Védd meg a géped a támadásoktól: A 135-ös port lezárása, mielőtt túl késő

Képzeld el, hogy a számítógéped egy modern kori vár, tele értékes adatokkal, emlékekkel és a mindennapi életed kulcsfontosságú elemeivel. Ez a vár számos kapun és ablakon keresztül kommunikál a külvilággal, ezeket nevezzük hálózati portoknak. Bár ezek a kapuk elengedhetetlenek a működéshez és az internetezéshez, egy nyitva felejtett vagy rosszul őrzött kapu súlyos fenyegetéseket rejt magában. Ma egy ilyen „kapura” fókuszálunk: a 135-ös portra, melynek nem megfelelő kezelése komoly kockázatot jelenthet a digitális biztonságodra nézve. Ne várd meg, amíg a támadók bekopogtatnak – cselekedjünk együtt, még mielőtt túl késő lenne!

Mi az a 135-ös port, és miért olyan fontos? 💡

A 135-ös port első hallásra talán csak egy semmitmondó számkombinációnak tűnik, de a Windows operációs rendszerek világában kulcsfontosságú szerepet játszik. Ez a port a Microsoft DCOM (Distributed Component Object Model) és RPC (Remote Procedure Call) protokollok működéséhez szükséges. Leegyszerűsítve, ezek a technológiák teszik lehetővé, hogy a számítógépeden futó programok és szolgáltatások kommunikáljanak egymással, vagy akár más hálózati gépeken lévő programokkal. Gondolj rá úgy, mint egy belső telefonközpontra, ahol a különböző szolgáltatások felhívhatják egymást, vagy akár egy távoli kollégát is elérhetnek.

Például, ha egy számítógép egy másik hálózati gépen lévő szolgáltatást szeretne használni, az RPC protokoll segítségével indít egy „távoli eljáráshívást” a 135-ös porton keresztül. Ez teszi lehetővé például a tartományi környezetekben a felhasználói hitelesítést, a távoli rendszerfelügyeletet, vagy akár az Exchange szerverek működését is. Röviden: a Windows alapvető funkcióinak egy jelentős része épül erre a kommunikációs csatornára.

Miért jelent veszélyt a 135-ös port nyitva tartása? ⚠️

Ahogy az életben, úgy a digitális térben is, ami hasznos, az könnyen válhat sebezhetőségi ponttá. A 135-ös port nyitva tartása, különösen ha az internet felé irányuló forgalmat is engedi, komoly biztonsági kockázatot jelent. Ennek oka az, hogy a DCOM és RPC szolgáltatások számos esetben sebezhetőnek bizonyultak a múltban. Ezek a sebezhetőségek lehetővé tették a rosszindulatú támadók számára, hogy jogosulatlanul hozzáférjenek a számítógépedhez, vagy akár távoli kódfuttatást (Remote Code Execution – RCE) hajtsanak végre rajta.

Gondolj bele: ha egy támadónak sikerül kihasználnia egy hibát ezen a kapun keresztül, az olyan, mintha bejutna a várad központi irányítótermébe, és tetszés szerint parancsokat osztogathatna. Ez magával vonhatja az adatok eltulajdonítását, a rendszer megfertőzését rosszindulatú programokkal (vírusokkal, zsarolóvírusokkal), vagy akár a számítógéped beillesztését egy botnetbe, anélkül, hogy tudnál róla.

A múlt tele van példákkal, amikor a 135-ös porttal és az ahhoz kapcsolódó szolgáltatásokkal kapcsolatos sebezhetőségeket kihasználták. Emlékezzünk csak a 2003-as MS03-026 sebezhetőségre, amely a Blaster féreg elterjedésében játszott kulcsszerepet. Ez a féreg a 135-ös porton keresztül jutott be a rendszerekbe, távoli kódfuttatást hajtott végre, és gyorsan elterjedt a sebezhető Windows gépek között, hatalmas károkat okozva világszerte. Ez az eset ékes bizonyítéka annak, hogy egy látszólag ártalmatlan szolgáltatás milyen komoly fenyegetéssé válhat, ha nincsenek megfelelően védve.

Ki van kitéve a veszélynek? 👤

Alapvetően minden Windows operációs rendszert futtató számítógép potenciálisan érintett, hiszen a 135-ös port alapértelmezés szerint nyitva van a helyi hálózaton. Azonban a legnagyobb veszélyt azok a gépek jelentik, amelyek:

• Közvetlenül az internetre vannak kitéve: Ha a routered vagy tűzfalad nem blokkolja megfelelően az internet felől érkező kéréseket a 135-ös portra, akkor a számítógéped „láthatóvá” válik a támadók számára.
• Rendszeresen elhanyagolt frissítések: A Microsoft folyamatosan ad ki biztonsági javításokat a DCOM/RPC protokollokhoz. Ha ezeket nem telepíted időben, sebezhető maradhatsz.
• Elavult operációs rendszereket használnak: Régebbi Windows verziók, amelyek már nem kapnak biztonsági támogatást, különösen nagy kockázatot jelentenek.

Otthoni felhasználók és kisvállalkozások egyaránt a célkeresztbe kerülhetnek, ha nem fordítanak kellő figyelmet erre a látszólag apró, ám annál fontosabb részletre.

Hogyan ellenőrizzük a 135-ös port állapotát? 🔍

Mielőtt bármilyen beállításba fognánk, érdemes meggyőződni arról, hogy a 135-ös port valóban nyitva van-e a gépeden, és ha igen, milyen irányba. Ennek több módja is van:

1. Netstat paranccsal (Windows)

Nyisd meg a parancssort (CMD) rendszergazdaként, majd írd be a következő parancsot:

netstat -an | find "135"

Ha a kimenetben látsz olyan sorokat, mint TCP 0.0.0.0:135 0.0.0.0:0 LISTENING vagy TCP [::]:135 [::]:0 LISTENING, az azt jelenti, hogy a 135-ös port figyel (listening) a bejövő kapcsolatokra. Az „0.0.0.0” azt jelenti, hogy minden hálózati interfészen figyel, beleértve a külsőt is, ha nincs megfelelő tűzfal.

2. Nmap-pel (haladó felhasználóknak)

Az Nmap egy hálózati szkennelő eszköz, amely részletesebb információkat nyújthat. Ha telepítve van, futtasd a következő parancsot a hálózaton belüli ellenőrzéshez:

nmap -p 135 localhost

Vagy külső ellenőrzéshez egy másik gépről a saját IP-címeddel (ha engedi a tűzfal):

nmap -p 135 [a géped IP címe]

A kimenet megmondja, hogy a port „open” (nyitva), „closed” (zárva) vagy „filtered” (szűrt) állapotban van-e. A „filtered” állapot általában azt jelenti, hogy egy tűzfal blokkolja.

3. Külső portvizsgálók

Számos online szolgáltatás létezik, amelyekkel ellenőrizheted, hogy a routered vagy szolgáltatód tűzfala engedi-e a 135-ös port forgalmát az internet felől. Keresd meg a „port checker” kifejezést a Google-ben, de légy óvatos, és csak megbízható oldalt használj!

Lépésről lépésre: A 135-ös port lezárása ⚙️

Most, hogy megértettük a veszélyeket és ellenőriztük a port állapotát, ideje cselekedni! A 135-ös port lezárása a legtöbb otthoni felhasználó és kisvállalkozás számára javasolt, amennyiben nem használnak olyan speciális szolgáltatásokat, amelyekhez feltétlenül szükség van a külső elérésére (pl. egy Active Directory tartományvezérlő). Ne feledd, a lezárás általában a Windows beépített tűzfalán keresztül történik, amely alapértelmezés szerint már blokkolja a legtöbb bejövő internetes forgalmat.

1. A Windows Defender tűzfal beállítása (Windows 10/11)

Ez a leggyakoribb és legegyszerűbb módszer:

1. Nyisd meg a Start menüt, és keress rá a „Tűzfal és hálózati védelem” kifejezésre, majd kattints rá.
2. Kattints a „Speciális beállítások” linkre a bal oldali menüben. Ez megnyitja a „Windows Defender Tűzfal speciális biztonsággal” ablakot.
3. A bal oldali panelen válaszd a „Bejövő szabályok” opciót.
4. A jobb oldali „Műveletek” panelen kattints az „Új szabály…” gombra.
5. A „Szabály típusa” párbeszédpanelen válaszd a „Port” opciót, majd kattints a „Tovább” gombra.
6. A „Protokollok és portok” képernyőn válaszd a „TCP” opciót, majd az „Adott helyi portok” mezőbe írd be a „135” számot. Kattints a „Tovább” gombra.
7. A „Művelet” képernyőn válaszd a „A kapcsolat letiltása” opciót, majd kattints a „Tovább” gombra. Ez a legfontosabb lépés!
8. A „Profil” képernyőn hagyd bejelölve mindhárom opciót (Tartomány, Privát, Nyilvános), hacsak nem tudod pontosan, hogy mely hálózati profilokra akarod alkalmazni. Kattints a „Tovább” gombra.
9. A „Név” képernyőn adj egy beszédes nevet a szabálynak, például: „135-ös port blokkolása”. Hozzáadhatsz egy leírást is. Kattints a „Befejezés” gombra.

Ezzel a lépéssel egy bejövő tűzfal szabályt hoztál létre, amely letiltja a 135-ös TCP portra irányuló minden bejövő forgalmat. Ez jelentősen csökkenti a támadási felületet.

2. Csoportházirend (Group Policy) használatával (vállalati környezetben)

Nagyobb hálózatokban a 135-ös port lezárását centralizáltan, Csoportházirend segítségével is el lehet végezni. Ez lehetővé teszi, hogy egyetlen pontról kezeljük az összes tartományi számítógép tűzfalbeállításait. Ez a módszer bonyolultabb, és rendszergazdai ismereteket igényel.

Mire figyeljünk a lezárás után? 🤔

A 135-ös port lezárása a legtöbb otthoni felhasználó és kis iroda számára nem okoz problémát. Azonban, ha speciális, Windows-alapú hálózati szolgáltatásokat használsz, amelyek távoli DCOM/RPC kommunikációra épülnek (például bizonyos régebbi távoli felügyeleti eszközök, vagy egy Active Directory tartományvezérlő funkciói), akkor a port teljes blokkolása problémákat okozhat. Ilyen esetekben érdemes megfontolni, hogy csak bizonyos IP-címekről engedélyezd a forgalmat, vagy szigorúan korlátozd, mielőtt véglegesen lezárnád. Mindig teszteld a változtatásokat egy nem kritikus környezetben, mielőtt élesben alkalmaznád!

Átfogó védelem: Több, mint a 135-ös port ✅

Bár a 135-ös port védelme fontos lépés, ne feledd, hogy a kiberbiztonság egy átfogó, többrétegű folyamat. Egyetlen port lezárása önmagában nem garantál teljes védelmet, de jelentősen csökkenti a kockázatot. Íme néhány további alapvető, de annál fontosabb tanács a digitális várad megerősítéséhez:

• Rendszeres szoftverfrissítések: Mindig tartsd naprakészen az operációs rendszeredet és az összes telepített szoftvert. A frissítések nem csak új funkciókat hoznak, hanem kritikus biztonsági javításokat is tartalmaznak.
• Erős jelszavak és kétfaktoros hitelesítés (2FA): Használj egyedi, hosszú és összetett jelszavakat minden online fiókodhoz. Aktiváld a 2FA-t, ahol csak lehet – ez egy extra védelmi réteg, ami jelentősen megnehezíti a támadók dolgát.
• Megbízható vírusirtó és tűzfal: Használj naprakész vírusirtó szoftvert, és győződj meg róla, hogy a tűzfalad (akár a Windows beépítettje, akár egy harmadik féltől származó megoldás) aktív és megfelelően konfigurált.
• Tudatos internethasználat: Légy óvatos az e-mail csatolmányokkal, a gyanús linkekkel és az ismeretlen forrásból származó szoftverekkel. A legtöbb fertőzés az emberi hibán keresztül jut be a rendszerekbe.
• Rendszeres adatmentés: Készíts rendszeresen biztonsági mentést a fontos adataidról, és tárold azokat offline, vagy egy biztonságos, elkülönített helyen. Ha minden más kudarcot vall, az adatmentés megóvhat a teljes veszteségtől.
• Portátirányítások (Port Forwarding) ellenőrzése: Ha a routereden beállítottál portátirányításokat, győződj meg róla, hogy csak a feltétlenül szükségeseket engedélyezed, és azok is csak megbízható szolgáltatásokhoz legyenek rendelve.

Vélemény: Miért ne halogasd a védekezést? 🛡️

Személyes meggyőződésem, melyet a kiberbiztonsági fenyegetések évtizedes megfigyelése támaszt alá, hogy az otthoni felhasználók és azon rendszerek számára, amelyek nem támaszkodnak intenzíven a DCOM/RPC szolgáltatások külső elérésére (például egy Active Directory tartományvezérlőn kívül), a 135-ös port proaktív blokkolása jelentősen csökkentheti a támadási felületet. A múltbeli, a DCOM/RPC szolgáltatásokat kihasználó sebezhetőségek (mint például a hírhedt MS03-026, ami a Blaster féreg elterjedésében is szerepet játszott) világosan bizonyítják, mennyire kritikus ezen protokollok védelme.

A digitális világban a támadók sosem alszanak. Folyamatosan keresik a réseket, a gyenge pontokat, amelyeken keresztül behatolhatnak rendszereinkbe. A 135-ös port csupán egyike a számos potenciális belépési pontnak, de történelmileg jelentős szerepet játszott a nagyszabású fertőzésekben. Az internet egy hatalmas, nyílt hálózat, és amint csatlakozol hozzá, azonnal célponttá válsz. Nem arról van szó, hogy *ha* támadnak, hanem hogy *mikor* – a kérdés csak az, felkészültél-e rá.

Ne hagyd, hogy egy alapértelmezésben nyitott, de a legtöbb otthoni felhasználó számára szükségtelen port veszélyeztesse az adataidat és a nyugalmadat. A néhány perces beállítás, amellyel letiltod a 135-ös portra érkező nem kívánt bejövő forgalmat, egy kis lépés neked, de óriási ugrás a számítógép biztonságának megerősítésében. Légy proaktív, légy tudatos, és védd meg digitális váradat, mielőtt az ellenség már a kapu előtt állna!