Cos'è la scansione delle porte? È simile a un ladro che attraversa il tuo quartiere e controlla ogni porta e finestra di ogni casa per vedere quali sono aperti e quali sono bloccati.
TCP (Transmission Control Protocol) e UDP (User Datagram Protocol) sono due dei protocolli che costituiscono la suite di protocolli TCP / IP che viene utilizzata universalmente per comunicare su Internet. Ognuno di questi ha le porte da 0 a 65535 disponibili, quindi essenzialmente ci sono più di 65.000 porte da bloccare.
Le prime 1024 porte TCP sono chiamate Porte conosciute e sono associate a servizi standard come FTP, HTTP, SMTP o DNS. Alcuni degli indirizzi oltre 1023 hanno anche servizi comunemente associati, ma la maggior parte di queste porte non è associata a nessun servizio e sono disponibili per un programma o un'applicazione da utilizzare per comunicare.
Come funziona Port Scanning
Il software di scansione delle porte, nel suo stato più elementare, invia semplicemente una richiesta per connettersi al computer di destinazione su ogni porta in sequenza e prende nota di quali porte hanno risposto o sembrano aperte a sondaggi più approfonditi.
Se la scansione delle porte viene eseguita con intenzioni malevole, l'intruso generalmente preferisce non essere rilevato. Le applicazioni di sicurezza di rete possono essere configurate per avvisare gli amministratori se rilevano richieste di connessione su un ampio intervallo di porte da un singolo host. Per aggirare questo problema, l'intruso può eseguire la scansione della porta in modalità stroboscopica o invisibile. Lo strobing limita le porte a un set di target più piccolo anziché a una scansione coperta di tutte le 65536 porte. La scansione invisibile usa tecniche come il rallentamento della scansione. Scansionando le porte per un periodo di tempo molto più lungo si riduce la possibilità che il target inneschi un allarme.
Impostando diversi flag TCP o inviando diversi tipi di pacchetti TCP, port scan può generare risultati diversi o individuare porte aperte in modi diversi. Una scansione SYN dirà al port scanner quali porte sono in ascolto e quali non dipendono dal tipo di risposta generata. Una scansione FIN genererà una risposta da porte chiuse, ma le porte aperte e in ascolto non invieranno una risposta, quindi lo scanner della porta sarà in grado di determinare quali porte sono aperte e quali no.
Esistono diversi metodi per eseguire le scansioni delle porte effettive e trucchi per nascondere la vera origine di una scansione delle porte.
Come monitorare per Port Scans
È possibile monitorare la rete per le scansioni delle porte. Il trucco, come nella maggior parte degli aspetti della sicurezza delle informazioni, è trovare il giusto equilibrio tra prestazioni della rete e sicurezza della rete. È possibile monitorare le scansioni SYN registrando qualsiasi tentativo di inviare un pacchetto SYN a una porta che non è aperta o in ascolto. Tuttavia, piuttosto che essere allertati ogni volta che si verifica un singolo tentativo - ed eventualmente essere risvegliati nel cuore della notte per un errore altrimenti innocente - dovresti decidere sulle soglie per attivare l'allarme. Ad esempio, si potrebbe dire che se ci sono più di 10 pacchetti SYN che tentano di raggiungere le porte non in ascolto in un determinato minuto, è necessario attivare un avviso. È possibile progettare filtri e trap per rilevare una varietà di metodi di scansione delle porte, osservare un picco nei pacchetti FIN o solo un numero anomalo di tentativi di connessione a una varietà di porte e / o indirizzi IP da un'unica fonte IP.
Per garantire che la tua rete sia protetta e protetta, potresti voler eseguire le tue scansioni della porta. UN MAGGIORE Il caveat qui è quello di assicurarsi di avere l'approvazione di tutti i poteri che sono prima di intraprendere questo progetto per timore di trovarti dalla parte sbagliata della legge. Per ottenere risultati accurati, è consigliabile eseguire la scansione delle porte da una postazione remota utilizzando apparecchiature non aziendali e un ISP diverso. Usando un software come Nmap, puoi scansionare un intervallo di indirizzi IP e porte e scoprire cosa vedrebbe un attaccante se effettuasse la scansione della tua rete. In particolare, NMap consente di controllare quasi tutti gli aspetti della scansione ed eseguire vari tipi di scansioni della porta in base alle proprie esigenze.
Una volta individuate le porte che rispondono come aperte dalla porta di scansione della propria rete, è possibile iniziare a lavorare per determinare se è effettivamente necessario per quelle porte essere accessibili dall'esterno della tua rete. Se non sono necessari, è necessario chiuderli o bloccarli. Se sono necessari, è possibile iniziare a ricercare quali tipi di vulnerabilità e exploit a cui la propria rete è aperta, avendo queste porte accessibili e lavorare per applicare le patch appropriate o la mitigazione per proteggere il più possibile la rete.
