Qu'est-ce que l'analyse des ports? Cela ressemble à un voleur qui traverse votre quartier et vérifie chaque porte et fenêtre de chaque maison pour voir lesquelles sont ouvertes et celles qui sont verrouillées.
TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) sont deux des protocoles qui composent la suite de protocoles TCP / IP, qui est utilisée universellement pour communiquer sur Internet. Chacun de ceux-ci a des ports 0 à 65535 disponibles, il y a donc essentiellement plus de 65,000 XNUMX portes à verrouiller.
Fonctionnement de l'analyse des ports
Le logiciel d'analyse de port, dans son état le plus élémentaire, envoie une demande de connexion à l'ordinateur cible sur chaque port de manière séquentielle et note les ports qui ont répondu ou semblaient ouverts à une analyse plus approfondie.
Si l'analyse de port est malveillante, l'intrus préfère généralement ne pas être détecté. Vous pouvez configurer des applications de sécurité réseau pour alerter les administrateurs s'ils détectent des demandes de connexion sur une large gamme de ports à partir d'un seul hôte.
Pour contourner cela, l'intrus peut effectuer le balayage des ports en mode stroboscopique ou furtif. Le stroboscope limite les ports à un ensemble de cibles plus petit plutôt que la numérisation globale de tous les 65536 ports. L'analyse furtive utilise des techniques telles que le ralentissement de l'analyse. En analysant les ports sur une période prolongée, vous réduisez le risque que la cible déclenche une alerte.
En définissant différents indicateurs TCP ou en envoyant différents types de paquets TCP, l'analyse des ports peut générer différents résultats ou localiser les ports ouverts de différentes manières. Un scan SYN indiquera au scanner de ports quels ports écoutent et lesquels ne dépendent pas du type de réponse généré. Un scan FIN créera une réponse à partir des ports fermés, mais les ports ouverts et l'écoute ne le seront pas, de sorte que le scanner de port sera en mesure de déterminer quels ports sont ouverts et lesquels ne le sont pas.
Il existe plusieurs méthodes différentes pour effectuer les analyses de port réelles, ainsi que des astuces pour masquer la source d'une analyse de port.
Comment surveiller les scans de port
Il est possible de surveiller votre réseau pour les scans de port. L'astuce, comme pour la plupart des choses en matière de sécurité de l'information, est de trouver le bon équilibre entre les performances du réseau et la sécurité du réseau.
Vous pouvez surveiller les analyses SYN en enregistrant toute tentative d'envoi d'un paquet SYN vers un port qui n'est pas ouvert ou à l'écoute. Cependant, plutôt que d'être alerté à chaque fois qu'une seule tentative se produit, décidez des seuils pour déclencher l'alerte. Par exemple, vous pourriez dire qu'une alerte devrait se déclencher s'il y a plus de 10 tentatives de paquets SYN vers des ports non en écoute dans une minute donnée.
Vous pouvez concevoir des filtres et des interruptions pour détecter une variété de méthodes d'analyse de port, en surveillant un pic dans les paquets FIN ou simplement un nombre inhabituel de tentatives de connexion à une plage de ports ou d'adresses IP à partir d'une seule source IP.
Pour vous assurer que votre réseau est protégé et sécurisé, vous souhaiterez peut-être effectuer vos propres analyses de port. Une mise en garde majeure ici est de vous assurer que vous avez l'approbation de tous les pouvoirs avant de vous lancer dans ce projet de peur de vous retrouver du mauvais côté de la loi.
Pour obtenir les résultats les plus précis, effectuez l'analyse des ports à partir d'un emplacement distant en utilisant un équipement n'appartenant pas à l'entreprise et un autre FAI. En utilisant un logiciel tel que Nmap, vous pouvez scanner une plage d'adresses IP et de ports et découvrir ce qu'un attaquant verrait s'il devait scanner votre réseau. NMap, en particulier, vous permet de contrôler presque tous les aspects de l'analyse et d'effectuer divers types d'analyses de ports pour répondre à vos besoins.
Une fois que vous avez découvert quels ports répondent comme étant ouverts en analysant les ports de votre réseau, vous pouvez commencer à déterminer si ces ports doivent être accessibles depuis l'extérieur de votre réseau. S'ils ne sont pas nécessaires, vous devez les fermer ou les bloquer. S'ils sont nécessaires, vous pouvez commencer à rechercher les types de vulnérabilités et d'exploits auxquels votre réseau est ouvert en rendant ces ports accessibles et en appliquant les correctifs ou les mesures d'atténuation appropriés pour protéger votre réseau autant que possible.