Qu'est-ce que le balayage de port? Cela ressemble à un voleur qui passe dans votre quartier et vérifie chaque porte et fenêtre de chaque maison pour voir lesquelles sont ouvertes et lesquelles sont verrouillées.
TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) sont deux des protocoles constituant la suite de protocoles TCP / IP utilisée universellement pour la communication sur Internet. Chacun de ces ports dispose de ports compris entre 0 et 65535, de sorte qu'il existe plus de 65 000 portes à verrouiller.
Les premiers 1024 ports TCP sont appelés «ports connus» et sont associés à des services standard tels que FTP, HTTP, SMTP ou DNS. Certaines des adresses sur 1023 ont également des services associés, mais la majorité de ces ports ne sont associés à aucun service et sont disponibles pour un programme ou une application à utiliser pour la communication.
Comment fonctionne la numérisation de port
Le logiciel d'analyse de port, dans son état le plus élémentaire, envoie simplement une demande de connexion séquentielle à l'ordinateur cible sur chaque port et note quels ports ont répondu ou semblent ouverts à une analyse plus approfondie.
Si l'analyse du port est effectuée avec une intention malveillante, l'intrus préfèrerait en général rester non détecté. Les applications de sécurité réseau peuvent être configurées pour alerter les administrateurs s'ils détectent des demandes de connexion sur une large gamme de ports à partir d'un hôte unique. Pour contourner ce problème, l'intrus peut scanner le port en mode stroboscopique ou furtif. Strobing limite les ports à un ensemble cible plus petit plutôt que d'analyser globalement les 65536 ports. L'analyse furtive utilise des techniques telles que le ralentissement de l'analyse. En analysant les ports sur une période beaucoup plus longue, vous réduisez le risque que la cible déclenche une alerte.
En définissant différents indicateurs TCP ou en envoyant différents types de paquets TCP, l'analyse de port peut générer différents résultats ou localiser les ports ouverts de différentes manières. Un balayage SYN indiquera au scrutateur de port quels ports sont en écoute et lesquels ne dépendent pas du type de réponse généré. Une analyse FIN générera une réponse à partir des ports fermés, mais les ports ouverts et en écoute n'enverront pas de réponse. Le scanneur de ports pourra ainsi déterminer quels ports sont ouverts et lesquels ne le sont pas.
Il existe un certain nombre de méthodes différentes pour effectuer les analyses de port réelles, ainsi que des astuces pour masquer la véritable source d'une analyse de port.
Comment surveiller les analyses de port
Il est possible de surveiller votre réseau pour les analyses de ports. L'astuce, comme dans la plupart des domaines liés à la sécurité de l'information, consiste à trouver le juste équilibre entre performances réseau et sécurité réseau. Vous pouvez surveiller les analyses SYN en enregistrant toute tentative d'envoi d'un paquet SYN vers un port qui n'est pas ouvert ou en écoute. Cependant, plutôt que d'être alerté chaque fois qu'une seule tentative a lieu - et peut-être réveillé au milieu de la nuit pour une erreur par ailleurs innocente -, vous devez décider des seuils pour déclencher l'alerte. Par exemple, vous pourriez dire que s'il y a plus de 10 tentatives de paquets SYN sur des ports non-écouteurs en une minute donnée, une alerte doit être déclenchée. Vous pouvez concevoir des filtres et des interruptions pour détecter diverses méthodes d’analyse de ports, en surveillant les pointes de paquets FIN ou tout simplement un nombre anormal de tentatives de connexion à divers ports et / ou adresses IP à partir d’une source IP unique.
Pour vous assurer que votre réseau est protégé et sécurisé, vous souhaiterez peut-être effectuer vos propres analyses de port. UNE MAJEUR La mise en garde ici est de vous assurer que vous avez l’approbation de tous les pouvoirs en place avant de vous lancer dans ce projet, de peur que vous ne vous trouviez du mauvais côté de la loi. Pour obtenir des résultats précis, il peut être préférable d'effectuer l'analyse du port à partir d'un emplacement distant à l'aide d'un équipement externe à la société et d'un fournisseur de services Internet différent. En utilisant un logiciel tel que Nmap, vous pouvez analyser une plage d’adresses IP et de ports et découvrir ce que les attaquants verraient s’ils analysaient le port de votre réseau. NMap, en particulier, vous permet de contrôler presque tous les aspects de l'analyse et d'effectuer différents types d'analyse de ports en fonction de vos besoins.
Une fois que vous avez découvert quels ports sont ouverts en analysant votre propre réseau, vous pouvez commencer à déterminer s'il est réellement nécessaire pour que ces ports soient accessibles de l’extérieur de votre réseau. S'ils ne sont pas nécessaires, vous devez les fermer ou les bloquer. S'ils sont nécessaires, vous pouvez commencer à rechercher les vulnérabilités et les exploitations de votre réseau en rendant ces ports accessibles et à appliquer les correctifs ou les mesures d'atténuation appropriés afin de protéger votre réseau le plus possible.
