Hva er en port?
Når en enhet kobles til en annen enhet via et nettverk, angir det et TCP- eller UDP-portnummer fra 0 til 65535. Noen porte brukes imidlertid hyppigere. TCP-porter 0 til 1023 er "kjente porter" som gir systemtjenester. For eksempel er port 20 FTP-filoverføringer, port 22 er Secure Shell (SSH) terminalforbindelser, port 80 er standard HTTP-webtrafikk, og port 443 er kryptert HTTPS. Så når du kobler til et sikkert nettsted, snakker nettleseren din til webserveren som hører på port 443 av den serveren.
Tjenester trenger ikke alltid å kjøre på disse spesifikke portene. For eksempel kan du kjøre en HTTPS-webserver på port 32342 eller en Secure Shell-server på port 65001, hvis du likte det. Dette er bare standardverdiene.
Hva er en portskanning?
En portskanning er en prosess for å sjekke alle portene på en IP-adresse for å se om de er åpne eller lukkede. Port-skanningsprogramvaren vil sjekke port 0, port 1, port 2 og helt til port 65535. Det gjør dette ved bare å sende en forespørsel til hver port og be om et svar. I sin enkleste form spør portprogrammet om hver port, en om gangen. Fjernsystemet vil svare og si om en port er åpen eller lukket. Personen som kjører portskanningen, vil da vite hvilke porter som er åpne.
Eventuelle nettverksbrannmurer i veien kan blokkere eller på annen måte slippe trafikk, så en portskanning er også en metode for å finne hvilke porter som er tilgjengelige eller eksponert for nettverket på det eksterne systemet.
Nmap-verktøyet er et vanlig nettverksverktøy som brukes til portskanning, men det finnes mange andre portskanneverktøy.
Hvorfor kjører folk portskanninger?
Disse typer skanninger kan også hjelpe med å oppdage tjenester som kjører på ikke-standardporter. Så hvis du kjører en SSH-server på port 65001 i stedet for port 22, vil portskanningen avsløre dette, og angriperen kan prøve å koble til SSH-serveren på den porten. Du kan ikke bare skjule en server på en ikke-standardport for å sikre systemet, selv om det gjør serveren vanskeligere å finne.
Portskanninger brukes ikke bare av angripere. Portskanninger er nyttige for defensiv penetrerende testing. En organisasjon kan skanne sine egne systemer for å avgjøre hvilke tjenester som er utsatt for nettverket og sikre at de er konfigurert trygt.
Hvor farlig er portskanninger?
En portskanning kan hjelpe en angriper å finne et svakt punkt å angripe og bryte inn i et datasystem. Det er bare det første skrittet skjønt. Bare fordi du har funnet en åpen port betyr det ikke at du kan angripe den. Men når du har funnet en åpen port som kjører en lyttetjeneste, kan du skanne den for sårbarheter. Det er den virkelige faren.
På hjemmenettverket har du ganske sikkert en ruter som sitter mellom deg og Internett. Noen på Internett ville bare kunne skanne ruteren din, og de ville ikke finne noe bortsett fra potensielle tjenester på ruteren selv. Den ruteren fungerer som en brannmur, med mindre du har videresendt individuelle porter fra ruteren din til en enhet, og i så fall er de spesifikke porter utsatt for Internett.
For dataservere og bedriftsnettverk kan brannmurer konfigureres for å oppdage portskanninger og blokkere trafikk fra adressen som skannes. Hvis alle tjenestene som er utsatt for Internett, er sikkert konfigurert og har ingen kjente sikkerhetshull, bør portskanninger ikke engang være for skummelt.
Typer av portskanninger
Hvis porten er stengt, svarer det eksterne systemet med en RST-melding (tilbakestilling). Hvis fjernsystemet ikke er til stede på nettverket, blir det ikke noe svar.
Noen skannere utfører en "TCP halvåpent" skanning. I stedet for å gå gjennom en full SYN, SYN-ACK og deretter ACK-syklus, sender de bare en SYN og venter på en SYN-ACK eller RST-melding som svar. Det er ikke nødvendig å sende en endelig ACK for å fullføre forbindelsen, da SYN-ACK vil fortelle skanneren alt det trenger å vite. Det er raskere fordi færre pakker må sendes.
Andre typer skanninger innebærer sending av fremmede, misdannede typer pakker og venter på å se om fjernsystemet returnerer en RST-pakke som lukker tilkoblingen.Hvis det gjør det, vet skanneren at det er et eksternt system på den plasseringen, og at en bestemt port er stengt på den. Hvis ingen pakke er mottatt, vet skanneren at porten må være åpen.
En enkel portskanning hvor programvaren ber om informasjon om hver port, en etter en, er lett å få øye på. Nettverksbrannmurer kan enkelt konfigureres til å oppdage og stoppe denne oppførselen.
Det er derfor noen portscanningsteknikker fungerer annerledes. For eksempel kan en portsøk skanne et mindre utvalg av porter, eller kunne skanne hele spekteret av porter i en lengre periode, slik at det ville være vanskeligere å oppdage.
Portskanninger er et grunnleggende, brød-og-smør sikkerhetsverktøy når det gjelder penetrerende (og sikring) datasystemer. Men de er bare et verktøy som lar angripere finne porter som kan være sårbare for angrep. De gir ikke angriper tilgang til et system, og et sikkert konfigurert system kan sikkert motstå en full portskanning uten skade.