¿Que é a exploración do porto? É semellante a un ladrón que percorre o seu barrio e comproba cada porta e fiestra de cada casa para ver cales están abertos e cales están bloqueados.
TCP ( Protocolo de control de transmisión ) e UDP (protocolo de datagrama do usuario) son dous dos protocolos que compoñen a suite de protocolo TCP / IP que se usa universalmente para comunicarse en Internet. Cada un destes ten os portos 0 a 65535 dispoñibles, polo que basicamente hai máis de 65.000 portas para bloquear.
Os primeiros 1024 portos TCP chámanse os Portos coñecidos e están asociados a servizos estándar como FTP, HTTP, SMTP ou DNS . Algunhas das direccións de máis de 1023 tamén teñen servizos comúnmente asociados, pero a maioría destes portos non están asociados a ningún servizo e están dispoñibles para un programa ou aplicación para comunicarse.
Como funciona o escaneo portuario
O software de escaneo de portas, no seu estado máis básico, simplemente envía unha solicitude para conectarse á computadora obxecto de destino en cada porto de xeito secuencial e fai unha nota de que portas responderon ou parecen abrirse a unha exploración máis aprofundada.
Se o escaneo de porto está a ser feito con intención maliciosa, o intruso xeralmente prefire non ser detectado. As aplicacións de seguridade de rede pódense configurar para alertar aos administradores se detectan as solicitudes de conexión a través dun amplo intervalo de portos desde un servidor único. Para evitar isto, o intruso pode facer o escaneo de portas en modo estroboscópico ou de fogo. Strobing limita os portos a un obxecto de destino máis pequeno en vez de manexar o escaneo de todos os portos 65536. O escaneo Stealth usa técnicas como a desaceleración da comprobación. Ao escoitar os portos durante un período moito máis longo reducirá a posibilidade de que o obxectivo accione unha alerta.
Ao configurar distintas bandeiras TCP ou enviar distintos tipos de paquetes TCP, a exploración de portas pode xerar resultados diferentes ou localizar os portos abertos de diferentes xeitos. Un escaneo SYN informará ao escáner do porto que están a escoitar os portos e que non dependen do tipo de resposta xerada. Unha análise FIN xerará unha resposta de portos pechados, pero os portos que están abertos e escoitados non enviarán resposta, polo que o escáner do porto poderá determinar que portos están abertos e cales non.
Existen varios métodos diferentes para realizar as exploracións de portos reais, así como tamén trucos para ocultar a verdadeira fonte dunha exploración de portos. Podes ler máis sobre algúns deles visitando estes sitios web: exploración de portas ou sondas de rede explicadas.
Como monitorear os escaneos portuarios
É posible controlar a súa rede para os escaneos de portos. O truco, como a maioría das cousas na seguridade da información , é atopar o bo equilibrio entre o rendemento da rede ea seguridade na rede. Podería controlar os escaneos SYN rexistrando calquera intento de enviar un paquete SYN a un porto que non estea aberto ou escoitando. Non obstante, en vez de ser avisado cada vez que ocorre un único intento e, posiblemente, espertar no medio da noite por un erro inocente, debes decidir os limiares para activar a alerta. Por exemplo, pode dicir que se hai máis de 10 intentos de paquetes SYN para non escoitar os portos nun minuto dado que se debe activar unha alerta. Podería deseñar filtros e trampas para detectar unha variedade de métodos de escaneo de portes, vendo un ponto nos paquetes FIN ou só un número anómalo de intentos de conexión dunha variedade de portos e / ou enderezos IP desde unha única fonte de IP.
Para axudar a garantir que a súa rede está protexida e protexida, pode que desexe realizar os seus propios escaneos portuarios. Unha gran advertencia aquí é asegurar que teña a aprobación de todos os poderes que hai antes de embarcar neste proxecto para que non te atopes no lado equivocado da lei. Para obter resultados precisos, pode ser mellor realizar a exploración de portos desde unha localización remota usando equipos non empresariais e un ISP diferente . Usando un programa como NMap pode escanear un rango de enderezos IP e portos e descubrir o que un atacante vería se fosen para explorar a súa rede. NMap, en particular, permítelle controlar case todos os aspectos da comprobación e realizar varios tipos de exploracións de portas para atender ás súas necesidades.
Unha vez que descubra que portos responden como abertos polo porto que escanea a súa propia rede, pode comezar a traballar para determinar se é realmente necesario para que estes portos sexan accesibles desde fóra da súa rede. Se non son necesarios, debes apagar ou bloquear. Se son necesarios, podes comezar a investigar cales son os tipos de vulnerabilidades e explotacións que a túa rede está aberta ao ter estes portos accesibles e traballar para aplicar os parches ou mitigacións apropiados para protexer a túa rede o máximo posible.