Ak by som mal vysvetliť sieťové porty úplne jednoducho, povedal by som toto: IP adresa je ako adresa budovy a port je konkrétne dvere do miestnosti, kde beží nejaká služba. Za jednými dverami môže byť web, za druhými vzdialená plocha, za tretími zdieľanie súborov a za štvrtými starý zabudnutý servis, ktorý tam nemal byť už od čias Windows XP a firemného faxu.
A práve tu začína problém. Port sám o sebe nie je dobrý ani zlý. Je to iba číslo. Ale služba, ktorá za ním počúva, môže byť užitočná, zle nastavená, zraniteľná alebo úplne zbytočne vystavená do internetu. Preto je bezpečnosť portov základná vec, ktorú by mal chápať nielen admin, ale aj bežný používateľ, ktorý má doma router, NAS, kameru, herný server alebo notebook s divnými službami na pozadí.
Tento článok je úvod do celej série o portoch. Ak chceš vidieť aj konkrétne rizikové porty, ich význam a odporúčania, pozri si môj rozcestník: Sieťové porty, ktoré musíš poznať.
🔐 Začni portom, ktorý hackeri milujú
Port 445 je jeden z najznámejších príkladov, prečo otvorený port bez kontroly nemusí byť len technická drobnosť. Súvisí so SMB, zdieľaním súborov, laterálnym pohybom v sieti aj ransomwarom.
🚨 Pokračuj portom, ktorý často smrdí incidentom
Port 4444 je zaujímavý tým, že sám o sebe nemusí znamenať útok, ale ak je otvorený bez vysvetlenia, treba spozornieť. Často sa spája s testovaním, reverznými spojeniami, listenerom a nástrojmi ako Metasploit framework.
Port nie je služba. A toto je dôležité
Veľa ľudí robí jednu chybu: vidia číslo portu a automaticky si myslia, že vedia, čo tam beží. Napríklad port 3389 si každý spojí s RDP, port 445 so SMB a port 80 s webom. Lenže technicky to nie je také jednoduché.
Port 3389 nie je RDP. Je to len port, na ktorom RDP zvyčajne počúva. Rovnako port 80 nie je web, ale bežné miesto pre HTTP službu. Teoreticky môže niekto spustiť web na porte 12345 alebo inú službu na porte 80. Preto pri bezpečnosti nestačí pozerať iba na číslo. Treba vedieť, aký proces alebo služba za portom reálne stojí.
To je ako vidieť na dverách číslo 13 a myslieť si, že tam býva účtovníčka. Možno áno. Ale možno je tam sklad káblov, starý server alebo kolega, ktorý tvrdí, že „nič nemenil“.
Čo znamená otvorený port?
Otvorené porty znamenajú, že na danom počítači alebo serveri niečo počúva a čaká na komunikáciu. Nemusí to byť automaticky problém. Webový server potrebuje otvorený port 443. DNS server potrebuje port 53. VPN potrebuje svoj port. Problém vzniká vtedy, keď je port otvorený bez dôvodu, bez dokumentácie a bez kontroly.
Najhoršia kombinácia je:
- služba je dostupná z internetu,
- nikto nevie, kto ju potrebuje,
- nikto nesleduje logy,
- beží tam stará verzia,
- heslo je slabé,
- firewall pravidlá vznikli štýlom „dočasne povolíme všetko“.
Dočasné pravidlá vo firewalle sú ako dočasné krabice po sťahovaní. O päť rokov stále stoja v kúte a všetci sa tvária, že tam patria.
TCP a UDP porty bez bolesti hlavy
Keď sa povie TCP a UDP porty, veľa ľudí začne mať výraz ako pri návode na daňové priznanie. Ale princíp je jednoduchý.
TCP je spoľahlivá komunikácia. Obe strany si potvrdzujú, že dáta dorazili. Hodí sa tam, kde záleží na presnosti: web, e-mail, SSH, RDP, SMB.
UDP je rýchlejšie a jednoduchšie. Nepýta sa stále: „prišlo to? a teraz? a teraz?“ Používa sa tam, kde je rýchlosť dôležitejšia než dokonalá kontrola každého kúsku dát: DNS, VoIP, hry, streaming, niektoré VPN.
Vtipne povedané: TCP je doporučený list s podpisom. UDP je výkrik cez plot. Keď sused počul, super. Keď nie, život ide ďalej.
Prečo útočníkov porty tak zaujímajú?
Útočník často nezačína útok tým, že vie, čo máš vo firme. Najprv hľadá dvere. Skenuje verejné IP adresy a zisťuje, aké otvorené porty vidí. Potom skúša, čo za nimi beží.
Nájde RDP? Skúsi heslá.
Nájde SMB? Premýšľa nad zdieľaniami a starými chybami.
Nájde databázu? Skúsi prístup.
Nájde starý webový panel? Skúsi exploit.
Nájde port, ktorý nikto nevie vysvetliť? Úsmev útočníka sa zväčšuje.
A tu je dôležitá finta: nebezpečný nie je len známy port, ale aj neznámy port bez vysvetlenia. Ak vo firme nájdeš otvorený port 49152 alebo 31337, nemusí to automaticky znamenať útok. Ale musíš vedieť, čo tam beží. Ak odpoveď znie „netušíme“, problém už začal.
Zmena portu nie je skutočná bezpečnosť
Niektorí admini presunú RDP z portu 3389 na iný port a povedia si: hotovo, zabezpečené. Nie úplne. Zmena portu môže znížiť hluk v logoch, pretože primitívne boty skúšajú najznámejšie porty. Ale nie je to ochrana.
Je to ako presunúť zvonček z predných dverí na bočnú stenu. Náhodný okoloidúci ho možno nenájde. Ale ten, kto dom skutočne obchádza, ho nájde. Skutočná ochrana je firewall, VPN, MFA, silné heslá, aktualizácie, logovanie a obmedzenie prístupu podľa IP alebo siete.
Mini checklist: čo si skontrolovať pri portoch
- Vieš, ktoré porty máš otvorené na svojom PC?
- Vieš, ktoré porty sú dostupné z internetu cez router?
- Vieš, aký proces alebo služba za každým portom beží?
- Máš vypnuté služby, ktoré nepoužívaš?
- Nepoužívaš starý port forwarding, ktorý už nikto nepotrebuje?
- Sú admin služby ako RDP, SSH alebo databázy dostupné iba cez VPN alebo obmedzené IP?
- Máš zapnutý firewall?
- Sleduješ neúspešné prihlásenia a podozrivé spojenia?
- Vieš rozlíšiť, čo je normálne správanie a čo je divné?
- Vieš, čo by si spravil, keby si našiel otvorený port, ktorý nevieš vysvetliť?
Ako otestovať otvorené porty na lokálnom PC cez PowerShell
Tento jednoduchý PowerShell skript vypíše počúvajúce TCP porty na lokálnom počítači a pokúsi sa k nim priradiť proces. Spusti ho v PowerShelli, ideálne ako administrátor.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
Write-Host "Kontrolujem otvorené TCP porty na lokálnom PC..." -ForegroundColor Cyan $connections = Get-NetTCPConnection -State Listen | Sort-Object LocalPort $result = foreach ($conn in $connections) { $process = Get-Process -Id $conn.OwningProcess -ErrorAction SilentlyContinue [PSCustomObject]@{ LocalAddress = $conn.LocalAddress LocalPort = $conn.LocalPort ProcessId = $conn.OwningProcess ProcessName = if ($process) { $process.ProcessName } else { "Neznámy proces" } } } $result | Format-Table -AutoSize Write-Host "`nTip:" -ForegroundColor Yellow Write-Host "Ak vidíš port, ktorému nerozumieš, over názov procesu a službu, ktorá za ním beží." Write-Host "Otvorený port nemusí byť problém, ale neznámy otvorený port si zaslúži kontrolu." |
Ak chceš rýchlo otestovať, či konkrétny port na tvojom PC odpovedá, použi napríklad:
|
1 |
Test-NetConnection -ComputerName localhost -Port 3389 |
Port 3389 si môžeš nahradiť iným číslom. Napríklad 80, 443, 445 alebo portom, ktorý si našiel v zozname.
Záver: sieťové porty bez omáčky
Sieťové porty nie sú nudná tabuľka čísel. Sú to dvere do služieb, ktoré môžu byť potrebné, užitočné a úplne bezpečné — alebo zbytočne otvorené, zabudnuté a pripravené na problém.
Najdôležitejšia myšlienka je jednoduchá: port nie je nepriateľ. Nepriateľ je nevedomosť. Keď nevieš, čo máš otvorené, prečo to tam je a kto sa k tomu môže dostať, tvoja sieť sa mení na dom s množstvom dverí, kde nikto nevie, ktoré sú zamknuté.
A presne preto sa oplatí porty poznať. Nie naspamäť ako básničku na základnej škole, ale prakticky: čo robia, kde dávajú zmysel, kedy sú rizikové a ako ich udržať pod kontrolou.
Zdroje :
cloudflare, iana , Microsoft Learn
