Mi a kikötő?
Amikor egy eszköz csatlakozik egy másik eszközhöz egy hálózaton keresztül, akkor TCP- vagy UDP-portszámot ad 0-tól 65535-ig. Egyes portokat azonban gyakrabban használnak. A 0-1023-as TCP-portok "jól ismert portok", amelyek rendszerszolgáltatást nyújtanak. Például a 20-as port FTP fájl átvitel, a 22-es port a Secure Shell (SSH) terminál kapcsolatok, a 80-as port szabványos HTTP webforgalom, és a 443-as port titkosított HTTPS. Szóval, ha biztonságos webhelyre csatlakozik, a webböngésző a webszerverrel beszél, amely a kiszolgáló 443-as portján hallgat.
A szolgáltatások nem mindig kellenek ezeken a kikötőkön. Például futtathat egy HTTPS webszervert a 32342-es porton vagy a Secure Shell kiszolgálón a 65001-es porton, ha tetszett. Ezek csak a standard alapértelmezések.
Mi a Port Scan?
A portszkennelés egy folyamat, amely ellenőrzi az összes portot egy IP-címmel, hogy lássa, nyitott vagy zárt. A port-szkennelő szoftver ellenőrzi a 0. portot, az 1. portot, a 2. portot és egészen a 65535-es portig. Ezzel egyszerűen elküld egy kérést minden portra, és megkérdezi a választ. A legegyszerűbb formában a port-szkennelő szoftver mindegyik portról kérdez egyenként. A távoli rendszer reagál és kijelenti, hogy a port nyitott vagy zárt állapotban van-e. A kikötői beolvasást futtató személy tudná, hogy mely portok vannak nyitva.
Az esetleges hálózati tűzfalak blokkolhatják vagy más módon lehullhatják a forgalmat, így a portok beolvasása egy olyan módszer is, amely meg tudja találni, hogy mely portok érhetők el, vagy ki vannak téve a hálózatnak ezen a távoli rendszeren.
Az nmap eszköz egy közös hálózati eszköz, amelyet a portok szkennelésére használnak, de sok más portszkennelési eszköz létezik.
Miért futtatják az emberek a kikötői beolvasásokat?
A portfelvételek hasznosak a rendszer sebezhetőségeinek meghatározásához. A portszkennelés azt mondja meg egy támadónak, hogy mely portok vannak a rendszeren, és ez segítene nekik egy támadási terv kidolgozásában. Ha például egy Secure Shell (SSH) kiszolgálót észleltek hallgatásként a 22. porton, a támadó megpróbálhat csatlakozni és ellenőrizni a gyenge jelszavakat. Ha egy másik szerver egy másik porton hallgat, akkor a támadó megpróbálhatja megnézni, hogy van-e hiba, amelyet ki lehet használni. Talán a szoftver egy régi verziója fut, és van egy ismert biztonsági lyuk.
Az ilyen típusú beolvasások segítenek a nem alapértelmezett portokon futó szolgáltatások észlelésében is. Tehát, ha a 65. porton SSH kiszolgálót futtat a porton 22 helyett, akkor a portkeresés feltárja ezt, és a támadó megpróbálhat csatlakozni az SSH kiszolgálóhoz az adott porton. Nem lehet elrejteni egy kiszolgálót egy nem alapértelmezett porton, hogy megvédje a rendszert, bár a kiszolgáló nehezebb megtalálni.
A portfelvételeket nem csak a támadók használják. A portfelvételek hasznosak a defenzív áthatoló teszteléshez. A szervezet saját rendszereket vizsgálhat annak meghatározására, hogy mely szolgáltatásokat érinti a hálózat és biztosítja, hogy biztonságosan vannak konfigurálva.
Mennyire veszélyesek a kikötői beolvasások?
A port-vizsgálat segíthet a támadónak abban, hogy gyenge pontot találjon a támadásra és a számítógépes rendszerbe való behatolásra. Ez azonban csak az első lépés. Csak azért, mert megtalálta a nyitott portot, nem jelenti azt, hogy megtámadhatja. De miután megtalált egy nyitott portot, amely egy hallgatási szolgáltatást futtat, akkor beolvashatja a biztonsági réseket. Ez az igazi veszély.
Az otthoni hálózaton szinte biztosan van egy router, amely az Ön és az internet között ül. Valaki az interneten csak képes lesz átvizsgálni az útválasztóját, és nem találna semmit a lehetséges router-szolgáltatáson kívül. Ez az útválasztó tűzfalként működik - kivéve, ha átirányította az egyes portokat az útválasztóról egy eszközre, amely esetben az adott portok az internethez vannak kötve.
Számítógépes kiszolgálókhoz és vállalati hálózatokhoz a tűzfalak úgy konfigurálhatók, hogy észleljék a portfájlokat, és blokkolják a forgalmat a beolvasott címről. Ha az összes internetes szolgáltatás biztonságosan konfigurálva van, és nincsenek ismert biztonsági lyukak, akkor a kikötői beolvasásoknak nem kellene túlságosan ijesztőnek lenniük.
A portfelvételek típusai
Ha a port bezáródik, a távoli rendszer RST (reset) üzenettel válaszol. Ha a távoli rendszer csak nincs jelen a hálózaton, akkor nem lesz válasz.
Néhány szkenner "TCP félig nyitott" vizsgálatot végez. Ahelyett, hogy egy teljes SYN, SYN-ACK, majd ACK cikluson átmenne, csak SYN-et küld, és várni kell egy SYN-ACK vagy RST üzenetet. Nem szükséges végleges ACK-t küldeni a kapcsolat befejezéséhez, mivel a SYN-ACK a szkennernek mindent tud, amit tudnia kell. Gyorsabb, mert kevesebb csomagot kell küldeni.
Más típusú lekéréseknél külföldi, rossz formájú csomagok küldésére van szükség, és arra várnak, hogy megnézzék, hogy a távoli rendszer visszaállít-e egy RST csomagot, amely lezárja a kapcsolatot.Ha igen, akkor a szkenner tud róla, hogy van egy távoli rendszer ezen a helyen, és hogy egy adott port zárva van. Ha nem érkezik csomag, a szkenner tudja, hogy a portnak nyitva kell lennie.
Egyszerű, portos beolvasás, ahol a szoftver minden egyes portról információkat kér, egyenként. A hálózati tűzfalak könnyen beállíthatók ilyen viselkedés észlelésére és leállítására.
Ezért van néhány port-szkennelési technika másképp. Például egy portszkennelés beolvashatna egy kisebb portot, vagy egy sokkal hosszabb időszak alatt beolvashatná a portok teljes skáláját, így nehezebb lenne észlelni.
A portfelvételek alap-, kenyér- és vajbiztonsági eszköz, amikor a behatoló (és rögzítő) számítógépes rendszerekről van szó. De ezek csak egy olyan eszköz, amely lehetővé teszi a támadók számára, hogy olyan portokat találjanak, amelyek veszélyeztethetik a támadást. Nem adnak támadóknak a rendszerhez való hozzáférést, és a biztonságosan konfigurált rendszer biztosan ellenállhat a teljes portos beolvasásnak, ártatlanul.