Co jsou porty a čísla portů?

Počítačové porty jsou centrální místa, kudy protékají informace z programů či internetu do zařízení a jiných počítačů v síti nebo naopak. Probíhá přes ně výměna dat prostřednictvím elektronických, softwarových nebo programovacích mechanismů.

Pro účely souladu a programování jsou porty označené čísly. Číslo portu společně s IP adresou představují nesmírně důležitou informaci, kterou každý poskytovatel internetových služeb uchovává, aby mohl reagovat na požadavky. Porty mohou mít číslo od 0 do 65 536 a v podstatě jsou seřazené podle popularity.

Porty 0 až 1 023 jsou nejznámější a jsou určeny pro internetové použití. Mohou však mít i využití specializované. Spravuje je organizace Internet Assigned Numbers Authority (IANA). Jsou používané velkými a důležitými firmami či organizacemi k poskytování služeb, jako jsou Apple QuickTime, MSN či SQL. Mezi nejdůležitější porty a související služby patří:

• Port 20 (UDP) využívaný protokolem File Transfer Protocol (FTP) pro účely přenosu dat
• Port 22 (TCP) využívaný protokolem Secure Shell (SSH) pro účely bezpečného přihlašování, přenosů souborů a přesměrování portů
• Port 53 (UDP) využívaný systémem Domain Name System (DNS), který překládá názvy IP adres
• Port 80 (TCP) využívaný protokolem HTTP při prohlížení webu

Porty 1 024 až 49 151 jsou označovány jako registrované, protože si je zaregistrovaly různé softwarové firmy. Porty 49 151 až 65 536 jsou dynamické a soukromé porty, které může používat prakticky kdokoli.

Které protokoly se používají při skenování portů?

Běžnými protokoly používanými ke skenování portů jsou TCP (transmission control protocol) a UDP (user datagram protocol). Oba slouží k přenosům dat přes internet, ale používají odlišné mechanismy.

Protokol TCP umožňuje spolehlivý obousměrný přenos dat na základě připojení a k úspěšnému odeslání dat vyžaduje určitý stav cíle. Protokol UDP naopak na připojení založený není a je nespolehlivý. Přes protokol UDP jsou data rovnou odesílána do cíle a nelze zaručit, že se tam dostanou.

Tyto dva protokoly se používají v kombinaci s několika různými technikami skenování portů.

Jaké jsou techniky skenování portů?

Existuje několik technik skenování portů, přičemž každá z nich má určitý cíl. Zároveň je nutno podotknout, že kybernetičtí zločinci volí konkrétní techniku skenování portů podle svého cíle nebo útočné strategie.

Níže jsou popsány principy několika používaných technik:

• Pingování: Nejjednodušším způsobem skenování portů je takzvané pingování. Příkaz ping slouží ke zjišťování, jestli je možné na konkrétní IP adresu v síti poslat bez chyb datový paket. Pomocí pingování (neboli posílání žádostí přes protokol Internet Control Message Protocol (ICMP)) je různým serverům automaticky rozesílána velká skupina několika ICMP požadavků. Správci IT mohou touto technikou řešit problémy nebo pomocí firewallu zablokovat pingování, aby útočníci nedokázali najít jejich síť.
• Napolo otevřené skenování nebo SYN skenování: Napolo otevřené skenování nebo SYN (synchronizační) skenování je taktika, kterou útočníci používají k určování stavu portu bez navázání úplného spojení. Toto skenování jen posílá SYN zprávy, ale spojení s cílem nedokončí. Jedná se o rychlou a plíživou techniku, jejímž cílem je najít na cílových zařízeních potenciálně otevřené porty.
• XMAS skenování: XMAS skenování je ještě tišší a méně postřehnutelné firewally. Například FIN pakety jsou obvykle posílány ze serveru nebo klienta za účelem ukončení připojení po 3cestném ověření typu handshake přes TCP a úspěšném přenesení dat, které je oznamováno zprávou, že „od odesílatele nejsou k dispozici žádná další data“. FIN pakety občas projdou firewally bez povšimnutí, protože ty hledají především SYN pakety. XMAS skenování proto odesílají pakety se všemi příznaky včetně FIN a neočekávají žádnou odpověď, což by mohlo znamenat, že je port otevřený. Když přijde odpověď RST, znamená to, že je port zavřený. Tímto způsobem lze plíživěji zjišťovat ochranu sítě a firewall, protože jej ochranné mechanismy jen zřídka zaznamenají.

Jaké jsou výsledky skenování portů?

Výsledky skenování portů odhalují stav sítě nebo serveru a nalezené porty lze rozdělit do tří kategorií: otevřené, zavřené a filtrované.

• Otevřené porty: Otevřené porty značí, že cílový server nebo síť aktivně přijímají připojení nebo datagramy a odpověděly paketem, který značí, že poslouchají. To také znamená, že služba použitá při skenování (obvykle TCP nebo UDP) je rovněž používána.
  Hlavním cílem skenování portů je obvykle najít otevřené porty, které může útočník zneužít k útoku. Správci IT se snaží tyto porty zatarasit pomocí firewallů, které zajišťují ochranu a zároveň neomezují přístup legitimním uživatelům.
• Zavřené porty: Zavřené porty značí, že server nebo síť dostaly žádost, ale na daném portu „neposlouchá“ žádná služba. Zavřený port je i nadále přístupný a lze jej použít jako důkaz, že se hostitel nachází na IP adrese. Tyto porty musí být i nadále monitorovány, protože se mohou otevřít a vytvořit tak zranitelná místa. Správci IT by je měli zablokovat firewallem a udělat z nich tak „filtrované“ porty.
• Filtrované porty: Filtrované porty značí, že paket žádosti byl odeslán, ale hostitel neodpověděl a neposlouchá. To obvykle znamená, že paket žádosti byl odfiltrován a/nebo zablokován firewallem. Pakety nedorazí do cíle a útočníci se tedy nic nedozvědí. Filtrované porty často odpovídají chybovými zprávami jako „cíl je nedostupný“ nebo „komunikace byla zakázána“.

Jak kybernetičtí zločinci používají skenování portů k útokům?

Podle institutu SANS představuje skenování portů jednu z nejpoužívanějších taktik, které zločinci používají ke hledání zranitelných serverů.

Skenování portů obvykle bývá prvním krokem útoku na síť. Útočníci s jeho pomocí zjišťují úrovně zabezpečení různých organizací, aby mohli zjistit, kdo má silný firewall a kdo může mít zranitelný server nebo síť. Řada technik využívajících protokol TCP umožňuje útočníkům skrývat své umístění v síti a maskovat skenování portů a síťovou adresu jeho cíle jinými datovými přenosy.

Útočníci „oťukávají“ sítě a systémy, aby zjistili, jak reagují jednotlivé porty – jestli jsou otevřené, zavřené, nebo filtrované.

Odpovědi otevřených a zavřených portů například upozorňují hackery, že vaše síť ve skutečnosti reaguje na skenování portů. Kybernetičtí útočníci na základě těchto odpovědí dokážou určit úroveň zabezpečení a typ používaného operačního systému ve firmě.

Skenování portů je stará technika. Pokud se před ním chcete chránit, musíte odpovídajícím způsobem změnit zabezpečení a mít k dispozici aktuální informace o hrozbách, protože se protokoly a bezpečnostní nástroje neustále vyvíjejí. Ke sledování datového toku na vaše porty a ke skrývání potenciálních příležitostí k neoprávněnému průniku do vaší sítě se nejlépe hodí upozornění na skenování portů a firewally.