Portar

Port 6379: Redis

I minnesdatalager. Farligt när det exponeras eftersom det ofta förutsätter betrodda nätverk.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 6379 är standardporten för Redis, ett datalager i minnet som ofta används för cachning, sessioner och köer. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

En Redis-server binder till 6379 och klienter ansluter från tillfälliga källportar, slutför TCP-handskakningen och utfärdar sedan enkla kommandon som GET och SET för att läsa och skriva nycklar. Redis är snabb delvis för att protokollet är enkelt och förutsätter en pålitlig nätverksmiljö som standard.

Det antagandet är säkerhetsproblemet: om port 6379 kan nås från opålitliga nätverk kan angripare ofta läsa data, ändra konfiguration eller missbruka Redis-funktioner för uthållighet och sidorörelse. I verkliga distributioner bör porten endast kunna nås från programnivån, skyddad med autentisering och ACL där det är tillgängligt, och övervakas för ovanliga kommandon och åtkomstmönster.

Hur det fungerar i stora drag

  1. Klienten ansluter och skickar kommandon som GET, SET och PUBLISH över en beständig TCP-anslutning.
  2. Servern bearbetar kommandon i minnet och returnerar små svar mycket snabbt.
  3. Valfri beständighet och replikering kan ansluta ytterligare noder, vilket utökar attackytan om den inte är segmenterad.

Konkret exempel

En webbapp lagrar sessionstokens i Redis. Om 6379 utsätts för internet kan en angripare räkna upp nycklar och stjäla sessioner, så den korrekta designen är privata subnät plus ACL och autentisering.

Varför det är viktigt

Redis exponering är hög risk eftersom en angripare ofta kan läsa känslig cachad data, manipulera programbeteende eller missbruka administrativa kommandon. Offentligt exponerade Redis har använts för kryptominering, datastöld och attacker i ransomware-stil.

Säkerhetsperspektiv

  • Behåll Redis på privata nätverk, kräver autentisering och använd TLS där det stöds.
  • Begränsa kommandon och konfigurera ACL:er för att begränsa vad klienter kan göra.
  • Övervaka för oväntade nycklar, replikeringsändringar och höga CPU-mönster som indikerar missbruk.

Vanliga fallgropar

  • Bindning Redis till 0.0.0.0 utan autentisering eller nätverkskontroller.
  • Att anta en icke-standardport eller obskyrt värdnamn ger säkerhet.
  • Lämna farliga kommandon aktiverade när de inte behövs.