HTG vysvetľuje Čo je to scanovanie portov?
Skenovanie portov je trochu ako rozoskakovanie zväzkov kľučiek, aby ste zistili, ktoré dvere sú zamknuté. Skener sa dozvie, ktoré porty sú na routeru alebo bráne firewall otvorené, a môže použiť tieto informácie na vyhľadanie potenciálnych slabých stránok počítačového systému.
Čo je to port?
Keď sa zariadenie pripája k inému zariadeniu prostredníctvom siete, určuje číslo portu TCP alebo UDP od 0 do 65535. Niektoré porty sa však používajú častejšie. TCP porty 0 až 1023 sú "dobre známe porty", ktoré poskytujú systémové služby. Napríklad port 20 je prenos súborov FTP, port 22 je pripojenie terminálu Secure Shell (SSH), port 80 je štandardný webový prenos HTTP a port 443 je zašifrovaný protokol HTTPS. Keď sa teda pripojíte na bezpečnú webovú stránku, váš webový prehliadač rozpráva s webovým serverom, ktorý počúva na portu 443 daného servera.
Služby nie vždy musia byť spustené na týchto špecifických portoch. Môžete napríklad spustiť webový server HTTPS na portu 32342 alebo server Secure Shell na portu 65001, ak sa vám páči. Toto sú len štandardné predvolené hodnoty.
Čo je port Scan?
Kontrola portov je proces kontroly všetkých portov na adrese IP, aby sa zistilo, či sú otvorené alebo zatvorené. Port-scanning softvér by overil port 0, port 1, port 2 a celú cestu až do portu 65535. Robí to tým, že jednoducho pošle požiadavku na každý port a požiada o odpoveď. V najjednoduchšej podobe sa softvér port-scanning spýta na každý port, jeden po druhom. Vzdálený systém odpovie a povie, či je port otvorený alebo zatvorený. Osoba spustená pri skenovaní portu potom vie, ktoré porty sú otvorené.
Akékoľvek sieťové brány firewall môžu zablokovať alebo inak znižovať návštevnosť, takže scan portu je tiež spôsob, ako nájsť, ktoré porty sú prístupné alebo sú vystavené sieti na tomto vzdialenom systéme.
Nástroj nmap je spoločný sieťový nástroj, ktorý sa používa na skenovanie portov, ale existuje mnoho ďalších nástrojov na skenovanie portov.
Prečo ľudia spustia kontrolu portov?
Skenovanie portov je užitočné pri určovaní zraniteľnosti systému. Port scan by povedal útočníkovi, ktoré porty sú otvorené v systéme, čo by im pomohlo formulovať plán útoku. Napríklad, ak bol detekovaný server Secure Shell (SSH) ako počúvanie na portu 22, útočník by sa mohol pokúsiť pripojiť a skontrolovať slabé heslá. Ak iný typ servera počúva na inom porte, útočník by sa na to mohol pokúsiť a zistiť, či existuje chyba, ktorá môže byť zneužitá. Pravdepodobne ide o starú verziu softvéru a je tu známy bezpečnostný otvor.
Tieto typy skenov môžu tiež pomôcť odhaliť služby bežiace na neštandardných portoch. Ak teda používate server SSH na portu 65001 namiesto portu 22, kontrola portu to odhalí a útočník by sa mohol pokúsiť pripojiť k vášmu SSH serveru na danom portu. Nemôžete skryť server na inom než predvolenom porte, aby ste zabezpečili systém, hoci to robí server ťažšie nájsť.
Skenovanie portov nie sú používané iba útočníkmi. Skenovanie portov je užitočné pre defenzívne prenikanie testovania. Organizácia dokáže skenovať vlastné systémy, aby určila, ktoré služby sú vystavené sieti, a zabezpečia, aby boli nakonfigurované bezpečne.
Ako nebezpečné sú porty?
Skenovanie portov môže pomôcť útočníkovi nájsť slabý bod na útok a preniknutie do počítačového systému. Je to však len prvý krok. Len preto, že ste našli otvorený port, neznamená, že ho môžete napadnúť. Ale akonáhle nájdete otvorený port, na ktorom beží služba počúvania, môžete ho skontrolovať ako zraniteľnosť. To je skutočné nebezpečenstvo.
Vo vašej domácej sieti máte takmer určite router medzi vami a internetom. Niekto na internete bude môcť skenovať iba smerovač a nenašli by nič okrem potenciálnych služieb na samotnom routeri. Tento smerovač funguje ako brána firewall - ak ste nepredali jednotlivé porty zo smerovača na zariadenie, v takom prípade sú tieto špecifické porty vystavené na internete.
V prípade počítačových serverov a podnikových sietí môžu byť firewally nakonfigurované tak, aby detegovali detekciu portov a zablokovali prevádzku z adresy, ktorá je skenovaná. Ak sú všetky služby vystavené na internete bezpečne nakonfigurované a nemajú žiadne známe bezpečnostné otvory, skenovanie portov by nemalo byť ani príliš hrozné.
Typy portov
Pri skenovaní portu "TCP plné pripojenie" skener odosiela správu SYN (žiadosť o pripojenie) k portu. Ak je port otvorený, vzdialený systém odpovie správou SYN-ACK (potvrdenie). Skener reaguje na svoju vlastnú správu ACK (potvrdenie). Toto je úplné ovládanie pripojenia TCP a skener vie, že systém akceptuje pripojenia na port, ak sa tento proces uskutoční.
Ak je port zatvorený, vzdialený systém bude reagovať pomocou správy RST (reset). Ak sa vzdialený systém práve nenachádza v sieti, nedôjde k žiadnej odpovedi.
Niektoré skenery vykonávajú skenovanie "TCP polovične otvorené". Namiesto toho, aby prechádzali celým cyklom SYN, SYN-ACK a potom ACK, jednoducho poslali SYN a čakali na odpoveď správy SYN-ACK alebo RST. Nie je potrebné posielať konečné ACK na dokončenie pripojenia, pretože SYN-ACK by povedal skenerovi všetko, čo potrebuje vedieť. Je to rýchlejšie, pretože je potrebné odoslať menej paketov.
Iné typy skenov zahŕňajú odosielanie cudzích, chybných typov paketov a čakanie na to, či vzdialený systém vráti paket RST, ktorý uzatvára spojenie. Ak tak urobí, skener vie, že na danom mieste je vzdialený systém a že na ňom je uzavretý jeden konkrétny port. Ak nie je prijatý žiadny paket, skener vie, že port musí byť otvorený.
Jednoduchá kontrola portov, kde softvér požaduje informácie o každom portu, je jeden po druhom ľahko rozpoznateľný. Sieťové brány firewall môžu byť ľahko konfigurované tak, aby detekovali a zastavili toto správanie.
Preto niektoré techniky skenovania portov fungujú inak. Napríklad scan portu mohol skenovať menšiu škálu portov alebo by mohol skenovať celý rozsah portov počas oveľa dlhšieho obdobia, takže by bolo ťažšie rozpoznať.
Skenovanie prístavov je základným bezpečnostným nástrojom na chlieb a maslo, pokiaľ ide o prenikanie (a zabezpečenie) počítačových systémov. Ale sú to len nástroje, ktoré umožňujú útočníkom nájsť porty, ktoré môžu byť napadnuté. Neposkytujú útočníkovi prístup k systému a bezpečne nakonfigurovaný systém môže určite vydržať úplnú kontrolu portu bez poškodenia.
Obrazový kredit: xfilephotos / Shutterstock.com, Casezy idea / Shutterstock.com.