Scansione delle porte

La scansione delle porte è l'atto di investigare le porte di un computer o di un server — dove le informazioni vengono inviate e ricevute — nella speranza di rilevare attività o vulnerabilità.

È utile pensare alla scansione delle porte come al bussare alle porte per vedere se c'è qualcuno dentro. Eseguire una scansione delle porte su una rete o server mostra quali porte sono aperte e in ascolto (accettano dati esterni) e rivela la posizione dei sistemi di sicurezza presenti tra il trasmettitore e il bersaglio.

Il software di scansione delle porte invierà una richiesta di connessione al sistema target, chiedendo di connettersi a ciascuna porta in sequenza, prendendo nota di quali porte hanno risposto e quali porte meritavano un'indagine più approfondita. Sebbene una scansione delle porte non sia dannosa di per sé, è comunemente un preludio ad attacchi mirati.

Tecniche di scansione delle porte

Una scansione delle porte invia un pacchetto accuratamente preparato a ciascun numero di porta di destinazione. Le tecniche di base di cui è capace il software di scansione delle porte includono:

• Vanilla: La scansione più basilare; un tentativo di connessione a tutte le 65.536 porte una alla volta. Una scansione vanilla è una scansione di connessione completa, il che significa che invia un flag SYN (richiesta di connessione) e, dopo aver ricevuto una risposta SYN-ACK (riconoscimento della connessione), invia un flag ACK. Questo scambio SYN, SYN-ACK, ACK costituisce una "stretta di mano TCP". Le scansioni di connessione completa possono essere precise, ma spesso vengono rilevate, perché i firewall registreranno le connessioni complete.
• SYN scan: A volte chiamata scansione half-open, invia un pacchetto sincronizzato (SYN) e attende che il bersaglio risponda con un SYN-ACK. Se viene ricevuta una risposta, lo scanner interrompe ulteriori comunicazioni. Poiché la connessione TCP non è mai stata completata, un firewall non registrerà l'interazione, ma il mittente avrà comunque appreso se la porta è effettivamente aperta.
• Scansioni FIN e XMAS: Una raccolta di tipi di scansione utilizzati per raccogliere informazioni senza attivare un log dal sistema di destinazione. Con una scansione FIN, una bandiera FIN non richiesta, che normalmente viene utilizzata per completare una sessione già stabilita, verrà inviata a una porta. La risposta del sistema a questa bandiera casuale può mostrare lo stato della porta e persino aiutare a rivelare un firewall. Una scansione XMAS invia un pacchetto di ogni bandiera, creando un'interazione caotica. La risposta della porta a questo insieme di pacchetti può indicare lo stato sia del firewall che del sistema.
• Scansione FTP bounce: Dove la posizione del mittente è nascosta inviando prima il pacchetto tramite un server FTP non correlato. Questo è progettato per aiutare il mittente del pacchetto a evitare il rilevamento.
• Scansione sweep: La stessa porta verrà pingata da un gran numero di sistemi separati, al fine di identificare quali computer sulla rete sono effettivamente attivi. Questo non aiuta a capire quali porte sono attive, il suo obiettivo è mostrare quali sistemi sulla rete sono attivi. Generalmente è una scansione iniziale effettuata da qualcuno che spera di scoprire quante più informazioni possibili sulla rete che sta scansionando.

Quando si tenta di eseguire una scansione delle porte, le informazioni restituite sono solitamente generalizzate in una delle tre categorie:

• Aperto o accettato: Il host ha inviato una risposta indicando che un servizio è in ascolto sulla porta.
• Chiuso o negato o non in ascolto: L'host ha inviato una risposta indicando che le connessioni verranno negate alla porta.
• Filtrato, eliminato o bloccato: Non c'è stata risposta dall'host.

Tipi di porta

Le porte sono numerate da 0 a 65535, con alcune gamme che trasportano la maggior parte del traffico. Le porte da 0 a 1023 sono riconosciute come porte standard e hanno assegnazioni di servizio predefinite quando sono connesse a Internet, queste assegnazioni di porte sono definite dall'Assigned Numbers Authority (IANA). Alcune delle porte più importanti e i loro servizi assegnati includono:

• Porta 20 (UDP): File Transfer Protocol (FTP) per il trasferimento dati
• Porta 22 (TCP): Protocollo Secure Shell (SSH) per accessi sicuri, ftp e port forwarding
• Porta 23 (TCP): Protocollo Telnet per comunicazioni di testo non crittografate
• Porta 53 (UDP): Il sistema dei nomi di dominio (DNS) traduce i nomi di tutti i computer su Internet in indirizzi IP
• Porte 80 e 443 (TCP): World Wide Web HTTP e HTTPS

Ci sono servizi principali offerti su porte ben oltre 1023, alcuni dei quali possono essere manipolati da trojan e virus di vasta portata che sperano di evitare il rilevamento sulle porte più strettamente monitorate.

Ogni sistema è vulnerabile alla scansione delle porte. La maggior parte delle installazioni predefinite dei sistemi operativi ha numerose porte aperte per consentire una maggiore flessibilità. Prima che un sistema venga messo online, si dovrebbe eseguire una scansione delle porte contro il sistema. Se ci sono più porte aperte del necessario, chiudere quelle porte. Più servizi offre un sistema, più sarà vulnerabile.

Se un sistema è stato compromesso, gli attaccanti potrebbero tentare di aprire più porte sul sistema per sfruttare più facilmente le debolezze delle porte. Più il responsabile del sistema è vigile, più il suo sistema sarà resistente alle penetrazioni e meno probabilmente verrà sfruttato.