A kikötői beolvasás kicsit olyan, mint egy csomó kilincset rángatni, hogy megnézzék, melyik ajtók vannak bezárva. A szkenner megtudja, hogy az útválasztó vagy a tűzfal mely portjai vannak nyitva, és ezen információk alapján megkeresheti a számítógépes rendszer lehetséges gyengeségeit.
Mi az a kikötő?
Amikor egy eszköz hálózaton keresztül csatlakozik egy másik eszközhöz, akkor megadja a TCP vagy UDP port száma 0 és 65535 között. Egyes portokat azonban gyakrabban használnak. A 0–1023 közötti TCP-portok „jól ismert portok”, amelyek rendszerszolgáltatásokat nyújtanak. Például a 20. port FTP fájlátvitel, a 22. port az Biztonságos héj (SSH) terminál kapcsolatok, a 80-as port a szokásos HTTP web-forgalom, és a 443-as port titkosított HTTPS . Tehát, amikor biztonságos webhelyhez csatlakozik, a böngészője azzal a webkiszolgálóval beszél, amelyik a szerver 443. portján figyel.
A szolgáltatásoknak nem mindig ezeken a konkrét portokon kell futniuk. Például futtathat HTTPS webkiszolgálót a 32342-es porton, vagy Secure Shell-kiszolgálót a 65001-es porton, ha úgy tetszik. Ezek csak a szokásos alapértelmezések.
Mi az a Port Scan?
A port-vizsgálat az IP-címek összes portjának ellenőrzése, hogy meg vannak-e nyitva vagy zárva vannak-e. A port-leolvasó szoftver ellenőrizné a 0-as, az 1-es, a 2-es és a 65535-ös portot. Ezt úgy csinálja, hogy egyszerűen kérést küld minden portnak, és választ kér. A legegyszerűbb formájában a port-leolvasó szoftver minden egyes portról egyenként kérdez. A távoli rendszer válaszol, és megmondja, hogy nyitott vagy zárt-e egy port. A portkeresést futtató személy tudná, hogy melyik portok vannak nyitva.
Bármely hálózat tűzfalak az út blokkolhatja vagy más módon eldobhatja a forgalmat, így a port-vizsgálat egyben módszer arra is, hogy megtalálja, mely portok érhetők el vagy vannak kitéve a hálózatnak a távoli rendszeren.
A nmap eszköz gyakori hálózati segédprogram port szkennelésére használják, de sok más port szkennelési eszköz is létezik.
Miért futtatják az emberek a kikötői vizsgálatokat?
A portellenőrzések hasznosak a rendszer sebezhetőségének megállapításához. A portvizsgálat megmondaná a támadónak, hogy mely portok vannak nyitva a rendszeren, és ez segít nekik megfogalmazni a támadási tervet. Például, ha egy Secure Shell (SSH) szervert figyeltek meg a 22. porton, a támadó megpróbálhat csatlakozni és ellenőrizni a gyenge jelszavakat. Ha egy másik típusú szerver egy másik porton hallgat, a támadó piszkálhatja, és megnézheti, van-e olyan hiba, amely kihasználható. Talán a szoftver egy régi verziója fut, és van egy ismert biztonsági rés.
Az ilyen típusú vizsgálatok a nem alapértelmezett portokon futó szolgáltatások észlelésében is segítséget nyújtanak. Tehát, ha SSH-kiszolgálót futtat a 65001-es porton a 22-es port helyett, akkor a port-vizsgálat ezt felfedné, és a támadó megpróbálhat csatlakozni az SSH-kiszolgálóhoz azon a porton. A rendszer biztonsága érdekében nem rejthet el egy szervert egy nem alapértelmezett porton, bár a szervert nehezebben találja meg.
A kikötői átvizsgálásokat nem csak a támadók használják. A portellenőrzések hasznosak a védekező behatolási teszteknél. Egy szervezet átvizsgálhatja saját rendszereit, hogy megállapítsa, mely szolgáltatásokat érinti a hálózat, és hogy biztonságosan konfigurálhatók-e.
Mennyire veszélyesek a kikötői vizsgálatok?
A portellenőrzés segíthet a támadónak megtalálni a támadás gyenge pontját és betörni a számítógépes rendszerbe. Pedig ez csak az első lépés. Az, hogy talált egy nyitott portot, még nem jelenti azt, hogy megtámadhatja. De miután megtalált egy nyitott portot, amely hallgatási szolgáltatást futtat, átkutathatja biztonsági réseket. Ez az igazi veszély.
Az otthoni hálózaton szinte biztosan van egy router, amely az internet és az internet között ül. Valaki az interneten csak portot tudna beolvasni az útválasztón, és magában a routerben a potenciális szolgáltatásokon kívül nem talál semmit. Ez az útválasztó tűzfalként működik - hacsak nem tette meg továbbította az egyes portokat az útválasztóról eszközhöz, ebben az esetben az adott portokat az internet érheti.
Számítógépes kiszolgálók és vállalati hálózatok esetén a tűzfalak konfigurálhatók a portellenőrzések észlelésére és a forgalom blokkolására a keresett címről. Ha az internetnek kitett összes szolgáltatás biztonságosan van konfigurálva, és nincsenek ismert biztonsági rései, akkor a portellenőrzések nem is lehetnek túl ijesztőek.
A kikötői vizsgálatok típusai
A „TCP teljes kapcsolat” port vizsgálatakor a szkenner SYN (csatlakozási kérelem) üzenetet küld egy portnak. Ha a port nyitva van, a távoli rendszer SYN-ACK (nyugtázás) üzenettel válaszol. A szkenner a saját ACK (nyugtázó) üzenetével válaszol. Ez egy teli TCP kapcsolat kézfogás , és a szkenner tudja, hogy a rendszer elfogadja a kapcsolatokat egy porton, ha ez a folyamat megtörténik.
Ha a port zárva van, a távoli rendszer RST (reset) üzenettel válaszol. Ha a távoli rendszer csak nincs a hálózaton, akkor nem lesz válasz.
Egyes szkennerek „TCP félig nyitott” vizsgálatot hajtanak végre. Ahelyett, hogy teljes SYN, SYN-ACK, majd ACK cikluson mennek keresztül, csak SYN-t küldenek, és válaszként várják a SYN-ACK vagy RST üzenetet. A kapcsolat befejezéséhez nem szükséges végleges ACK-t küldeni, mivel a SYN-ACK mindent elmond a szkennernek, amit tudnia kell. Gyorsabb, mert kevesebb csomagot kell elküldeni.
Más típusú vizsgálatok során idegen, rosszul formázott típusú csomagokat kell küldeni, és várni kell, hogy a távoli rendszer visszaadja-e a kapcsolatot lezáró RST csomagot. Ha mégis, akkor a szkenner tudja, hogy van egy távoli rendszer azon a helyen, és hogy az adott port le van zárva. Ha nem érkezik csomag, a lapolvasó tudja, hogy a portnak nyitva kell lennie.
Könnyen észlelhető egy egyszerű port-vizsgálat, ahol a szoftver egyesével információkat kér az egyes portokról. A hálózati tűzfalak könnyen konfigurálhatók a viselkedés észlelésére és leállítására.
Ezért egyes port-szkennelési technikák másképp működnek. Például egy port-vizsgálat kisebb porttartományt képes beolvasni, vagy a portok teljes skáláját sokkal hosszabb időtartam alatt képes beolvasni, így nehezebb lenne észlelni.
A kikötői beolvasások a kenyér és vaj alapvető biztonsági eszközei a számítógépes rendszerek behatolásában (és biztonságában). De ezek csak egy eszköz, amely lehetővé teszi a támadók számára, hogy olyan portokat találjanak, amelyek kiszolgáltatottak a támadásnak. Nem adnak hozzáférést a támadóknak egy rendszerhez, és egy biztonságosan konfigurált rendszer minden bizonnyal károk nélkül képes ellenállni a teljes portellenőrzésnek.
Kép jóváírása: xfilephotos /Shutterstock.com, Casezy ötlet /Shutterstock.com.
