Supportiamo i browser, non i dinosauri. Aggiorna il tuo browser per visualizzare correttamente il contenuto di questa pagina Web.

Che cos'è la scansione delle porte?

La scansione delle porte è un metodo per determinare quali porte in una rete sono aperte e possono ricevere o inviare dati. È anche un processo per inviare pacchetti a porte specifiche su un host e analizzare le risposte per identificare le vulnerabilità.

Questa scansione non può avere luogo senza prima identificare un elenco di host attivi e mapparli ai relativi indirizzi IP. Questa attività, definita individuazione host, inizia con una scansione di rete.

L'obiettivo della scansione della rete e delle porte è quello di identificare l'organizzazione di indirizzi IP, host e porte per determinare in modo corretto le posizioni dei server vulnerabili o aperti e diagnosticare i livelli di sicurezza. Sia la scansione delle porte che quella di rete possono rivelare la presenza di misure di sicurezza, come un firewall, messe in atto tra il server e il dispositivo dell'utente.

Dopo una scansione di rete approfondita e la compilazione di un elenco di host attivi, può essere eseguita la scansione delle porte per identificare le porte aperte in una rete che possono consentire l'accesso non autorizzato.

È importante sottolineare che la scansione di rete e delle porte può essere utilizzata sia dagli amministratori IT che dai criminali informatici per verificare i criteri di sicurezza di una rete e identificare le vulnerabilità e, nel caso degli autori degli attacchi, per sfruttare eventuali punti di accesso vulnerabili. In effetti l'elemento di individuazione host nella scansione di rete è spesso la mossa iniziale degli autori degli attacchi prima di colpire.
Dal momento che entrambe le scansioni continuano a essere utilizzate come strumenti chiave per gli autori degli attacchi, i risultati della scansione di rete e delle porte possono fornire indicazioni importanti sui livelli di sicurezza di rete per gli amministratori IT che cercano di tutelare le reti dagli attacchi.

Che cos'è la scansione delle porte?

Cosa sono le porte e i numeri di porta?

Le porte dei computer sono il punto di attracco centrale per il flusso di informazioni che transita da un programma o da Internet a un dispositivo o a un altro computer in rete e viceversa. Si possono definire come il punto dove vengono parcheggiati i dati da scambiare attraverso meccanismi software, elettronici o di programmazione.

I numeri di porta vengono utilizzati per coerenza e programmazione. La combinazione di numero di porta e indirizzo IP costituisce le informazioni vitali conservate da qualsiasi provider di servizi Internet per evadere le richieste. Le porte vanno da 0 a 65.536 e sono essenzialmente classificate in ordine di popolarità.

I numeri da 0 a 1023 indicano le porte note progettate per l'uso di Internet, benché possano avere anche scopi specializzati, e sono amministrati dallo IANA (Internet Assigned Numbers Authority). Queste porte sono detenute da aziende di alto livello come Apple QuickTime, MSN, servizi SQL e altre organizzazioni di spicco. Puoi riconoscere alcune delle porte più importanti e i servizi assegnati:

  • La porta 20 (UDP) è assegnata al protocollo FTP (File Transfer Protocol) utilizzato per il trasferimento dei dati
  • La porta 22 (TCP) è assegnata al protocollo SSH (Secure Shell) per accessi sicuri, ftp e port forwarding
  • La porta 53 (UDP) è assegnata al DNS (Domain Name System) per la conversione di nomi in indirizzi IP
  • La porta 80 (TCP) è assegnata al protocollo HTTP del World Wide Web

I numeri compresi tra 1024 a 49151 indicano le "porte registrate", vale a dire porte registrate dalle aziende software. Le porte nell'intervallo da 49.151 a 65.536 sono porte dinamiche e private e possono essere utilizzate praticamente da chiunque.

Quali sono i protocolli utilizzati nella scansione delle porte?

I protocolli generali utilizzati per la scansione delle porte sono TCP (Transmission Control Protocol) e UDP (User Datagram Protocol). Sono entrambi metodi di trasmissione dei dati per Internet ma hanno meccanismi diversi.

Mentre TCP è un sistema di trasmissione dei dati basato su connessione bidirezionale e affidabile, che fa affidamento sullo stato della destinazione per completare un invio corretto, UDP non richiede connessione e non è attendibile. I dati inviati tramite il protocollo UDP vengono inviati senza preoccuparsi della destinazione, pertanto non è garantito che arrivino effettivamente.

Utilizzando questi due protocolli, le scansioni delle porte possono essere eseguite tramite diverse tecniche.

Quali sono le diverse tecniche di scansione delle porte?

Sono disponibili diverse tecniche per la scansione delle porte, in base all'obiettivo specifico. È importante tenere presente che i criminali informatici sceglieranno una tecnica di scansione delle porte specifica, in base allo scopo o alla strategia di attacco.

Di seguito sono elencate alcune delle tecniche disponibili e viene spiegato come funzionano:

  • Scansioni ping: le scansioni delle porte più semplici sono chiamate scansioni ping. In una rete un ping viene utilizzato per verificare se il pacchetto di dati di una rete può essere distribuito o meno a un indirizzo IP senza errori. Le scansioni ping sono richieste ICMC (Internet Control Message Protocol) e inviano una serie automatizzata di svariate richieste ICMP a server diversi per ottenere risposte. Gli amministratori IT possono utilizzare questa tecnica per la risoluzione dei problemi o disabilitare la scansione ping utilizzando un firewall, che rende impossibile agli autori degli attacchi individuare la rete tramite ping.
  • Scansioni SYN o semi-aperte: una scansione SYN (abbreviazione di sincronizzare) o semi-aperta è una tattica che gli autori degli attacchi utilizzano per determinare lo stato di una porta senza stabilire una connessione completa. Questa scansione invia solo un messaggio SYN e non completa la connessione, lasciando in sospeso l'operazione. È una tecnica rapida e insidiosa che mira a individuare potenziali porte aperte sui dispositivi di destinazione.
  • Scansioni XMAS: le scansioni XMAS sono ancora più discrete e meno evidenti per i firewall. I pacchetti FIN, ad esempio, vengono solitamente inviati dal server o dal client per terminare una connessione dopo aver stabilito un handshake TCP a tre direzioni e aver trasferito i dati. Questa condizione viene indicata dal messaggio "non ci sono più dati disponibili dal mittente". I pacchetti FIN spesso non vengono notati dai firewall perché vengono prima cercati i pacchetti SYN. Per questa ragione, le scansioni XMAS inviano pacchetti con tutti i flag, tra cui FIN, senza aspettarsi risposte, il che significa che la porta è aperta. Se la porta è chiusa si riceve una risposta RST. La scansione XMAS viene mostrata raramente nei log di monitoraggio ed è semplicemente un modo più subdolo per ottenere informazioni sul firewall e sulla protezione di rete.

Quale tipo di risultati di scansione delle porte si possono ottenere dalla scansione delle porte?

I risultati della scansione delle porte rivelano lo stato della rete o del server. Le porte possono rientrare in una di queste tre categorie: aperte, chiuse o filtrate.

  • Porte aperte: le porte aperte indicano che la rete o il server di destinazione accetta attivamente connessioni o datagrammi e ha risposto con un pacchetto che indica che è in ascolto. Questa categoria indica inoltre che è in uso anche il servizio utilizzato per la scansione (di solito TCP o UDP).
    L'individuazione di porte aperte è in genere l'obiettivo generale della scansione delle porte e una vittoria per un criminale informatico in cerca di una via di attacco. La sfida per gli amministratori IT è tentare di barricare le porte aperte installando firewall per proteggerle senza limitare l'accesso per gli utenti legittimi.
  • Porte chiuse: le porte chiuse indicano che il server o la rete ha ricevuto la richiesta ma non c'è alcun servizio "in ascolto" su quella porta. Una porta chiusa è comunque accessibile e può essere utile per indicare che un host si trova su un indirizzo IP. Gli amministratori IT dovrebbero monitorare ugualmente le porte chiuse poiché potrebbero diventare aperte e creare potenziali vulnerabilità. Gli amministratori IT dovrebbero considerare la possibilità di bloccare le porte chiuse con un firewall, nel qual caso diventerebbero quindi porte "filtrate".
  • Porte filtrate: le porte filtrate indicano che è stato inviato un pacchetto di richieste, ma l'host non ha risposto e non è in ascolto. Ciò significa di solito che un pacchetto di richieste è stato filtrato e/o bloccato da un firewall. Se i pacchetti non raggiungono la posizione di destinazione, gli autori degli attacchi non riescono a trovare maggiori informazioni. Le porte filtrate spesso rispondono con messaggi di errore di "destinazione irraggiungibile" o "comunicazione vietata".
Quale tipo di risultati di scansione delle porte si possono ottenere dalla scansione delle porte?

In che modo i criminali informatici utilizzano la scansione delle porte come metodo di attacco?

Stando a quanto afferma il SANS Institute, la scansione delle porte è una delle tattiche più comuni utilizzate dagli autori degli attacchi in cerca di un server vulnerabile da violare.

Questi criminali utilizzano spesso la scansione delle porte come passaggio preliminare quando prendono di mira le reti. Ricorrono alla scansione delle porte per indagare sui livelli di sicurezza di varie organizzazioni e determinare chi dispone di un firewall potente e chi può avere un server o una rete vulnerabile. Un certo numero di tecniche basate sul protocollo TCP consente effettivamente agli autori di attacchi informatici di nascondere la loro posizione in rete e utilizzare il "traffico esca" per eseguire scansioni di porte senza rivelare l'indirizzo di rete alla destinazione.

Gli autori degli attacchi sondano reti e sistemi per vedere come reagirà ogni porta, che sia aperta, chiusa o filtrata.

Le risposte aperte e chiuse avviseranno ad esempio gli hacker che la rete è di fatto vittima di una scansione. Questi criminali informatici possono quindi determinare il tipo di sistema operativo e il livello di sicurezza dell'operazione.

Dal momento che la scansione delle porte è una vecchia tecnica, essa richiede modifiche alla protezione e informazioni aggiornate sulle minacce di pari passo con l'evoluzione quotidiana di protocolli e strumenti di protezione. Idealmente gli avvisi relativi alla scansione delle porte e i firewall dovrebbero essere utilizzati per monitorare il traffico delle porte e assicurare che gli autori degli attacchi non rilevino potenziali opportunità di accesso non autorizzato alla rete.