đối tượng thành phần phân tán (DCOM)
Ngoài các khả năng RPC trực tiếp, RPC cổng 135 còn được kết hợp chặt chẽ với Mô hình đối tượng thành phần phân tán (DCOM), cho phép giao tiếp dựa trên đối tượng giữa các máy. Với DCOM, các ứng dụng có thể tương tác với dữ liệu và thành phần từ xa như thể chúng được lưu trữ cục bộ. Cho dù đó là tìm nạp tệp, truy cập cơ sở dữ liệu hay chạy các quy trình tự động, DCOM và Cổng 135 sẽ kết hợp với nhau để cho phép liên lạc xuyên suốt. Với vai trò cơ bản và phổ biến của Windows Port 135, việc bảo mật cổng này là ưu tiên hàng đầu đối với các tổ chức chạy cơ sở hạ tầng dựa trên Windows. Nếu để lộ, cổng kết nối từ xa này có thể đóng vai trò là lời mời mở cho tội phạm mạng.
Ý nghĩa bảo mật của Cổng TCP 135
Mặc dù Cổng TCP 135 rất cần thiết cho các dịch vụ Windows RPC nhưng đây cũng là một trong những cổng mạng được nhắm mục tiêu thường xuyên nhất do liên kết với các dịch vụ RPC và giao tiếp DCOM. Các giao thức này là nền tảng cho các mạng dựa trên Windows, nhưng thiết kế của chúng lại có chỗ cho việc khai thác, khiến Windows Port 135 trở thành mục tiêu tấn công chính của tội phạm mạng. Một trong những rủi ro lớn nhất liên quan đến TCP 135 là lịch sử bị khai thác trong các cuộc tấn công mạng lớn. các Sâu Blaster, gây ra sự tàn phá vào đầu những năm 2000, đã sử dụng lỗ hổng Cổng 135 để phát tán trên các mạng và khởi chạy các lệnh mà không có sự cho phép của người dùng. Gần đây hơn, Cuộc tấn công ransomware WannaCry đã lợi dụng những điểm yếu của RPC chưa được vá để lây lan ở quy mô chưa từng có, dẫn đến mã hóa các tập tin và yêu cầu nạn nhân trên toàn thế giới trả tiền chuộc.
Ngoài việc phát tán phần mềm độc hại, Cổng mạng 135 thường bị khai thác trong các cuộc tấn công từ chối dịch vụ (DoS). Những kẻ tấn công có thể áp đảo TCP 135 bằng các yêu cầu quá mức và các dịch vụ phụ thuộc vào RPC để làm chậm hoặc sập hoàn toàn. Một cuộc tấn công có chủ đích vào Windows Port 135 có thể làm gián đoạn quy trình làm việc của toàn bộ tổ chức và khiến các hệ thống không thể truy cập được trên toàn bộ hệ thống. Vì Cổng TCP 135 được sử dụng để tạo điều kiện thuận lợi cho các cổng kết nối từ xa trong mạng dựa trên Windows nên kẻ tấn công cũng có thể khai thác cổng này để thực thi các lệnh trái phép hoặc leo thang đặc quyền trong hệ thống. Nếu tin tặc giành được quyền truy cập thông qua Cổng Windows RPC bị lộ, chúng có thể di chuyển ngang qua mạng, cài đặt phần mềm độc hại hoặc trích xuất dữ liệu nhạy cảm—tất cả mà nạn nhân không hề hay biết.
Cách bảo mật cổng TCP 135
Do phạm vi tiếp cận rộng rãi, việc bảo mật cổng TCP 135 yêu cầu phải kiểm tra nhiều hộp để giảm thiểu nguy cơ bị tấn công DoS, truy cập trái phép, lây nhiễm phần mềm độc hại và các rủi ro bảo mật khác. Thông thường, các tùy chọn cần thực hiện của bạn để giải quyết tất cả các vấn đề còn lỏng lẻo liên quan đến Cổng Windows 135 là thiết lập các quy tắc tường lửa, hạn chế cổng và các bản vá bảo mật thông thường.
Hạn chế hoặc chặn quyền truy cập bằng tường lửa
Một trong những cách hiệu quả nhất để bảo mật TCP 135 là sử dụng cấu hình tường lửa để hạn chế hoặc chặn quyền truy cập. Tường lửa của Windows và bên thứ ba cho phép quản trị viên tạo các quy tắc tùy chỉnh ngăn chặn các mối đe dọa bên ngoài khai thác Cổng 135 RPC. Nếu các dịch vụ Windows RPC không cần thiết cho các hoạt động cụ thể thì cách tốt nhất là đóng hoàn toàn Cổng mạng 135 để loại bỏ mọi bề mặt tấn công tiềm ẩn. Đối với các doanh nghiệp dựa vào Cổng Windows RPC cho các dịch vụ thiết yếu như Active Directory và Microsoft Exchange Server, bạn nên hạn chế quyền truy cập vào các mạng nội bộ, đáng tin cậy. Để ngăn chặn các cuộc tấn công từ xa và truy cập từ các nguồn không đáng tin cậy, tường lửa phải được cấu hình để chỉ cho phép lưu lượng truy cập TCP 135 từ các địa chỉ IP được ủy quyền.
Vô hiệu hóa dịch vụ RPC khi không cần thiết
Vì Cổng TCP 135 được sử dụng cho các cuộc gọi thủ tục từ xa nên việc tắt các dịch vụ Windows RPC có thể giảm đáng kể rủi ro bảo mật trong những môi trường không cần thiết. Nếu hệ thống không dựa vào Cổng mạng 135, quản trị viên có thể tắt các dịch vụ DCOM và RPC thông qua cài đặt Chính sách Nhóm hoặc Sổ đăng ký Windows. Cách tiếp cận này đảm bảo rằng những kẻ tấn công không thể khai thác lỗ hổng Cổng 135 để có được quyền truy cập trái phép.
Tuy nhiên, trước khi vô hiệu hóa Windows Port 135 RPC, điều quan trọng là phải đánh giá tác động đối với các ứng dụng kinh doanh và hoạt động mạng. Một số dịch vụ có thể yêu cầu cổng kết nối từ xa để liên lạc và việc tắt RPC nếu không lập kế hoạch phù hợp có thể làm gián đoạn các quy trình công việc quan trọng.
Áp dụng các bản vá bảo mật và cập nhật thường xuyên
Microsoft thường xuyên phát hành các bản vá bảo mật để khắc phục các điểm yếu đã biết trong Windows RPC Port và DCOM. Nếu các Tổ chức muốn giảm thiểu rủi ro bảo mật thì việc đảm bảo cập nhật tự động được bật hoặc áp dụng các bản vá theo cách thủ công luôn là một lựa chọn an toàn ngay khi chúng có sẵn. Ngoài ra, doanh nghiệp có thể sử dụng công cụ đánh giá lỗ hổng (VAPT) để xác định và giải quyết các lỗ hổng bảo mật trong cơ sở hạ tầng dựa trên Windows. Những công cụ như vậy có thể quét các cổng mở, cấu hình sai và các dịch vụ lỗi thời có thể khiến TCP 135 gặp mối đe dọa.
Giám sát hoạt động mạng để phát hiện lưu lượng truy cập đáng ngờ
Ngay cả với các quy tắc tường lửa và bản vá bảo mật, việc giám sát lưu lượng RPC của Cổng 135 là rất quan trọng để phát hiện các nỗ lực truy cập trái phép. Một trong những trách nhiệm thiết yếu nhất của nhóm bảo mật trong việc giảm rủi ro Cổng TCP 135 là sử dụng các công cụ giám sát mạng để theo dõi hoạt động đáng ngờ. Một phương pháp rất phổ biến để ngăn chặn các cuộc tấn công vũ phu là triển khai Hệ thống phát hiện xâm nhập (IDS). Bằng cách áp dụng các hạn chế tường lửa, vô hiệu hóa các dịch vụ không cần thiết, cập nhật hệ thống và giám sát hoạt động mạng, các tổ chức có thể tăng cường bảo mật Cổng TCP 135 và giảm nguy cơ đe dọa mạng. Việc quản lý đúng cổng Windows RPC không chỉ là bảo mật một cổng mạng—mà còn là tăng cường trạng thái bảo mật tổng thể của toàn bộ môi trường CNTT.
suy nghĩ cuối cùng
Cổng TCP 135 là một phần quan trọng của các mạng dựa trên Windows, nhưng tầm quan trọng của nó lại đi kèm với những rủi ro bảo mật đáng kể. Những kẻ tấn công thường nhắm mục tiêu vào Windows Port 135 để khai thác các lỗ hổng RPC, khởi động các cuộc tấn công từ chối dịch vụ và giành quyền truy cập trái phép vào hệ thống.
Lịch sử đã cho thấy điều gì sẽ xảy ra khi Cổng mạng 135 bị lộ—các cuộc tấn công như WannaCry và Blaster Worm lây lan nhanh chóng và gây ra các vấn đề bảo mật lớn cho các tổ chức. Đó là lý do tại sao việc bảo mật Cổng Windows RPC không phải là tùy chọn. Các tổ chức phải thực hiện các biện pháp chủ động, từ việc hạn chế quyền truy cập bằng tường lửa đến vô hiệu hóa các dịch vụ RPC khi không cần thiết và luôn cập nhật các bản vá cho hệ thống.
Một chế độ bảo mật mạnh mẽ không chỉ là khóa một cổng kết nối từ xa; đó là về việc xây dựng một mạng lưới có khả năng phục hồi trước các mối đe dọa. Cập nhật, giám sát và truy cập có kiểm soát thường xuyên là chìa khóa để giảm thiểu rủi ro và giữ cho hệ thống được bảo vệ.
Câu hỏi thường gặp
Làm cách nào để kiểm tra xem Cổng TCP 135 có mở không?
Bạn có thể kiểm tra xem Cổng TCP 135 có mở hay không bằng cách sử dụng trình quét mạng như Nmap hoặc xem lại cài đặt tường lửa của bạn. Trên Windows, đi tới Tường lửa của Bộ bảo vệ Windows > Cài đặt nâng cao > Quy tắc gửi đến và tìm RPC (TCP-In) để xem cổng có được bật hay không. Ngoài ra, bạn có thể kiểm tra cài đặt bộ định tuyến hoặc phần mềm bảo mật để xem Cổng mạng 135 có thể truy cập được từ các nguồn bên ngoài hay không.
Những cổng nào được yêu cầu cho SMB?
SMB (Khối tin nhắn máy chủ) chủ yếu sử dụng Cổng 445 (TCP) để liên lạc trực tiếp giữa các thiết bị. Các phiên bản cũ hơn của SMB cũng dựa vào Cổng 137-139 (UDP/TCP) cho mạng dựa trên NetBIOS. Để đảm bảo SMB hoạt động chính xác, các cổng này phải được mở trong một mạng đáng tin cậy, nhưng Cổng 445 không bao giờ được tiếp xúc với Internet do các rủi ro bảo mật.
Cổng 135 là SMB?
Không, Cổng 135 không được sử dụng cho SMB. Nó được chỉ định cho các dịch vụ Windows RPC, xử lý các cuộc gọi thủ tục từ xa giữa các ứng dụng. SMB, chịu trách nhiệm chia sẻ tệp và máy in, chủ yếu hoạt động trên Cổng 445. Mặc dù cả hai giao thức đều hỗ trợ giao tiếp qua mạng, nhưng Windows RPC Port 135 phục vụ chức năng hoàn toàn khác với SMB.
