HTG explique Qu'est-ce que l'analyse de port?
Un balayage de port est un peu comme secouer une poignée de poignées de porte pour voir quelles portes sont verrouillées. Le scanner découvre les ports ouverts sur un routeur ou un pare-feu et peut utiliser ces informations pour rechercher les faiblesses potentielles d'un système informatique..
C'est quoi un port?
Lorsqu'un périphérique se connecte à un autre périphérique via un réseau, il spécifie un numéro de port TCP ou UDP compris entre 0 et 65535. Certains ports sont toutefois utilisés plus fréquemment. Les ports TCP 0 à 1023 sont des «ports connus» qui fournissent des services système. Par exemple, le port 20 correspond aux transferts de fichiers FTP, le port 22 aux connexions de terminal Secure Shell (SSH), le port 80 au trafic Web HTTP standard et le port 443 au cryptage HTTPS. Ainsi, lorsque vous vous connectez à un site Web sécurisé, votre navigateur Web communique avec le serveur Web qui écoute sur le port 443 de ce serveur..
Les services ne doivent pas toujours s'exécuter sur ces ports spécifiques. Par exemple, vous pouvez exécuter un serveur Web HTTPS sur le port 32342 ou un serveur Secure Shell sur le port 65001, si vous le souhaitez. Ce ne sont que les valeurs par défaut standard.
Qu'est-ce qu'un balayage de port??
Une analyse de port est un processus de vérification de tous les ports à une adresse IP pour voir s'ils sont ouverts ou fermés. Le logiciel d'analyse de port vérifie les ports 0, 1, 2 et jusqu'au port 65535. Pour ce faire, il envoie simplement une demande à chaque port et demande une réponse. Dans sa forme la plus simple, le logiciel de numérisation de ports pose des questions sur chaque port, un à la fois. Le système distant répondra et indiquera si un port est ouvert ou fermé. La personne qui exécute le scan de port saurait alors quels ports sont ouverts.
Tout pare-feu réseau bloquant ou bloquant le trafic peut par conséquent constituer une méthode de recherche des ports accessibles ou exposés au réseau sur ce système distant..
L’outil nmap est un utilitaire réseau commun utilisé pour l’analyse de port, mais il existe de nombreux autres outils d’analyse de port..
Pourquoi les gens exécutent des analyses de port?
Les analyses de port sont utiles pour déterminer les vulnérabilités d'un système. Une analyse des ports indiquerait à un attaquant quels ports sont ouverts sur le système, ce qui les aiderait à élaborer un plan d’attaque. Par exemple, si un serveur Secure Shell (SSH) est détecté en train d'écouter sur le port 22, l'attaquant peut essayer de se connecter et de rechercher les mots de passe faibles. Si un autre type de serveur est à l'écoute sur un autre port, l'attaquant pourrait s'en prendre à lui et voir s'il existe un bogue pouvant être exploité. Peut-être une ancienne version du logiciel est en cours d'exécution, et il y a un trou de sécurité connu.
Ces types d'analyses peuvent également aider à détecter les services exécutés sur des ports non définis par défaut. Ainsi, si vous utilisez un serveur SSH sur le port 65001 au lieu du port 22, l'analyse du port l'indique, et l'attaquant peut essayer de se connecter à votre serveur SSH sur ce port. Vous ne pouvez pas simplement cacher un serveur sur un port autre que celui par défaut pour sécuriser votre système, bien que cela rende le serveur plus difficile à trouver..
Les analyses de ports ne sont pas simplement utilisées par les attaquants. Les balayages de ports sont utiles pour les tests de pénétration défensifs. Une organisation peut analyser ses propres systèmes pour déterminer quels services sont exposés au réseau et s'assurer qu'ils sont configurés de manière sécurisée..
Quel est le danger des scans de ports?
Une analyse des ports peut aider un attaquant à trouver un point faible pour attaquer et pénétrer dans un système informatique. Ce n'est que la première étape, cependant. Ce n’est pas parce que vous avez trouvé un port ouvert que vous pouvez l’attaquer. Cependant, une fois que vous avez trouvé un port ouvert exécutant un service d'écoute, vous pouvez le rechercher pour trouver des vulnérabilités. C'est le vrai danger.
Sur votre réseau domestique, vous avez presque certainement un routeur entre vous et Internet. Quelqu'un sur Internet ne pourrait que balayer votre routeur au port, et ils ne trouveraient rien en dehors des services potentiels sur le routeur lui-même. Ce routeur agit comme un pare-feu - sauf si vous avez transféré des ports individuels de votre routeur vers un périphérique, auquel cas ces ports spécifiques sont exposés à Internet..
Pour les serveurs informatiques et les réseaux d'entreprise, les pare-feu peuvent être configurés pour détecter les analyses de port et bloquer le trafic de l'adresse analysée. Si tous les services exposés à Internet sont configurés de manière sécurisée et ne présentent aucune faille de sécurité connue, les analyses de ports ne devraient même pas être trop effrayantes..
Types de scans de ports
Dans une analyse de port «Connexion complète TCP», l'analyseur envoie un message SYN (demande de connexion) à un port. Si le port est ouvert, le système distant répond par un message SYN-ACK (accusé de réception). Le scanner répond ensuite avec son propre message ACK (accusé de réception). Il s’agit d’une liaison TCP complète et le scanner sait que le système accepte les connexions sur un port si ce processus a lieu..
Si le port est fermé, le système distant répondra par un message RST (réinitialisation). Si le système distant n'est tout simplement pas présent sur le réseau, il n'y aura pas de réponse..
Certains scanners effectuent une analyse «TCP semi-ouvert». Plutôt que de passer par un cycle complet SYN, SYN-ACK, puis ACK, ils envoient simplement un SYN et attendent un message SYN-ACK ou RST en réponse. Il n'est pas nécessaire d'envoyer un ACK final pour terminer la connexion, car le SYN-ACK indiquerait au scanner tout ce qu'il doit savoir. C'est plus rapide car moins de paquets doivent être envoyés.
D'autres types d'analyses impliquent l'envoi de types de paquets inconnus et mal formés et l'attente de voir si le système distant renvoie un paquet RST fermant la connexion. Si tel est le cas, le scanner sait qu’un système distant se trouve à cet emplacement et qu’un port particulier est fermé sur celui-ci. Si aucun paquet n'est reçu, le scanner sait que le port doit être ouvert..
Un simple scan de port où le logiciel demande des informations sur chaque port, un par un, est facile à repérer. Les pare-feu réseau peuvent facilement être configurés pour détecter et arrêter ce problème.
C'est pourquoi certaines techniques d'analyse des ports fonctionnent différemment. Par exemple, une analyse de port peut analyser une plage de ports plus petite ou sur toute la plage de ports sur une période beaucoup plus longue, rendant ainsi la détection plus difficile..
Les scans de ports sont un outil de sécurité essentiel pour pénétrer (et sécuriser) les systèmes informatiques. Mais ce n’est qu’un outil qui permet aux attaquants de trouver des ports susceptibles d’être attaqués. Ils ne permettent pas à un attaquant d'accéder à un système, et un système configuré de manière sécurisée peut certainement supporter une analyse de port complète sans risque..
Crédit d'image: xfilephotos / Shutterstock.com, Casezy idea / Shutterstock.com.