Wat is poortscannen? Het is vergelijkbaar met een dief die door je buurt gaat en controleert elke deur en raam op elk huis om te zien welke open en welke op slot zijn.
TCP (Transmission Control Protocol) en UDP (User Datagram Protocol) zijn twee van de protocollen die deel uitmaken van de TCP / IP-protocolsuite die universeel wordt gebruikt voor communicatie op internet. Elk van deze heeft poorten 0 tot 65535 beschikbaar, dus in wezen zijn er meer dan 65.000 deuren om te vergrendelen.
De eerste 1024 TCP-poorten worden de welbekende poorten genoemd en zijn gekoppeld aan standaardservices zoals FTP, HTTP, SMTP of DNS. Sommige van de adressen boven 1023 hebben ook vaak bijbehorende services, maar de meeste van deze poorten zijn niet gekoppeld aan een service en zijn beschikbaar voor een programma of toepassing om mee te communiceren.
Hoe Port Scanning werkt
Poortscansoftware verzendt eenvoudigweg in de meest basistoestand een verzoek om achtereenvolgens verbinding te maken met de doelcomputer op elke poort en maakt een notitie van welke poorten hebben gereageerd of open lijken te zijn voor diepgaandere sondering.
Als de poortscan met kwaadaardige bedoelingen wordt gedaan, zou de indringer er in het algemeen het liefst niet op gaan letten. Netwerkbeveiligingsapplicaties kunnen worden geconfigureerd om beheerders te waarschuwen als ze verbindingsaanvragen via een groot aantal poorten van een enkele host detecteren. Om dit te omzeilen, kan de indringer de poortscan doen in de strobe- of stealth-modus. Strobing beperkt de poorten tot een kleinere doelset dan dat alle 65536-poorten worden afgedekt. Stealth-scannen maakt gebruik van technieken zoals het vertragen van de scan. Door de poorten over een veel langere periode te scannen, verkleint u de kans dat het doelwit een waarschuwing activeert.
Door verschillende TCP-vlaggen in te stellen of verschillende soorten TCP-pakketten te verzenden, kan de poortscan verschillende resultaten genereren of open poorten op verschillende manieren lokaliseren. Een SYN-scan vertelt de poortscanner welke poorten luisteren en welke niet afhankelijk zijn van het type respons dat wordt gegenereerd. Een FIN-scan genereert een reactie van gesloten poorten, maar poorten die open zijn en luisteren, sturen geen reactie, dus de poortscanner kan bepalen welke poorten open zijn en welke niet.
Er zijn een aantal verschillende methoden om de daadwerkelijke poortscans uit te voeren, evenals trucs om de ware bron van een poortscan te verbergen.
Hoe te controleren op poortscans
Het is mogelijk om uw netwerk te controleren op poortscans. De truc, zoals bij de meeste dingen in informatiebeveiliging, is het vinden van de juiste balans tussen netwerkprestaties en netwerkveiligheid. U zou kunnen controleren op SYN-scans door elke poging om een SYN-pakket naar een niet-open poort of naar een luisterend oor te sturen, te registreren. Echter, in plaats van elke keer dat er een enkele poging wordt gedaan - en mogelijk 's nachts wakker gemaakt wordt voor een anderszins onschuldige fout - dat u gewaarschuwd wordt, moet u beslissen over drempels om de waarschuwing te activeren. U zou bijvoorbeeld kunnen zeggen dat als er in een minuut meer dan 10 SYN-pakketpogingen naar niet-luister-poorten zijn, een waarschuwing moet worden geactiveerd. U zou filters en traps kunnen ontwerpen om verschillende poortscanmethoden te detecteren - kijken naar een piek in FIN-pakketten of gewoon een abnormaal aantal verbindingspogingen naar verschillende poorten en / of IP-adressen van een enkele IP-bron.
Om ervoor te zorgen dat uw netwerk beveiligd en beveiligd is, wilt u mogelijk uw eigen poortscans uitvoeren. EEN MAJOR voorbehoud hier is om ervoor te zorgen dat je de goedkeuring hebt van alle krachten voordat je aan dit project begint, zodat je jezelf aan de verkeerde kant van de wet bevindt. Voor nauwkeurige resultaten kan het het beste zijn om de poortscan vanaf een externe locatie uit te voeren met behulp van niet-bedrijfsapparatuur en een andere internetprovider. Met behulp van software zoals Nmap kunt u een bereik van IP-adressen en poorten scannen en uitzoeken wat een aanvaller zou zien als ze zouden proberen uw netwerk te scannen. Met name NMap stelt u in staat om bijna elk aspect van de scan te besturen en verschillende soorten poortscans uit te voeren om aan uw behoeften te voldoen.
Als u eenmaal weet welke poorten reageren als u open bent door poort te scannen naar uw eigen netwerk, kunt u beginnen met bepalen of het daadwerkelijk is noodzakelijk voor die poorten die toegankelijk zijn van buiten uw netwerk. Als ze niet nodig zijn, moet je ze afsluiten of blokkeren. Als dat nodig is, kunt u beginnen met onderzoeken naar welke soorten kwetsbaarheden en exploits uw netwerk staat, door deze poorten toegankelijk te maken en de juiste patches of mitigatie toe te passen om uw netwerk zo veel mogelijk te beschermen.
