Mi a portszkennelés? Olyan, mint egy tolvaj, aki átmegy a környéken és ellenőrzi minden házon minden ajtót és ablakot, hogy lássa, melyik nyitva van és melyiket zárják.
A TCP ( Transmission Control Protocol ) és az UDP (User Datagram Protocol) két olyan protokoll, amely a TCP / IP protokollcsomagot alkotja, és amelyet általánosan használnak az interneten történő kommunikációhoz. Mindegyiknek van 0 - 65535-as portja, így lényegében több, mint 65 000 ajtó zárható.
Az első 1024 TCP portot jól ismert portoknak nevezik, és szabványos szolgáltatásokhoz kapcsolódik, például FTP, HTTP, SMTP vagy DNS . Az 1023-as feletti címek egy része általában társított szolgáltatásokkal is rendelkezik, de ezeknek a portoknak a többsége nem kapcsolódik semmilyen szolgáltatáshoz, és elérhető egy olyan programhoz vagy alkalmazáshoz, amelyen kommunikálni kíván.
Hogyan működik a portszkennelés
A portszkennelési szoftver a legegyszerűbb állapotban egyszerűen elküldi a kérést, hogy egymás után minden egyes portra csatlakozzon a célszámítógépen, és feljegyzi, hogy mely portok válaszoltak vagy nyitottabbá váltak a mélyebb próba céljára.
Ha a portkeresést rosszindulatú szándékkal végzik, az betolakodó általában inkább észre sem veszi. A hálózati biztonsági alkalmazások úgy konfigurálhatók, hogy figyelmeztessék az adminisztrátorokat, ha egy adott állomáson a portok széles választékán keresztül észlelik a kapcsolódási kéréseket. Ennek megkerülése érdekében a betolakodó elvégezheti a portkeresést strobe vagy lopakodó módban. A Strobing korlátozza a portokat egy kisebb célkészletre, nem pedig az összes 65536-os portra. Stealth szkennelés olyan technikákat használ, mint a leolvasás lassítása. Ha a portokat hosszú időn keresztül átvizsgálja, csökkenti azt a lehetőséget, hogy a cél figyelmeztetést indítson.
Más TCP- jelzők beállításával vagy különböző típusú TCP-csomagok küldésével a port-vizsgálat különböző eredményeket hozhat létre, vagy különböző módon megkeresheti a nyitott portokat. A SYN-szkennelés megmondja a portszkennernek, hogy mely portok hallgatnak, és amelyek nem függenek a generált válasz típusától. A FIN-vizsgálat a zárt portoktól fog válaszolni, de a nyitott és a hallgatható portok nem küldnek választ, így a portszkenner képes lesz meghatározni, hogy mely portok vannak nyitva, és amelyek nem.
Számos különböző módszer létezik a tényleges portfelvételek végrehajtására, valamint trükkökre, hogy elrejtse a port keresésének valódi forrását. Többet is megtudhat ezekről a weboldalakról: Port Scanning vagy Network Probes Explained.
Hogyan kell figyelni a portok vizsgálatához
Lehetőség van arra, hogy a port figyelje a hálózatot. A trükk, mint az információbiztonság legtöbb dologja, megtalálja a megfelelő egyensúlyt a hálózati teljesítmény és a hálózati biztonság között. A SYN-beolvasásokat felügyelheti, ha naplóz egy SYN csomagot egy olyan portra, amely nem nyitott vagy hallgatott. Azonban ahelyett, hogy riasztásra kerülne minden egyes alkalommal, amikor egyetlen kísérlet fordul elő - és valószínűleg felébred az éjszaka közepén egy másként ártatlan hiba esetén - el kell döntenie a riasztási küszöbértékekről. Például azt mondhatjuk, hogy ha egy adott percben több mint 10 SYN csomag próbálkozik a nem hallgatható portokkal, akkor egy riasztást kell aktiválni. Szűrőket és csapdákat hozhat létre, hogy felismerje a portok vizsgálatának módszereit - figyeljen a FIN csomagok tüskéjére, vagy csak anomális számú kapcsolódási kísérletet végez különböző portokra és / vagy IP-címekre egyetlen IP forrásból.
Annak érdekében, hogy a hálózat védett és biztonságos legyen, lehet, hogy saját portfelvételeket kíván végrehajtani. A legfontosabb óvintézkedés itt, hogy biztosítsa a jóváhagyást minden olyan hatáskörrel, amely előtt elkezdheti ezt a projektet, nehogy megtalálja magát a törvény rossz oldalán. Pontos eredmények elérése érdekében előfordulhat, hogy a port-vizsgálatot távoli helyről a nem vállalati berendezések és egy másik internetszolgáltató segítségével végezzük. Olyan szoftverek használatával, mint például az NMAP, IP-címek és portok skáláját is beolvashatjuk, és megtudhatjuk, hogy a támadó hogyan látja majd, ha portra szeretnének szkennelni a hálózatot. Az NMAP különösen lehetővé teszi a szkennelés szinte minden aspektusának ellenőrzését, és különböző típusú portkereséseket végez az igényeinek megfelelően.
Miután megtudja, hogy a kikötők miként reagálnak a saját hálózatának szkennelésével nyitott porton, elkezdheti meghatározni, hogy valóban szükséges- e ezeknek a portoknak a hálózatán kívülről elérni. Ha nem feltétlenül szükséges, zárja le vagy tiltsa le őket. Ha szükséges, akkor elkezdheti kutatni, hogy milyen típusú biztonsági rések és kihasználja a hálózatot, nyitva áll ahhoz, hogy ezek a portok elérhetők legyenek, és a megfelelő javítások vagy mérséklések alkalmazásával dolgozhassanak a hálózat védelme érdekében.