Cos'è la scansione delle porte? È simile a un ladro che attraversa il tuo quartiere e controlla ogni porta e finestra di ogni casa per vedere quali sono aperte e quali sono chiuse.
TCP (Transmission Control Protocol) e UDP (User Datagram Protocol) sono due dei protocolli che compongono la suite di protocolli TCP / IP, universalmente utilizzata per comunicare su Internet. Ognuna di queste ha le porte da 0 a 65535 disponibili, quindi essenzialmente ci sono più di 65,000 porte da bloccare.
Come funziona la scansione delle porte
Il software di scansione delle porte, nel suo stato più elementare, invia una richiesta di connessione al computer di destinazione su ciascuna porta in sequenza e prende nota di quali porte hanno risposto o sembravano aperte a un sondaggio più approfondito.
Se il port scan è dannoso, l'intruso generalmente preferisce non essere rilevato. È possibile configurare le applicazioni di sicurezza di rete per avvisare gli amministratori se rilevano richieste di connessione su un'ampia gamma di porte da un singolo host.
Per aggirare questo problema, l'intruso può eseguire la scansione delle porte in modalità strobo o invisibile. Lo stroboscopio limita le porte a un set di destinazione più piccolo anziché la scansione globale di tutte le 65536 porte. La scansione invisibile utilizza tecniche come il rallentamento della scansione. Scansionando le porte per un periodo prolungato, riduci la possibilità che il bersaglio attivi un avviso.
Impostando diversi flag TCP o inviando diversi tipi di pacchetti TCP, la scansione delle porte può generare risultati diversi o individuare le porte aperte in modi diversi. Una scansione SYN dirà al port scanner quali porte sono in ascolto e quali non dipendono dal tipo di risposta generata. Una scansione FIN creerà una risposta dalle porte chiuse, ma le porte aperte e l'ascolto non saranno r, quindi il port scanner sarà in grado di determinare quali porte sono aperte e quali no.
Esistono diversi metodi per eseguire le scansioni delle porte effettive, nonché trucchi per nascondere l'origine di una scansione delle porte.
Come monitorare le scansioni delle porte
È possibile monitorare la rete per le scansioni delle porte. Il trucco, come per la maggior parte delle cose nella sicurezza delle informazioni, è trovare il giusto equilibrio tra prestazioni di rete e sicurezza di rete.
È possibile monitorare le scansioni SYN registrando qualsiasi tentativo di inviare un pacchetto SYN a una porta che non è aperta o in ascolto. Tuttavia, invece di essere avvisato ogni volta che si verifica un singolo tentativo, decidere le soglie per attivare l'avviso. Ad esempio, potresti dire che un avviso dovrebbe attivarsi se ci sono più di 10 tentativi di pacchetti SYN su porte non in ascolto in un dato minuto.
È possibile progettare filtri e trap per rilevare una varietà di metodi di scansione delle porte, osservando un picco nei pacchetti FIN o solo un numero insolito di tentativi di connessione a un intervallo di porte o indirizzi IP da una singola origine IP.
Per garantire che la tua rete sia protetta e sicura, potresti voler eseguire le tue scansioni delle porte. Un avvertimento importante qui è assicurarti di avere l'approvazione di tutti i poteri che sono prima di intraprendere questo progetto per evitare di trovarti dalla parte sbagliata della legge.
Per ottenere i risultati più accurati, eseguire la scansione delle porte da una posizione remota utilizzando apparecchiature non aziendali e un ISP diverso. Usando software come Nmap, puoi scansionare un intervallo di indirizzi IP e porte e scoprire cosa vedrebbe un utente malintenzionato se eseguisse la scansione delle porte della tua rete. NMap, in particolare, consente di controllare quasi ogni aspetto della scansione ed eseguire vari tipi di scansioni delle porte per soddisfare le proprie esigenze.
Una volta scoperto quali porte rispondono come aperte dalla scansione delle porte della rete, puoi iniziare a lavorare per determinare se tali porte devono essere accessibili dall'esterno della rete. Se non sono necessari, dovresti spegnerli o bloccarli. Se sono necessarie, puoi iniziare a ricercare i tipi di vulnerabilità e exploit a cui è aperta la tua rete rendendo accessibili queste porte e lavorando per applicare le patch o la mitigazione appropriate per proteggere la tua rete il più possibile.