HTG selittää, mikä on portin skannaus?
Sataman skannaus on vähän kuin jiggling joukko doorknobs nähdä, mitkä ovet on lukittu. Skanneri tietää, mitkä reitittimen tai palomuurin portit ovat auki, ja voi käyttää näitä tietoja löytääksesi tietokonejärjestelmän mahdolliset heikkoudet.
Mikä on portti?
Kun laite muodostaa yhteyden toiseen laitteeseen verkon kautta, se määrittää TCP- tai UDP-portin numeron 0 - 65535. Joitakin portteja käytetään kuitenkin useammin. TCP-portit 0 - 1023 ovat "tunnettuja portteja", jotka tarjoavat järjestelmäpalveluita. Esimerkiksi portti 20 on FTP-tiedostonsiirto, portti 22 on Secure Shell (SSH) -liitäntä, portti 80 on tavallinen HTTP-verkkoliikenne ja portti 443 on salattu HTTPS. Kun muodostat yhteyden suojattuun sivustoon, selaimesi puhuu web-palvelimelle, joka kuuntelee kyseisen palvelimen portissa 443.
Palveluilla ei aina tarvitse toimia näissä erityisissä satamissa. Voit esimerkiksi käyttää HTTPS-verkkopalvelinta portissa 32342 tai Secure Shell -palvelimessa portissa 65001, jos haluat. Nämä ovat vain vakioasetuksia.
Mikä on Port Scan?
Portin tarkistus on prosessi, jossa kaikki IP-osoitteen portit tarkistetaan, onko ne auki tai suljettu. Portin skannausohjelma tarkistaa portin 0, portin 1, portin 2 ja koko portin 65535 läpi. Se tekee tämän lähettämällä pyynnön jokaiselle portille ja pyytämällä vastausta. Yksinkertaisimmassa muodossaan portin skannausohjelma kysyy jokaisesta portista, yksi kerrallaan. Etäjärjestelmä vastaa ja sanoo, onko portti auki tai suljettu. Portin skannauksen suorittava henkilö tietää sitten, mitkä portit ovat auki.
Kaikki verkon palomuurit saattavat estää tai muuten pudottaa liikennettä, joten portin skannaus on myös tapa löytää, mitkä portit ovat ulottuvilla tai altistuneet verkolle kyseisellä etäjärjestelmällä.
Nmap-työkalu on yleinen verkkoapuohjelma, jota käytetään portin skannaukseen, mutta on monia muita porttiskannaustyökaluja.
Miksi ihmiset ajavat porttiskannauksia?
Portin skannaukset ovat hyödyllisiä järjestelmän haavoittuvuuksien määrittämisessä. Sataman skannaus kertoo hyökkääjälle, mitkä satamat ovat auki järjestelmässä, ja joka auttaisi heitä laatimaan hyökkäyssuunnitelman. Jos esimerkiksi SSH (Secure Shell) -palvelin havaittiin kuuntelemalla portissa 22, hyökkääjä voisi yrittää muodostaa yhteyden ja tarkistaa heikko salasanan. Jos toisen tyyppinen palvelin kuuntelee toisessa portissa, hyökkääjä voi pistää siihen ja nähdä, onko olemassa virhe, jota voidaan hyödyntää. Ehkä vanha ohjelmistoversio on käynnissä, ja siellä on tunnettu tietoturva.
Tämäntyyppiset skannaukset voivat myös auttaa havaitsemaan muita kuin oletusportteja käyttäviä palveluita. Jos siis käytät SSH-palvelinta portissa 65001 portin 22 sijasta, portin skannaus paljastaisi tämän, ja hyökkääjä voisi yrittää muodostaa yhteyden SSH-palvelimeen kyseisellä portilla. Et voi vain piilottaa palvelinta ei-oletusportissa suojataaksesi järjestelmän, vaikka se tekee palvelimesta vaikeamman löytää.
Hyökkääjät eivät käytä portin skannauksia. Sataman skannaukset ovat hyödyllisiä suojaavassa testauksessa. Organisaatio voi skannata omat järjestelmät selvittääkseen, mitkä palvelut ovat alttiina verkolle ja varmistavat, että ne on määritetty turvallisesti.
Kuinka vaaralliset ovat porttiskannauksia?
Porttiskannaus voi auttaa hyökkääjää löytämään heikkon paikan hyökätä ja murtautua tietokonejärjestelmään. Se on kuitenkin vain ensimmäinen askel. Vain siksi, että olet löytänyt avoimen portin, ei tarkoita, että voit hyökätä sitä. Mutta kun olet löytänyt avoimen portin, jossa on kuuntelupalvelu, voit skannata sen haavoittuvuuksia varten. Se on todellinen vaara.
Kotiverkossasi on lähes varmasti reititin, joka istuu sinun ja Internetin välillä. Joku Internetissä voisi vain skannata reitittimesi ja he eivät löydä mitään reitittimen mahdollisista palveluista syrjään. Tämä reititin toimii palomuurina, ellei olet lähettänyt yksittäisiä portteja reitittimestä laitteeseen, jolloin nämä tietyt portit ovat alttiina Internetille.
Tietokonepalvelimissa ja yritysverkoissa palomuurit voidaan määrittää tunnistamaan portin skannaukset ja estämään skannauksen kohteena olevan osoitteen liikenne. Jos kaikki Internetiin altistuvat palvelut on määritetty turvallisesti eikä niillä ole tunnettuja tietoturva-aukkoja, porttien skannaukset eivät saa edes olla liian pelottavia.
Portin skannausten tyypit
”TCP full connection” -portin skannauksessa skanneri lähettää SYN (yhteyspyyntö) -sanoman porttiin. Jos portti on auki, etäjärjestelmä vastaa SYN-ACK (kuittaus) -viestiin. Skanneri ei vastaa omalla ACK (kuittaus) -viestillä. Tämä on täydellinen TCP-yhteyden kättely, ja skanneri tietää, että järjestelmä hyväksyy yhteydet portissa, jos tämä prosessi tapahtuu.
Jos portti on suljettu, etäjärjestelmä vastaa RST (reset) -viestillä. Jos etäjärjestelmä ei ole verkossa, vastausta ei löydy.
Jotkut skannerit suorittavat “TCP-puoliaukon” skannauksen. Sen sijaan, että käydään läpi koko SYN, SYN-ACK ja sitten ACK-sykli, ne vain lähettävät SYN: n ja odottavat SYN-ACK- tai RST-sanomaa vastauksena. Lopullista ACK: ta ei tarvitse lähettää yhteyden loppuun saattamiseksi, sillä SYN-ACK kertoo skannerille kaiken, mitä se tarvitsee tietää. Se on nopeampi, koska vähemmän paketteja on lähetettävä.
Muuntyyppisten skannausten yhteydessä lähetetään muukalaisia, väärin muotoiltuja pakettityyppejä ja odotetaan, onko etäjärjestelmä palauttanut yhteyden sulkeutuvan RST-paketin. Jos näin on, skanneri tietää, että kyseisessä paikassa on etäjärjestelmä, ja että yksi tietty portti on suljettu. Jos pakettia ei vastaanoteta, skanneri tietää, että portin on oltava auki.
Yksinkertainen, porttiskannaus, jossa ohjelmisto pyytää tietoja jokaisesta portista yksitellen, on helppo havaita. Verkon palomuurit voidaan helposti määrittää havaitsemaan ja lopettamaan tämän käyttäytymisen.
Siksi jotkut portin skannaustekniikat toimivat eri tavalla. Esimerkiksi portin skannaus voisi skannata pienemmän valikoiman portteja tai se voisi skannata koko porttivalikoiman paljon pidemmän ajanjakson aikana, joten olisi vaikeampi havaita portteja.
Sataman skannaus on perus-, leipää ja voita turvaava työkalu, kun kyse on tietotekniikkajärjestelmistä. Mutta he ovat vain työkalu, jonka avulla hyökkääjät löytävät satamat, jotka saattavat olla alttiita hyökkäykselle. He eivät anna hyökkääjälle pääsyä järjestelmään, ja turvallisesti konfiguroitu järjestelmä voi varmasti kestää koko portin skannauksen ilman haittaa.
Kuvaluotto: xfilephotos / Shutterstock.com, Casezy idea / Shutterstock.com.