Une analyse de port est un peu comme secouer un tas de poignées de porte pour voir quelles portes sont verrouillées. L'analyseur apprend quels ports d'un routeur ou d'un pare-feu sont ouverts et peut utiliser ces informations pour trouver les faiblesses potentielles d'un système informatique.
Qu'est-ce qu'un port?
Lorsqu'un appareil se connecte à un autre appareil sur un réseau, il spécifie un TCP ou UDP numéro de port compris entre 0 et 65535. Certains ports sont cependant utilisés plus fréquemment. Les ports TCP 0 à 1023 sont des «ports bien connus» qui fournissent des services système. Par exemple, le port 20 correspond aux transferts de fichiers FTP, le port 22 est Secure Shell (SSH) connexions de terminal, le port 80 est le trafic Web HTTP standard et le port 443 est chiffré HTTPS . Ainsi, lorsque vous vous connectez à un site Web sécurisé, votre navigateur Web communique avec le serveur Web qui écoute sur le port 443 de ce serveur.
Les services ne doivent pas toujours s'exécuter sur ces ports spécifiques. Par exemple, vous pouvez exécuter un serveur Web HTTPS sur le port 32342 ou un serveur Secure Shell sur le port 65001, si vous le souhaitez. Ce ne sont que les valeurs par défaut standard.
Qu'est-ce qu'une analyse de port?
Une analyse de port est un processus de vérification de tous les ports d’une adresse IP pour voir s’ils sont ouverts ou fermés. Le logiciel d'analyse de port vérifierait le port 0, le port 1, le port 2 et tout le chemin jusqu'au port 65535. Il le fait simplement en envoyant une demande à chaque port et en demandant une réponse. Dans sa forme la plus simple, le logiciel d'analyse des ports pose des questions sur chaque port, un à la fois. Le système distant répondra et dira si un port est ouvert ou fermé. La personne exécutant l'analyse des ports saurait alors quels ports sont ouverts.
Tout réseau pare-feu peut bloquer ou supprimer le trafic, de sorte qu'une analyse des ports est également une méthode permettant de trouver les ports accessibles ou exposés au réseau sur ce système distant.
le outil nmap est un commun utilitaire réseau utilisé pour l'analyse des ports, mais il existe de nombreux autres outils d'analyse des ports.
Pourquoi les gens exécutent-ils des analyses de port?
Les analyses de port sont utiles pour déterminer les vulnérabilités d’un système. Une analyse de port indiquerait à un attaquant quels ports sont ouverts sur le système, et cela l'aiderait à formuler un plan d'attaque. Par exemple, si un serveur Secure Shell (SSH) était détecté comme écoutant sur le port 22, l'attaquant pourrait essayer de se connecter et de vérifier les mots de passe faibles. Si un autre type de serveur écoute sur un autre port, l'attaquant pourrait le pousser et voir s'il y a un bogue qui peut être exploité. Une ancienne version du logiciel est peut-être en cours d’exécution et il existe une faille de sécurité connue.
Ces types d'analyses peuvent également aider à détecter les services exécutés sur des ports autres que ceux par défaut. Ainsi, si vous exécutez un serveur SSH sur le port 65001 au lieu du port 22, l'analyse des ports le révélera et l'attaquant pourrait essayer de se connecter à votre serveur SSH sur ce port. Vous ne pouvez pas simplement masquer un serveur sur un port autre que celui par défaut pour sécuriser votre système, même si cela rend le serveur plus difficile à trouver.
Les scans de port ne sont pas seulement utilisés par les attaquants. Les scans de ports sont utiles pour les tests de pénétration défensifs. Une organisation peut analyser ses propres systèmes pour déterminer quels services sont exposés au réseau et s’assurer qu’ils sont configurés en toute sécurité.
À quel point les analyses de port sont-elles dangereuses?
Une analyse de port peut aider un attaquant à trouver un point faible pour attaquer et s'introduire dans un système informatique. Ce n’est cependant que la première étape. Ce n'est pas parce que vous avez trouvé un port ouvert que vous pouvez l'attaquer. Mais, une fois que vous avez trouvé un port ouvert exécutant un service d’écoute, vous pouvez le rechercher à la recherche de vulnérabilités. C’est le vrai danger.
Sur votre réseau domestique, vous avez presque certainement un routeur entre vous et Internet. Quelqu'un sur Internet ne pourrait que balayer le port de votre routeur et ne trouverait rien d'autre que des services potentiels sur le routeur lui-même. Ce routeur agit comme un pare-feu, sauf si vous des ports individuels transférés depuis votre routeur à un périphérique, auquel cas ces ports spécifiques sont exposés à Internet.
Pour les serveurs informatiques et les réseaux d’entreprise, les pare-feu peuvent être configurés pour détecter les analyses de port et bloquer le trafic à partir de l’adresse analysée. Si tous les services exposés à Internet sont configurés de manière sécurisée et ne présentent aucune faille de sécurité connue, les analyses de port ne devraient même pas être trop effrayantes.
Types d'analyses de ports
Dans une analyse de port «connexion TCP complète», le scanner envoie un message SYN (demande de connexion) à un port. Si le port est ouvert, le système distant répond par un message SYN-ACK (accusé de réception). Le scanner répond alors avec son propre message ACK (accusé de réception). C'est un plein Prise de contact de la connexion TCP et le scanner sait que le système accepte les connexions sur un port si ce processus a lieu.
Si le port est fermé, le système distant répondra par un message RST (réinitialisation). Si le système distant n’est tout simplement pas présent sur le réseau, il n’y aura pas de réponse.
Certains scanners effectuent une analyse «TCP semi-ouverte». Plutôt que de passer par un cycle complet SYN, SYN-ACK, puis ACK, ils envoient simplement un SYN et attendent un message SYN-ACK ou RST en réponse. Il n'est pas nécessaire d'envoyer un ACK final pour terminer la connexion, car le SYN-ACK dirait au scanner tout ce qu'il doit savoir. C'est plus rapide car moins de paquets doivent être envoyés.
D'autres types d'analyses impliquent l'envoi de types de paquets inconnus et mal formés et l'attente de voir si le système distant renvoie un paquet RST fermant la connexion. Si tel est le cas, le scanner sait qu'il y a un système distant à cet emplacement et qu'un port particulier y est fermé. Si aucun paquet n'est reçu, le scanner sait que le port doit être ouvert.
Une analyse simple des ports où le logiciel demande des informations sur chaque port, un par un, est facile à repérer. Les pare-feu réseau peuvent être facilement configurés pour détecter et arrêter ce comportement.
C’est pourquoi certaines techniques d’analyse des ports fonctionnent différemment. Par exemple, une analyse de port pourrait analyser une plus petite plage de ports, ou pourrait analyser la plage complète de ports sur une période beaucoup plus longue, ce qui serait plus difficile à détecter.
Les scans de ports sont un outil de sécurité de base et de base lorsqu'il s'agit de pénétrer (et de sécuriser) les systèmes informatiques. Mais ce n’est qu’un outil qui permet aux attaquants de trouver des ports susceptibles d’être vulnérables aux attaques. Ils ne permettent pas à un attaquant d'accéder à un système, et un système configuré en toute sécurité peut certainement résister à une analyse complète des ports sans dommage.
Image Credit: xfilephotos /Shutterstock.com, Idée Casezy /Shutterstock.com.
