Úvod do skenování portů v zabezpečení sítě

Co je skenování portů? Je to podobné, jako když zloděj prochází vaším sousedstvím a kontroluje každé dveře a okna v každém domě, aby zjistil, které jsou otevřené a které zamčené.

TCP (Transmission Control Protocol) a UDP (User Datagram Protocol) jsou dva z protokolů, které tvoří sadu protokolů TCP / IP, která se univerzálně používá ke komunikaci na internetu. Každý z nich má k dispozici porty 0 až 65535, takže v zásadě existuje více než 65,000 XNUMX dveří, které lze zamknout.


Jak funguje skenování portů

Software pro skenování portů ve svém nejzákladnějším stavu postupně odesílá požadavek na připojení k cílovému počítači na každém portu a zaznamenává, které porty reagovaly nebo se zdály otevřené podrobnějšímu zkoumání.

Pokud je skenování portu škodlivé, vetřelec by raději zůstal nezjištěný. Můžete nakonfigurovat aplikace zabezpečení sítě tak, aby varovaly administrátory, pokud detekují požadavky na připojení přes širokou škálu portů z jednoho hostitele.

Aby to obešel, může vetřelec provést skenování portů ve stroboskopickém nebo tajném režimu. Strobing omezuje porty na menší cílovou sadu než na plošné skenování všech 65536 portů. Tajné skenování používá techniky, jako je zpomalení skenování. Skenováním portů po delší dobu snížíte pravděpodobnost, že cíl spustí výstrahu.

Nastavením různých příznaků TCP nebo odesláním různých typů paketů TCP může skenování portů generovat různé výsledky nebo vyhledávat otevřené porty různými způsoby. Skenování SYN řekne skeneru portů, jaké porty naslouchají a které nejsou závislé na typu generované odpovědi. Prohledávání FIN vytvoří odpověď z uzavřených portů, ale otevřené porty a naslouchání nebudou r, takže skener portů bude schopen určit, které porty jsou otevřené a které ne.

Existuje několik různých metod pro provedení skutečných prohledávání portů, stejně jako triky pro skrytí zdroje prohledávání portů.

Jak sledovat skenování portů

Je možné monitorovat vaši síť kvůli skenování portů. Trik, stejně jako u většiny věcí v oblasti zabezpečení informací, spočívá v nalezení správné rovnováhy mezi výkonem sítě a bezpečností sítě.

Můžete sledovat skenování SYN tak, že zaznamenáte jakýkoli pokus o odeslání paketu SYN na port, který není otevřený nebo neposlouchá. Místo upozornění na pokaždé, když dojde k jednomu pokusu, rozhodněte se však o prahových hodnotách pro spuštění výstrahy. Můžete například říci, že výstraha by se měla spustit, pokud za danou minutu dojde k více než 10 pokusům o pakety SYN na neposlouchající porty.

Můžete navrhnout filtry a pasti pro detekci různých metod skenování portů, sledování špiček v paketech FIN nebo jen neobvyklý počet pokusů o připojení k řadě portů nebo adres IP z jednoho zdroje IP.

Chcete-li zajistit, aby byla vaše síť chráněna a zabezpečena, možná budete chtít provést vlastní skenování portů. Hlavní výhradou je zajistit, abyste měli souhlas všech pravomocí, které mají být před zahájením tohoto projektu, abyste se ocitli na nesprávné straně zákona.

Chcete-li získat co nejpřesnější výsledky, proveďte skenování portů ze vzdáleného umístění pomocí zařízení jiných společností a jiného poskytovatele internetových služeb. Pomocí softwaru, jako je Nmap, můžete skenovat celou řadu adres IP a portů a zjistit, co by útočník viděl, pokud by port skenoval vaši síť. NMap zejména umožňuje ovládat téměř všechny aspekty skenování a provádět různé typy skenování portů, aby vyhovovaly vašim potřebám.

Jakmile zjistíte, které porty reagují na to, že jsou otevřené skenováním portů vaší sítě, můžete začít pracovat na určení, zda tyto porty musí být přístupné z vnějšku vaší sítě. Pokud nejsou požadovány, měli byste je vypnout nebo zablokovat. Pokud jsou potřeba, můžete začít zkoumat, jaké druhy zranitelností a zneužití je vaše síť otevřená, tím, že tyto porty zpřístupníte a budete pracovat na použití příslušných oprav nebo zmírnění, abyste svou síť co nejvíce chránili.