Che cos’è il port scanning?

0

Il port scanning è un po’ come muovere una manciata di maniglie per vedere quali porte sono bloccate. Lo scanner apprende quali porte su un router o firewall sono aperte e può utilizzare queste informazioni per individuare i potenziali punti deboli del sistema informatico.

Cos’è una porta?

Quando un dispositivo si connette a un altro dispositivo su una rete, specifica un numero di porta TCP o UDP; questo numero è compreso tra 0 e 65535. Tuttavia, alcune porte vengono utilizzate con maggiore frequenza. Le porte TCP da 0 a 1023 sono “porte conosciute” che forniscono servizi di sistema. Ad esempio, la porta 20 permette il trasferimento di file FTP, la porta 22 consente connessioni a terminale Secure Shell (SSH), la porta 80 è utilizzata per il traffico web HTTP standard e la porta 443 riguarda l’HTTPS crittografata. Quindi, quando ti connetti a un sito web sicuro, il tuo browser web sta comunicando al server web che sta ascoltando sulla porta 443 di quel server.

I servizi non devono sempre essere eseguiti su queste porte specifiche. Ad esempio, è possibile eseguire un server Web HTTPS sulla porta 32342 o un server Secure Shell sulla porta 65001, se richiesto. Queste sono solo le impostazioni predefinite.

Cos’è un port scanning?

Un port scan è un processo che controlla tutte le porte su un indirizzo IP per vedere se sono aperte o chiuse. Il software di scansione delle porte controllerebbe la porta 0, la porta 1, la porta 2 e fino alla porta 65535. Lo fa semplicemente inviando una richiesta a ciascuna porta e chiedendo una risposta. Nella sua forma più semplice, il software di scansione delle porte richiede informazioni su ciascuna porta, una alla volta. Il sistema remoto risponderà e dirà se una porta è aperta o chiusa. La persona che esegue la scansione della porta dovrebbe quindi sapere quali porte sono aperte.

Un port scan è anche un metodo per trovare quali porte sono raggiungibili, o esposte alla rete, su quel sistema remoto.

Lo strumento nmap è un’utilità di rete comune utilizzata per la scansione delle porte, ma esistono molti altri strumenti di scansione delle porte.

Perché le persone eseguono scansioni di porte?

Le scansioni delle porte sono utili per determinare le vulnerabilità di un sistema. Una scansione delle porte direbbe a un utente malintenzionato quali porte sono aperte sul sistema e ciò le aiuterebbe a formulare un piano di attacco. Ad esempio, se un server Secure Shell (SSH) è stato rilevato come in ascolto sulla porta 22, l’utente malintenzionato potrebbe provare a connettersi e verificare la presenza di password deboli. Se un altro tipo di server è in ascolto su un’altra porta, l’autore dell’attacco potrebbe attirare l’attenzione e vedere se c’è un bug che può essere sfruttato. Forse una vecchia versione del software è in esecuzione, e c’è una nota lacuna di sicurezza.

Questi tipi di scansioni possono anche aiutare a rilevare servizi in esecuzione su porte non predefinite. Quindi, se si sta eseguendo un server SSH sulla porta 65001 invece della porta 22, la scansione delle porte lo rivelerebbe e l’utente malintenzionato potrebbe provare a connettersi al server SSH su quella porta. Non è possibile nascondere un server su una porta non predefinita per proteggere il sistema, anche se rende il server più difficile da trovare.

Le scansioni delle porte non sono solo usate dagli aggressori. Le scansioni delle porte sono utili per i test penetranti difensivi. Un’organizzazione può scansionare i propri sistemi per determinare quali servizi sono esposti alla rete e assicurarsi che siano configurati in modo sicuro.

Quant’è pericoloso il port scanning?

Una scansione delle porte può aiutare un aggressore a trovare un punto debole per attaccare e irrompere in un sistema informatico. È solo il primo passo, però. Solo perché hai trovato una porta aperta non significa che puoi attaccarla. Ma, una volta trovata una porta aperta su cui è in esecuzione un servizio di ascolto, è possibile eseguirne la scansione per rilevare eventuali vulnerabilità. Questo è il vero pericolo.

Sulla tua rete domestica, quasi sicuramente hai un router seduto tra te e Internet. Qualcuno su Internet sarebbe in grado di effettuare il port-scan del router e non troverà nulla a parte i servizi potenziali sul router stesso. Quel router funge da firewall, a meno che non abbiate inoltrato singole porte dal router a un dispositivo, nel qual caso tali porte specifiche sono esposte a Internet.

Per i server dei computer e le reti aziendali, i firewall possono essere configurati per rilevare le scansioni delle porte e bloccare il traffico dall’indirizzo che sta effettuando la scansione. Se tutti i servizi esposti a Internet sono configurati in modo sicuro e non hanno problemi di sicurezza noti, le scansioni delle porte non dovrebbero nemmeno essere troppo spaventose.

Tipi di scansioni di porte

In una scansione della porta “Connessione completa TCP”, lo scanner invia un messaggio SYN (richiesta di connessione) a una porta. Se la porta è aperta, il sistema remoto risponde con un messaggio SYN-ACK (riconoscimento). Lo scanner risponde con il proprio messaggio ACK (riconoscimento). Questo è un handshake di connessione TCP completo e lo scanner sa che il sistema accetta le connessioni su una porta se questo processo ha luogo.

Se la porta è chiusa, il sistema remoto risponderà con un messaggio RST (reset). Se il sistema remoto non è presente sulla rete, non ci sarà risposta.

Alcuni scanner eseguono una scansione “TCP semiaperta”. Invece di passare attraverso un ciclo completo SYN, SYN-ACK e ACK, inviano semplicemente un SYN e attendono un messaggio SYN-ACK o RST in risposta. Non è necessario inviare un ACK finale per completare la connessione, poiché il SYN-ACK dirà allo scanner tutto ciò che deve sapere. È più veloce perché è necessario inviare meno pacchetti.

Altri tipi di scansioni implicano l’invio di tipi di pacchetti sconosciuti e malformati in attesa di vedere se il sistema remoto restituisce un pacchetto RST che chiude la connessione. Se lo fa, lo scanner sa che c’è un sistema remoto in quella posizione e che una particolare porta è chiusa su di essa. Se non viene ricevuto alcun pacchetto, lo scanner sa che la porta deve essere aperta.

Una semplice scansione delle porte in cui il software richiede informazioni su ciascuna porta, una per una, è facile da individuare. I firewall di rete possono essere facilmente configurati per rilevare e arrestare questo comportamento.

Ecco perché alcune tecniche di scansione delle porte funzionano in modo diverso. Ad esempio, una scansione delle porte potrebbe eseguire la scansione di un intervallo più piccolo di porte, oppure potrebbe eseguire la scansione dell’intero intervallo di porte per un periodo molto più lungo, in modo che sia più difficile da rilevare.

Le scansioni delle porte sono uno strumento di sicurezza di base, pane e burro, quando si tratta di penetrare (e proteggere) i sistemi informatici. Ma sono solo uno strumento che consente agli aggressori di individuare porte che potrebbero essere vulnerabili agli attacchi. Non consentono a un utente malintenzionato di accedere a un sistema e un sistema configurato in modo sicuro può senz’altro resistere a una scansione completa delle porte senza alcun danno.

Autore del blog Digitalart. Programmatore con la passione per i computer, dolci e la cucina in generale. Ama cimentarsi in produzioni grafiche e scrivere articoli interessanti.

Potrebbe piacerti anche...