עודכן לפני חודש
ללא פורטים, כל מכונה יכלה להריץ שירות רשת אחד בלבד. שרת האינטרנט שלך היה הופך להיות השרת כולו.
פורטים פותרים את זה. הם מאפשרים לכתובת IP בודדת לאחסן עשרות שירותים עצמאיים — אינטרנט, דואר אלקטרוני, העברת קבצים, גישה מרחוק — כשכל אחד מהם מאזין על המספר שלו, וכל אחד ניתן להגעה מבלי להפריע לאחרים. ואותם 1,024 מספרים ראשונים? הם שמורים. מתוקננים. הפורטים הידועים.
מדוע תקינה חשובה
כאשר אתה מקליד כתובת אינטרנט, הדפדפן שלך לא שואל "על איזה פורט נמצא שרת האינטרנט שלך?" הוא מניח פורט 80 עבור HTTP, פורט 443 עבור HTTPS. כאשר שרת הדואר האלקטרוני שלך מעביר הודעה, הוא לא מנהל משא ומתן — הוא מתחבר לפורט 25 בשרת הדואר של הנמען.
זה עובד מפני שכולם הסכימו. רשות מספרי האינטרנט המוקצים (IANA) מנהלת את הרשימה, ומקצה מספרי פורטים כך שפורט 80 משמעותו HTTP בטוקיו, סאו פאולו, ובכל מקום אחר.
החלופה — כל שירות על פורטים שרירותיים, כל חיבור מצריך משא ומתן מוקדם — תהפוך את האינטרנט לכמעט בלתי שמיש.
הפורטים שמריצים את האינטרנט
פורטים 20–21: FTP
פרוטוקול העברת הקבצים משתמש בשני פורטים, וזה מגלה משהו על עיצוב פרוטוקולים מוקדם. פורט 21 מטפל בפקודות: הצג את הספרייה הזאת, מחק את הקובץ הזה. פורט 20 מטפל בנתונים עצמם. שליטה ונתונים, מופרדים.
דפוס זה השפיע על פרוטוקולים שבאו לאחר מכן, אם כי FTP עצמו הוחלף ברובו על ידי SFTP (שעובד דרך מנהור SSH על פורט 22) והעלאות HTTPS. עדיין תמצא FTP במערכות ישנות ובהעברות אצווה אוטומטיות.
פורט 22: SSH
Secure Shell שינה הכל בנוגע לניהול שרתים מרחוק. לפני SSH, השתמשת ב-Telnet — שולח את הסיסמה שלך בטקסט גלוי ברשת, קריא לכל מי שמאזין.
פורט 22 הוא כיום שם נרדף לגישה מאובטחת. ניהול שרת אינטרנט, דחיפת קוד למאגר, מנהור פרוטוקולים אחרים דרך חיבור מוצפן — כל זה קורה כאן. האבטחה שמספקת SSH הפכה אותה לבחירה הברורה לכל דבר הדורש גישה מאומתת מרחוק.
פורט 23: Telnet
ל-Telnet עדיין יש הקצאת פורט ידוע, אך שימוש בו לכל דבר רגיש הוא רשלנות. כל הקשת מקש, כולל סיסמאות, מועברת ללא הצפנה. השימוש המודרני בו מוגבל לאבחון בעיות קישוריות ברשת או גישה לציוד ישן שקדם ל-SSH.
פורט 25: SMTP
דואר אלקטרוני בין שרתים עובר על פורט 25. לקוח הדואר שלך כנראה מתחבר לשרת שלך על פורט 587 (פורט השליחה), אך כאשר השרת שלך מעביר את ההודעה לשרת הנמען, זה פורט 25.
פורט זה הפך לשדה קרב. ספקי האינטרנט חוסמים אותו מרשתות ביתיות מפני שמחשבים ביתיים שנפרצו שלחו דואר זבל ישירות, תוך עקיפת כל מתווך בדרך הגרועה ביותר האפשרית. הפורט שמעביר את הדואר האלקטרוני שלך הוא גם הפורט שאוהבי הספאם חומדים ביותר.
פורט 53: DNS
כל חיפוש שם דומיין — בכל פעם שאתה מקליד כתובת URL — שולח שאילתה לפורט 53. בלעדיו, היית מנווט באינטרנט לפי כתובת IP בלבד.
DNS משתמש הן ב-UDP והן ב-TCP על פורט זה. UDP מטפל בשאילתות רגילות (מהיר יותר, ללא תקורת חיבור). TCP מטפל בתשובות גדולות ובהעברות אזורים בין שרתי DNS.
פורט 80: HTTP
כאשר אתה מקליד כתובת URL ללא ציון "https://", הדפדפן שלך מניח פורט 80 ו-HTTP לא מוצפן.
פורט 80 עדיין רואה תעבורה עצומה, לעיתים קרובות כחיבור ראשוני לפני הפניה ל-HTTPS. אך האינטרנט הולך ומתייחס אליו כאל האפשרות הלא מאובטחת שהיא.
פורט 443: HTTPS
HTTP עטוף בהצפנת TLS. פורט 443 הוא כיום ברירת המחדל לתעבורת אינטרנט — בנקאות, קניות, גלישה יומיומית, הכל. דפדפנים מודרניים מזהירים משתמשים בעת התחברות לאתרים לא מוצפנים, ודוחפים את הרשת לעבר הצפנה כוללת.
מדוע פורטים אלו דורשים הרשאות מיוחדות
במערכות מבוססות Unix, נדרשות הרשאות שורש כדי לקשור לפורטים שמתחת ל-1024. זה לא שרירותי — זהו גבול אבטחה.
דמיין אם כל משתמש במערכת משותפת יכל להפעיל תוכנית שמאזינה על פורט 80. הוא יכל ליירט תעבורת אינטרנט המיועדת לשרת הלגיטימי. הוא יכל לאסוף פרטי כניסה. דרישת ההרשאות מונעת ממשתמשים רגילים להתחזות לשירותים קריטיים.
זה יוצר דפוס: שירותים מתחילים עם הרשאות מוגברות כדי לקשור את הפורט שלהם, ולאחר מכן מצמצמים את ההרשאות לפעולה שוטפת. שרת האינטרנט nginx מתחיל כ-root, קושר לפורט 80 או 443, ולאחר מכן מפעיל תהליכי עובד שרצים כמשתמש רגיל. הפורט נתפס; הסיכון בשליטה.
מערכת שלוש הרמות
הפורטים הידועים (0–1023) הם רק הרמה הראשונה. התוכנית המלאה של IANA:
- פורטים ידועים (0–1023): שמורים לשירותים חיוניים. דורשים הרשאות לקישור.
- פורטים רשומים (1024–49151): זמינים לרישום על ידי יישומים. MySQL משתמש ב-3306, PostgreSQL משתמש ב-5432.
- פורטים דינמיים (49152–65535): פורטים ארעיים לחיבורים מצד הלקוח. כאשר הדפדפן שלך מתחבר לשרת אינטרנט, הוא בוחר פורט אקראי מטווח זה לתעבורת החזרה.
היררכיה זו מאזנת בין תקינה לגמישות. שירותים קריטיים מקבלים חריצים שמורים. כל השאר מנהל משא ומתן מהמרחב הנותר.
פשרת האבטחה
התקינה מאפשרת לאינטרנט לעבוד — ומאפשרת לתקוף אותו. פורט 80 קל למצוא הן למשתמשים לגיטימיים והן לתוקפים. סורקי פורטים בודקים באופן שגרתי פורטים ידועים בחיפוש אחר שירותים פגיעים.
הפורטים שהופכים את האינטרנט לנוח הם הפורטים הספוגים במרב ההתקפות. ידיעה אילו פורטים חשופים במערכות שלך, ומה עונה עליהם, היא הצעד הראשון באבטחתם.
שאלות נפוצות על פורטים ידועים
מדוע אינני יכול להפעיל שרת אינטרנט על פורט 80 ללא sudo?
מערכות מבוססות Unix דורשות הרשאות שורש לקישור לפורטים מתחת ל-1024. זה מונע ממשתמשים רגילים להתחזות לשירותים קריטיים. הפתרון: הפעל את השרת כ-root כדי לתפוס את הפורט, ולאחר מכן צמצם הרשאות לפעולה שוטפת — או השתמש בשרת פרוקסי הפוך שמטפל בפורט המורשה.
מה קורה אם אני משתמש בפורט 80 למשהו שאינו HTTP?
מבחינה טכנית שום דבר לא מונע זאת, אך כל מי שמצפה ל-HTTP ישלח בקשות HTTP. דפדפנים ינסו לפרש כל מה שאתה שולח כדף אינטרנט. חומות אש עשויות להחיל כללים ספציפיים ל-HTTP. אתה נלחם מול עשרות שנות הנחות מובנות.
האם פורטים ידועים מאובטחים יותר מפורטים בעלי מספר גבוה?
לא. הפעלת שירותים על פורטים לא צפויים מספקת הגנה מינימלית — תוקפים סורקים את כל הפורטים, לא רק את הידועים. דרישת ההרשאות לפורטים נמוכים מספקת הגנה מסוימת במערכות Unix, אך מספר הפורט עצמו אינו הופך שירות למאובטח יותר או פחות.
האם דף זה היה מועיל?