If-Koubou

HTG objašnjava: Što je skeniranje luka?

HTG objašnjava: Što je skeniranje luka? (Kako da)

Port skeniranje je malo poput jiggling hrpa vratašca kako bi vidjeli koja su vrata zaključana. Skener uči koji portovi na usmjerivaču ili vatrozidu su otvoreni i mogu koristiti te informacije kako bi pronašli potencijalne slabosti računalnog sustava.

Što je luka?

Kada se uređaj spaja na drugi uređaj preko mreže, on određuje broj TCP ili UDP port od 0 do 65535. Međutim, neki se priključci koriste češće. TCP priključci 0 do 1023 su "poznati portovi" koji pružaju usluge sustava. Na primjer, priključak 20 je FTP prijenos datoteka, priključak 22 je Secure Shell (SSH) terminalni priključak, priključak 80 je standardni HTTP web promet, a priključak 443 je šifriran HTTPS. Dakle, kada se spojite na sigurnu web stranicu, vaš web preglednik razgovara s web poslužiteljem koji sluša na portu 443 tog poslužitelja.

Usluge se ne moraju uvijek izvoditi na tim specifičnim lukama. Na primjer, možete li pokrenuti HTTPS web poslužitelj na priključku 32342 ili poslužitelju Secure Shell na priključku 65001, ako vam se sviđa. To su samo standardne zadane vrijednosti.

Što je Port Scan?

Port skeniranje je postupak provjere svih portova na IP adresi da biste vidjeli jesu li otvoreni ili zatvoreni. Softver za skeniranje luka provjerava luka 0, luka 1, luka 2 i sve do luke 65535. To čini tako da jednostavno pošalje zahtjev svakom livu i traži odgovor. U svom najjednostavnijem obliku, port-scanning software pita o svakoj luci, jedan po jedan. Daljinski sustav će odgovoriti i reći je li otvor otvoren ili zatvoren. Osoba koja izvodi skeniranje portova znala bi koje su luke otvorene.

Svaka mrežna vatrozida na putu može blokirati ili na neki drugi način spustiti promet, tako da je skeniranje luka također metoda pronalaženja portova koji su dostupni ili izloženi mreži na tom udaljenom sustavu.

Alat nmap zajednički je mrežni alat koji se koristi za skeniranje portova, ali postoji mnogo drugih alata za skeniranje portova.

Zašto ljudi pokreću luke?

Port skeniranja korisni su za određivanje ranjivosti sustava. Port scan mogao bi reći napadaču koji su portovi otvoreni na sustavu, i to bi im pomoglo formulirati plan napada. Na primjer, ako je poslužitelj Secure Shell (SSH) otkriven kao slušanje na priključku 22, napadač bi se mogao pokušati povezati i provjeriti slabe zaporke. Ako druga vrsta poslužitelja sluša na drugom priključku, napadač bi se mogao probiti i vidjeti postoji li bug koji se može iskoristiti. Možda je pokrenuta stara verzija softvera, a tu je i poznata sigurnosna rupa.

Ove vrste skeniranja mogu također pomoći u otkrivanju usluga koje se izvode na ne-zadanim priključcima. Dakle, ako koristite SSH poslužitelj na priključku 65001 umjesto priključka 22, skeniranje portova to će otkriti, a napadač se može pokušati povezati s vašim SSH poslužiteljem na tom priključku. Ne možete samo sakriti poslužitelj na ne-zadanoj priključnici kako biste osigurali svoj sustav, iako to čini poslužitelju teže pronaći.

Port skeniranja ne koriste samo napadači. Port scans korisni su za obrambene probojne testove. Organizacija može skenirati vlastite sustave kako bi odredila koje su usluge izložene mreži i osigurati da su konfigurirane na siguran način.

Koliko su opasne luke skenira?

Port skeniranje može pomoći napadaču pronaći slabu točku za napad i probiti u računalni sustav. To je samo prvi korak. Samo zato što ste pronašli otvorenu luku ne znači da ga možete napasti. No, nakon što pronađete otvorenu lozinku koja pokreće uslugu slušanja, možete je skenirati radi ranjivosti. To je prava opasnost.

Na kućnoj mreži gotovo sigurno imate usmjerivač koji sjedi između vas i Interneta. Netko na Internetu mogao bi samo skenirati vaš usmjerivač i ne bi pronašli ništa osim potencijalnih usluga na samom usmjerivaču. Taj usmjerivač djeluje kao vatrozid - osim ako ste prosljeđivali pojedinačne priključke s usmjerivača na uređaj, u kojem se slučaju ti specifični priključci izlažu na Internet.

Za računalne poslužitelje i korporativne mreže, firewall može biti konfiguriran za otkrivanje port skaniranja i blokiranje prometa s adrese koja se pretražuje. Ako su sve usluge izložene internetu sigurno konfigurirane i nemaju poznate sigurnosne rupe, port skeniranje ne bi ni trebalo biti previše zastrašujuće.

Vrste portova za skeniranje

U skeniranju portova "TCP full connection", skener šalje poruku SYN (zahtjev za povezivanje) portu. Ako je priključak otvoren, daljinski sustav odgovara s porukom SYN-ACK (priznanje). Skener se ne reagira s vlastitom ACK (priznanjem) porukom. Ovo je potpuna veza TCP veze, a skener zna da sustav prihvaća veze na portu ako se taj proces odvija.

Ako je priključak zatvoren, daljinski sustav će odgovoriti s RST (reset) porukom. Ako udaljeni sustav jednostavno nije prisutan na mreži, neće biti nikakvih odgovora.

Neki skeneri izvode "TCP polu otvorenu" skeniranje. Umjesto da prolazi kroz cijeli SYN, SYN-ACK, a zatim ACK ciklus, oni jednostavno pošalju SYN i pričekaju SYN-ACK ili RST poruku kao odgovor. Nema potrebe za poslati konačni ACK za dovršetak veze, jer će SYN-ACK reći skeneru sve što treba znati. Brže je jer je potrebno poslati manje paketa.

Druge vrste skeniranja uključuju slanje stranih, nepravilnih vrsta paketa i čekanje da se vidi da li udaljeni sustav vraća RST paket koji zatvara vezu. Ako se to dogodi, skener zna da je na tom mjestu udaljen sustav na kojemu je određena luka zatvorena. Ako ne primite paket, skener zna da port mora biti otvoren.

Jednostavno, skeniranje luka na kojem softver zahtijeva informacije o svakoj priključnici, jedan po jedan, lako je uočiti. Mrežni vatrozid može se lako konfigurirati za otkrivanje i zaustavljanje tog ponašanja.

Zato neke tehnike skeniranja luka rade drugačije.Na primjer, skeniranje luka moglo bi skenirati manji raspon luka ili bi mogao skenirati čitav raspon luka kroz mnogo dulje razdoblje pa bi ga bilo teško otkriti.

Port scans su osnovni, sigurnosni alat za kruh i maslac kada je u pitanju penetriranje (i osiguravanje) računalnih sustava. Ali oni su samo alat koji napadačima omogućuje pronalaženje portova koji mogu biti ranjivi na napad. Oni ne daju napadaču pristup sustavu, a sigurno konfigurirani sustav sigurno može izdržati potpuno skeniranje portova bez štete.

Image Credit: xfilephotos / Shutterstock.com, Casezy ideja / Shutterstock.com.