Què és l'exploració del port? És similar a un lladre que passa pel vostre veïnat i comprova cada porta i finestra de cada casa per veure quins estan oberts i quins estan tancats.
TCP (protocol de control de transmissió) i UDP (protocol de dades de l'usuari) són dos dels protocols que conformen el paquet de protocol TCP / IP que s'utilitza de forma universal per comunicar-se a Internet. Cadascun d'aquests té disponibles els ports 0 a 65535, de manera que, essencialment, hi ha més de 65.000 portes de bloqueig.
Els primers 1024 ports TCP s'anomenen els ports ben coneguts i estan associats amb serveis estàndard com FTP, HTTP, SMTP o DNS. Algunes de les adreces de més de 1023 també tenen serveis comunament associats, però la majoria d'aquests ports no estan associats a cap servei i estan disponibles per a un programa o aplicació a utilitzar per comunicar-se.
Com funciona el blocatge de ports
El programari d'escaneig de ports, en el seu estat més bàsic, simplement envia una sol · licitud per connectar-se a l'equip objectiu en cada port de forma seqüencial i fa una nota de quins ports han respost o semblen obert a sondes més detallades.
Si l'exploració del port s'està realitzant amb intencions malicioses, l'intrús preferiria generalment no detectar-se. Les aplicacions de seguretat de xarxa es poden configurar per alertar els administradors si detectaven sol·licituds de connexió en un ampli rang de ports des d'un sol host. Per evitar això, l'intrús pot fer l'exploració del port en mode estroboscòpic o sigil. Strobing limita els ports a un objectiu més petit en comptes de manejar l'escaneig dels 65536 ports. L'escaneig de Stealth utilitza tècniques com la ralentització de l'escaneig. Si escanegeu els ports durant un període de temps molt més llarg, reduïu la probabilitat que l'objectiu activi una alerta.
En configurar diferents marques TCP o enviar diferents tipus de paquets TCP, l'exploració del port pot generar resultats diferents o localitzar ports oberts de diferents maneres. Un escàner SYN us dirà a l'escàner del port que escolta els ports i que no depèn del tipus de resposta generada. Una exploració FIN generarà una resposta de ports tancats, però els ports oberts i escoltats no enviaran resposta, de manera que l'escàner del port podrà determinar quins ports estan oberts i quins no.
Hi ha una sèrie de mètodes diferents per a realitzar les exploracions del port real, així com també trucs per amagar la veritable font d'una exploració de ports.
Com monitoritzar les exploracions de ports
És possible controlar la vostra xarxa per a exploracions de ports. El truc, com passa amb la majoria de les coses en la seguretat de la informació, és trobar l'equilibri adequat entre el rendiment de la xarxa i la seguretat de la xarxa. Podeu fer el seguiment de les exploracions SYN en iniciar qualsevol intent d'enviar un paquet SYN a un port que no estigui oberta o escoltant. No obstant això, en comptes d'haver estat alertat cada vegada que es produeix un sol intent-i possiblement despertar-se enmig de la nit per un error d'una altra manera innocent-, hauríeu de decidir els llindars per activar l'alerta. Per exemple, podeu dir que si hi ha més de 10 intents de paquets SYN a ports no escoltants en un minut donat que s'hauria d'activar una alerta. Podríeu dissenyar filtres i trapes per detectar diversos mètodes d'exploració de ports, observant un augment dels paquets FIN o simplement un nombre anòmal d'intents de connexió a diversos ports i / o adreces IP des d'una única font IP.
Per ajudar a garantir que la vostra xarxa està protegida i protegida, és possible que vulgueu realitzar les vostres pròpies exploracions de ports. A MAJOR aquí es tracta d'assegurar-vos que tingueu l'aprovació de tots els poders que hi ha abans d'embarcar-se en aquest projecte per no trobar-vos al costat equivocat de la llei. Per obtenir resultats precisos, pot ser que sigui millor realitzar l'exploració de port des d'una ubicació remota utilitzant equips no comercials i un altre ISP. Utilitzant programari com Nmap, podeu escanejar un rang d'adreces IP i ports i descobrir què un atacant veuria si volgués escanejar la vostra xarxa. NMap, en particular, us permet controlar gairebé tots els aspectes de l'escaneig i realitzar diversos tipus d'exploracions de ports per satisfer les vostres necessitats.
Una vegada que esbrini quins ports respon que està obert per un port explorant la vostra pròpia xarxa, podeu començar a treballar per determinar si és en realitat necessari perquè aquests ports siguin accessibles des de fora de la vostra xarxa. Si no són necessaris, hauríeu de tancar-los o bloquejar-los. Si són necessaris, podeu començar a investigar quina vulnerabilitat i explotació de la vostra xarxa està oberta tenint aquests ports accessibles i treballar per aplicar els pegats o mitigacions adequats per protegir la vostra xarxa tant com sigui possible.
