Velmi zastaralé verze prohlížečů bohužel nepodporujeme. Chcete-li si obsah této webové stránky zobrazit správně, aktualizujte si prohlížeč.

Ušetřete 30% na Small Office Protection

Co je skenování portů?

Skenování portů je metoda určování, které porty sítě jsou otevřené a mohou přijímat nebo odesílat data. Zároveň se jedná o proces odesílání paketů na specifické porty hostitele a analyzování odpovědí pro účely identifikace zranitelných míst.

Útočník si k němu nejdřív musí sestavit seznam aktivních hostitelů a jejich IP adres. Tato aktivita se nazývá zjišťování hostitelů a zakládá se na skenování sítě.

Cílem skenování portů a sítě je identifikovat uspořádání IP adres, hostitelů a portů a na jeho základě správně určit otevřeně přístupné či zranitelné servery a diagnostikovat úrovně zabezpečení. Skenování sítě a portů dokáže odhalit přítomnost bezpečnostních opatření, jako je firewall mezi serverem a zařízením uživatele.

Po dokončení důkladného skenování sítě je sestaven seznam aktivních hostitelů. Následně může proběhnout skenování portů, které v síti identifikuje otevřené porty, jež mohou umožňovat neoprávněný přístup.

Je nutné podotknout, že skenování sítě a portů může být používáno nejen kybernetickými útočníky, kteří s jeho pomocí hledají zneužitelné nedostatky v zabezpečení, ale i správci IT, kteří tak mohou kontrolovat bezpečnostní zásady sítě a identifikovat zranitelná místa. Zjišťování hostitelů při skenování sítě je často prvním krokem útočníků předtím, než zahájí samotný útok.
Skenování sítě a portů sice může významně sloužit útočníkům, ale správci IT, kteří se starají o zabezpečení sítě, z jeho výsledků mohou vyčíst důležité informace o úrovních zabezpečení.

Co je skenování portů?

Co jsou porty a čísla portů?

Počítačové porty jsou centrální místa, kudy protékají informace z programů či internetu do zařízení a jiných počítačů v síti nebo naopak. Probíhá přes ně výměna dat prostřednictvím elektronických, softwarových nebo programovacích mechanismů.

Pro účely souladu a programování jsou porty označené čísly. Číslo portu společně s IP adresou představují nesmírně důležitou informaci, kterou každý poskytovatel internetových služeb uchovává, aby mohl reagovat na požadavky. Porty mohou mít číslo od 0 do 65 536 a v podstatě jsou seřazené podle popularity.

Porty 0 až 1 023 jsou nejznámější a jsou určeny pro internetové použití. Mohou však mít i využití specializované. Spravuje je organizace Internet Assigned Numbers Authority (IANA). Jsou používané velkými a důležitými firmami či organizacemi k poskytování služeb, jako jsou Apple QuickTime, MSN či SQL. Mezi nejdůležitější porty a související služby patří:

  • Port 20 (UDP) využívaný protokolem File Transfer Protocol (FTP) pro účely přenosu dat
  • Port 22 (TCP) využívaný protokolem Secure Shell (SSH) pro účely bezpečného přihlašování, přenosů souborů a přesměrování portů
  • Port 53 (UDP) využívaný systémem Domain Name System (DNS), který překládá názvy IP adres
  • Port 80 (TCP) využívaný protokolem HTTP při prohlížení webu

Porty 1 024 až 49 151 jsou označovány jako registrované, protože si je zaregistrovaly různé softwarové firmy. Porty 49 151 až 65 536 jsou dynamické a soukromé porty, které může používat prakticky kdokoli.

Které protokoly se používají při skenování portů?

Běžnými protokoly používanými ke skenování portů jsou TCP (transmission control protocol) a UDP (user datagram protocol). Oba slouží k přenosům dat přes internet, ale používají odlišné mechanismy.

Protokol TCP umožňuje spolehlivý obousměrný přenos dat na základě připojení a k úspěšnému odeslání dat vyžaduje určitý stav cíle. Protokol UDP naopak na připojení založený není a je nespolehlivý. Přes protokol UDP jsou data rovnou odesílána do cíle a nelze zaručit, že se tam dostanou.

Tyto dva protokoly se používají v kombinaci s několika různými technikami skenování portů.

Jaké jsou techniky skenování portů?

Existuje několik technik skenování portů, přičemž každá z nich má určitý cíl. Zároveň je nutno podotknout, že kybernetičtí zločinci volí konkrétní techniku skenování portů podle svého cíle nebo útočné strategie.

Níže jsou popsány principy několika používaných technik:

  • Pingování: Nejjednodušším způsobem skenování portů je takzvané pingování. Příkaz ping slouží ke zjišťování, jestli je možné na konkrétní IP adresu v síti poslat bez chyb datový paket. Pomocí pingování (neboli posílání žádostí přes protokol Internet Control Message Protocol (ICMP)) je různým serverům automaticky rozesílána velká skupina několika ICMP požadavků. Správci IT mohou touto technikou řešit problémy nebo pomocí firewallu zablokovat pingování, aby útočníci nedokázali najít jejich síť.
  • Napolo otevřené skenování nebo SYN skenování: Napolo otevřené skenování nebo SYN (synchronizační) skenování je taktika, kterou útočníci používají k určování stavu portu bez navázání úplného spojení. Toto skenování jen posílá SYN zprávy, ale spojení s cílem nedokončí. Jedná se o rychlou a plíživou techniku, jejímž cílem je najít na cílových zařízeních potenciálně otevřené porty.
  • XMAS skenování: XMAS skenování je ještě tišší a méně postřehnutelné firewally. Například FIN pakety jsou obvykle posílány ze serveru nebo klienta za účelem ukončení připojení po 3cestném ověření typu handshake přes TCP a úspěšném přenesení dat, které je oznamováno zprávou, že „od odesílatele nejsou k dispozici žádná další data“. FIN pakety občas projdou firewally bez povšimnutí, protože ty hledají především SYN pakety. XMAS skenování proto odesílají pakety se všemi příznaky včetně FIN a neočekávají žádnou odpověď, což by mohlo znamenat, že je port otevřený. Když přijde odpověď RST, znamená to, že je port zavřený. Tímto způsobem lze plíživěji zjišťovat ochranu sítě a firewall, protože jej ochranné mechanismy jen zřídka zaznamenají.

Jaké jsou výsledky skenování portů?

Výsledky skenování portů odhalují stav sítě nebo serveru a nalezené porty lze rozdělit do tří kategorií: otevřené, zavřené a filtrované.

  • Otevřené porty: Otevřené porty značí, že cílový server nebo síť aktivně přijímají připojení nebo datagramy a odpověděly paketem, který značí, že poslouchají. To také znamená, že služba použitá při skenování (obvykle TCP nebo UDP) je rovněž používána.
    Hlavním cílem skenování portů je obvykle najít otevřené porty, které může útočník zneužít k útoku. Správci IT se snaží tyto porty zatarasit pomocí firewallů, které zajišťují ochranu a zároveň neomezují přístup legitimním uživatelům.
  • Zavřené porty: Zavřené porty značí, že server nebo síť dostaly žádost, ale na daném portu „neposlouchá“ žádná služba. Zavřený port je i nadále přístupný a lze jej použít jako důkaz, že se hostitel nachází na IP adrese. Tyto porty musí být i nadále monitorovány, protože se mohou otevřít a vytvořit tak zranitelná místa. Správci IT by je měli zablokovat firewallem a udělat z nich tak „filtrované“ porty.
  • Filtrované porty: Filtrované porty značí, že paket žádosti byl odeslán, ale hostitel neodpověděl a neposlouchá. To obvykle znamená, že paket žádosti byl odfiltrován a/nebo zablokován firewallem. Pakety nedorazí do cíle a útočníci se tedy nic nedozvědí. Filtrované porty často odpovídají chybovými zprávami jako „cíl je nedostupný“ nebo „komunikace byla zakázána“.
Jaké jsou výsledky skenování portů?

Jak kybernetičtí zločinci používají skenování portů k útokům?

Podle institutu SANS představuje skenování portů jednu z nejpoužívanějších taktik, které zločinci používají ke hledání zranitelných serverů.

Skenování portů obvykle bývá prvním krokem útoku na síť. Útočníci s jeho pomocí zjišťují úrovně zabezpečení různých organizací, aby mohli zjistit, kdo má silný firewall a kdo může mít zranitelný server nebo síť. Řada technik využívajících protokol TCP umožňuje útočníkům skrývat své umístění v síti a maskovat skenování portů a síťovou adresu jeho cíle jinými datovými přenosy.

Útočníci „oťukávají“ sítě a systémy, aby zjistili, jak reagují jednotlivé porty – jestli jsou otevřené, zavřené, nebo filtrované.

Odpovědi otevřených a zavřených portů například upozorňují hackery, že vaše síť ve skutečnosti reaguje na skenování portů. Kybernetičtí útočníci na základě těchto odpovědí dokážou určit úroveň zabezpečení a typ používaného operačního systému ve firmě.

Skenování portů je stará technika. Pokud se před ním chcete chránit, musíte odpovídajícím způsobem změnit zabezpečení a mít k dispozici aktuální informace o hrozbách, protože se protokoly a bezpečnostní nástroje neustále vyvíjejí. Ke sledování datového toku na vaše porty a ke skrývání potenciálních příležitostí k neoprávněnému průniku do vaší sítě se nejlépe hodí upozornění na skenování portů a firewally.

Jste si jistí, že je vaše firma připravená na kybernetické hrozby a útoky, s nimiž se může potýkat v budoucnu?

Přečtěte si další informace o našem kompletním portfoliu řešení pro zabezpečení sítí