HTG elmagyarázza, mi a portolvasás?
A portkeresés egy kicsit hasonlít egy csomó doorknobsra, hogy lássa, melyik ajtó zárva van. A lapolvasó megtudja, hogy az útválasztó vagy a tűzfal mely portjai vannak nyitva, és használhatja ezt az információt a számítógépes rendszer lehetséges gyengeségeinek megtalálásához.
Mi a port?
Ha egy eszköz egy másik eszközhöz csatlakozik egy hálózaton keresztül, akkor TCP vagy UDP portszámot határoz meg 0 és 65535 között. Néhány port azonban gyakrabban használatos. A 0-tól 1023-ig terjedő TCP-portok „jól ismert portok”, amelyek rendszerszolgáltatásokat nyújtanak. Például a 20-as port FTP-fájlátvitel, a 22. port a Secure Shell (SSH) terminálkapcsolatok, a 80-as port szabványos HTTP webes forgalom, és a 443-as port titkosított HTTPS. Tehát, ha biztonságos webhelyhez csatlakozik, a webböngészője a kiszolgáló 443-as portján hallgatott webkiszolgálóval beszél.
A szolgáltatásoknak nem mindig kell ezeken a konkrét portokon futniuk. Például, ha tetszett, futtathat egy HTTPS webkiszolgálót a 32342-es porton vagy a Secure Shell-kiszolgálón a 65001-es porton. Ezek csak a standard alapértelmezett értékek.
Mi az a Port Scan?
A portkeresés az IP-címek összes portjának ellenőrzésének folyamata, hogy megnézze, hogy nyitva vagy zárva vannak-e. A port-szkennelő szoftver ellenőrzi a 0-as portot, az 1-es portot, a 2-es portot, és egészen a 65535-ös portig. Ez egyszerűen úgy történik, hogy minden porthoz kérést küld, és választ kér. A legegyszerűbb formában a port-szkennelő szoftver minden egyes portról kérdez, egyenként. A távoli rendszer válaszol, és azt mondja, hogy a port nyitva vagy zárva van. A portkeresést futtató személy ekkor tudná, hogy mely portok vannak nyitva.
Bármely hálózati tűzfala blokkolhatja vagy más módon elhagyhatja a forgalmat, így a portkeresés egy olyan módszer is, amely a távoli rendszeren megtalálható, hogy mely portok érhetők el, vagy ki vannak téve a hálózatnak..
Az nmap eszköz egy közös hálózati segédprogram, amelyet a port szkenneléshez használnak, de sok más portolvasó eszköz is van.
Miért futtatják az embereket a portolvasások?
A portok vizsgálata hasznos a rendszer biztonsági réseinek meghatározásában. A portkeresés megmondaná egy támadónak, hogy mely portok vannak nyitva a rendszeren, és ez segítene nekik támadási terv kidolgozásában. Ha például a Secure Shell (SSH) kiszolgálót a 22-es porton figyelték meg, a támadó megpróbálhat csatlakozni és ellenőrizni a gyenge jelszavakat. Ha egy másik típusú kiszolgáló egy másik porton hallgat, akkor a támadó belehajthat, és megnézheti, hogy van-e olyan hiba, amely kihasználható. Talán fut a szoftver régi verziója, és van egy ismert biztonsági lyuk.
Az ilyen típusú beolvasások segíthetnek észlelni a nem alapértelmezett portokon futó szolgáltatásokat. Tehát, ha SSH-kiszolgálót futtat a 65001-es porton a 22-es port helyett, a portkeresés felfedi ezt, és a támadó megpróbálhat csatlakozni az SSH-kiszolgálóhoz az adott porton. Nem csak elrejteni egy kiszolgálót egy nem alapértelmezett porton, hogy biztosítsa a rendszert, bár a kiszolgálót nehezebb megtalálni.
A portvizsgálatokat nem csak a támadók használják. A portolvasások hasznosak a védekező behatoláshoz. Egy szervezet szkennelheti saját rendszereit annak megállapítására, hogy mely szolgáltatásokat érinti a hálózat, és biztosítsa, hogy biztonságosan konfigurálják őket.
Mennyire veszélyesek a portok?
A portkeresés segíthet abban, hogy a támadó gyenge pontot találjon a számítógépes rendszerbe való támadásra és betörésre. Ez azonban csak az első lépés. Csak azért, mert megtalálta a nyitott portot, nem jelenti azt, hogy megtámadhatja. Azonban, ha megtalálta a nyitott portot, amely hallgat szolgáltatást, beolvashatja a biztonsági réseket. Ez az igazi veszély.
Otthoni hálózaton szinte biztosan van egy útválasztó az Ön és az internet között. Valaki az interneten csak az útválasztó beolvasására képes, és nem találna semmit sem az útválasztó lehetséges szolgáltatásaitól. Ez az útválasztó tűzfalként működik, hacsak nem továbbította az egyes portokat az útválasztótól egy eszközhöz, amely esetben ezek az adott portok ki vannak téve az internetnek.
Számítógépes kiszolgálók és vállalati hálózatok esetén a tűzfalak konfigurálhatók a port szkennelésének észlelésére és a forgalom letiltására a beolvasandó címből. Ha az internethez tartozó összes szolgáltatás biztonságosan konfigurálva van, és nincsenek ismert biztonsági lyukak, a portvizsgálatoknak sem lehetnek túlságosan ijesztőek.
A portvizsgálatok típusai
A „TCP full connection” portkeresés során a szkenner SYN (kapcsolat kérés) üzenetet küld egy portnak. Ha a port nyitva van, a távoli rendszer SYN-ACK (nyugtázás) üzenetben válaszol. A szkenner nem válaszol saját ACK (nyugtázó) üzenetével. Ez egy teljes TCP kapcsolat kézfogás, és a szkenner tudja, hogy a rendszer elfogadja a porton lévő kapcsolatokat, ha ez a folyamat megtörténik.
Ha a port zárva van, a távoli rendszer RST (reset) üzenetben fog válaszolni. Ha a távoli rendszer nem jelenik meg a hálózaton, nem fog válaszolni.
Egyes szkennerek „TCP félig nyitott” szkennelést végeznek. Ahelyett, hogy teljes SYN, SYN-ACK, majd ACK cikluson mennek keresztül, csak küldnek egy SYN-t, és várakoznak a SYN-ACK vagy RST üzenetre. Nem szükséges végső ACK-t küldeni a kapcsolat befejezéséhez, mivel a SYN-ACK mindent tud, amit tudnia kell. Gyorsabb, mert kevesebb csomagot kell küldeni.
Más típusú beolvasások idegen, hibás formájú csomagok küldését és várakozását várják, hogy a távoli rendszer visszaadja-e a kapcsolatot záró RST csomagot. Ha igen, a lapolvasó tudja, hogy van egy távoli rendszer, és hogy egy adott port zárva van. Ha nem érkezik csomag, a lapolvasó tudja, hogy a portnak nyitottnak kell lennie.
Egy egyszerű, port-szkennelés, ahol a szoftver minden egyes portról információt kér, egyenként, könnyen észrevehető. A hálózati tűzfalak könnyen konfigurálhatók a viselkedés észlelésére és leállítására.
Ezért működik néhány port-szkennelési technika másképp. Például egy portvizsgálat kisebb portokat kereshet, vagy sokkal hosszabb idő alatt szkennelheti a portokat, így nehezebb lenne észlelni a portokat..
A portkeresés alapvető, kenyér és vaj biztonsági eszköz, amikor a behatoló (és biztosító) számítógépes rendszerekről van szó. De csak egy eszköz, amely lehetővé teszi, hogy a támadók olyan portokat találjanak, amelyek sebezhetőek lehetnek a támadásra. Nem adnak támadóhoz hozzáférést egy rendszerhez, és egy biztonságosan konfigurált rendszer biztosan ellenáll a teljes portkeresésnek.
Képhitel: xfilephotos / Shutterstock.com, Casezy ötlet / Shutterstock.com.