Port-scanning - La tecnica per la verifica delle porte in ascolto

Come si può allora mettere al sicuro le porte in listening? Rivolgiti al nostro team Dinamica IT che saprà fornirti tutte le soluzioni per la cybersecurity.

Port-scanning - La tecnica per la verifica delle porte in ascolto

Per permettere ai vari servizi di Rete di “comunicare” con l’esterno, i dispositivi online utilizzano tutti lo stesso varco: le porte, sorte di caselle postali attraverso le quali avviene lo scambio di dati in qualunque rete informatica.

Conoscere quali porte siano in ascolto (in listening nel gergo tecnico), cioè pronte a ricevere una richiesta di contatto da altri nodi della rete, è un’informazione fondamentale per gli amministratori, perché permette loro di verificare la tenuta dei sistemi di Hardening impiegati per ridurre la superficie di attacco di una determinata infrastruttura tecnologica.

Allo stesso tempo, questa informazione si rivela preziosa anche per potenziali aggressori, per identificare i servizi di rete in esecuzione su un host e sfruttare le relative vulnerabilità, una volta individuata la versione del servizio.

Come si capisce quali sono le porte in listening in una rete? Utilizzando i cosiddetti port scanner, applicazioni progettate per sondare un server o un host in modo da stabilire quali servizi e porte sono pronte ad accettare una nuova connessione e a ricevere o inviare dati.

Come funziona il port-scanning?

La scansione delle porte è una procedura che si basa sull’invio di pacchetti dati a porte specifiche su un host, con l’obiettivo di analizzarne le risposte per identificare la presenza di eventuali vulnerabilità.
Vediamo più da vicino in che modo i criminali informatici utilizzano la scansione delle porte come metodo di attacco.

1. La prima mossa è l’avvio delle sessioni di programmi che gli permettano di:
– effettuare una scansione delle porte attive sul nostro server per comprendere quali servizi risultano attivi. Le tecniche per la scansione delle porte sono molte, specifiche in base allo scopo o alla strategia di attacco;
– verificare che il server Web riporti informazioni sulle versioni dei prodotti installati.

2. Mentre i tools di port-scanning attivano i socket di comunicazione verso tutte le porte del server web per sondare la presenza di servizi in stato di listening, i tool di data sniffing analizzano i dati pervenuti dalle richieste inviate al server e carpiscono informazioni utili a condurre un attacco mirato.

3. Una volta ricevute le risposte del server alle richieste effettuate dai tools di recupero informazioni, tramite la tecnica del Banner grabbing si procede con la rilevazione del servizio in listening su una specifica porta. Obiettivo: capire se le porte sono aperte, chiuse o filtrate.

Se la porta è aperta

Il criminale informatico ha trovato il punto in cui sferrare il suo attacco.
Compito degli amministratori sarà quello di barricare le porte aperte installando firewall per proteggerle senza limitare l’accesso per gli utenti legittimi.

Se la porta è chiusa

È comunque bene mantenere alto il livello di allerta: le porte chiuse indicano che il server o la rete ha ricevuto la richiesta ma non c’è alcun servizio “in ascolto” su quella porta. Una porta chiusa però, può essere comunque accessibile e può risultare utile per indicare che un host si trova su un determinato indirizzo IP.
Per questo gli amministratori IT dovrebbero considerare la possibilità di bloccarla con un firewall, per renderla una porta “filtrata”.

Se la porta è filtrata

Significa che il pacchetto di richieste è stato inviato ma che l’host non ha risposto e non è in ascolto, di solito per la presenza di un firewall: gli autori degli attacchi, pertanto, non possono trovare maggiori informazioni.

Vuoi mettere al sicuro le porte dati della tua rete?

Visita li sito www.dinamicait.it per scoprire tutte le soluzioni Dinamica IT per la cybersecurity, oppure scrivi all’indirizzo: segreteria.hardware@levia.it.