Che cos’è il port scanning? Che tipo di tecnica è? Come funziona? E soprattutto come possiamo difenderci dal port scanning malevolo?
In questa pubblicazione gli esperti di Cyberment, azienda di sicurezza informatica specializzata in consulenza, il cui red team è composto da hacker etici e specialisti in cybersecurity qualificati nell’identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web, trattano da vicino questo tipo di tecnica e consigliano le best practice per difendersi dagli attacchi malevoli di port scanning.
«Il port scanning è una tecnica, o meglio un insieme di tecniche, utilizzate per determinare quante e quali porte siano aperte su un generico host.
Questa tecnica vale sia che si parli di un server o un client, un router o un firewall, ma anche un qualsiasi dispositivo collegato ad una rete LAN o più genericamente a Internet.
In informatica, cosa sono le porte
Facciamo un passo indietro per capire cosa sono le porte quando parliamo di comunicazione.
Le comunicazioni tra dispositivi in rete e su Internet sono “regolate” da un insieme di protocolli di rete.
Tra i più importanti ed utilizzati sicuramente ci sono il TCP (Transmission Control Protocol) e UDP (User Datagram Protocol).
Le comunicazioni attraverso questi protocolli avvengono con due elementi fondamentali:
- Indirizzo IP
- Porta.
Se l’indirizzo IP è il dato che identifica univocamente un host sulla rete (o su Internet), la porta serve ad instradare la comunicazione verso un determinato servizio o applicazione.
Così un pacchetto dati in trasmissione dovrà contenere queste informazioni:
IP mittente – Porta mittente – IP destinatario – Porta destinatario
Le porte sono gestite a livello software e sono identificabili con un numero da 0 a 65535.
Molte sono assegnate a protocolli di uso comune, mentre quelle libere possono essere scelte per applicazioni specifiche o per modificare le porte predefinite. Per esempio, i protocolli come comuni http e https, ftp, rdp utilizzano di default rispettivamente le porte 80/TCP, 443/TCP, 3389/TCP-UDP.
Come funziona il Port Scanning attack
La scansione delle porte viene eseguita generalmente tramite dei software appositi, chiamati port scanner, spesso i più semplici sono anche tool gratuiti o web application a disposizione di chiunque.
Gli scanner inviano delle richieste verso l’host destinatario indirizzate alle porte specifiche e ne analizzano la risposta. Queste richieste possono essere inviate utilizzando tecniche diverse che servono principalmente a determinare lo stato della porta. Queste, infatti, possono essere sostanzialmente in tre stati:
- Aperta – sull’host è in esecuzione un servizio in ascolto su quella porta.
- Chiusa – l’host comunica in risposta che le richieste su quella porta saranno rifiutate.
- Filtrata – non si ottiene nessuna risposta dall’host su questa porta, significa in genere che la porta è bloccata o gestita da un firewall.
Il port scanning può essere eseguito con le stesse tecniche ma con 2 obiettivi differenti:
Scansione verticale
La scansione viene eseguita su un singolo IP su tutte le porte (o sulle porte più sensibili) per determinare quali siano aperte.
Scansione orizzontale
La scansione viene eseguita su un insieme di IP noti verso una singola porta (o un gruppo ristretto di porte), per capire quanti host di un insieme predeterminato abbiano determinate porte aperte.
Perché è importante il port scanning per la sicurezza informatica
Il port scanning viene spesso utilizzato da amministratori di rete o addetti alla sicurezza informatica per monitorare eventuali porte indesiderate aperte, e quindi falle nella sicurezza. Ovviamente, sappiamo che allo stesso modo agiranno anche i criminali informatici.
Oltre allo stato puro e semplice della porta, in sistemi non adeguatamente configurati, col port scanning è possibile determinare anche:
- tipo di dispositivo
- il sistema operativo
- tipologia di servizi in esecuzione
- livello di autenticazione richiesta
Queste informazioni sono preziosissime per un criminal hacker, perché può lavorare su tutti i bug e falle di sicurezza note e meno note.
Infatti, una porta aperta su un servizio su un server, esposto senza filtro di un firewall, ad esempio, può essere veicolo per numerosi tipi di attacchi informatici. Una scansione orizzontale può essere utilizzata dai criminali informatici per preparare un attacco massivo su insieme di obiettivi in cui venga rilevata una vulnerabilità nota su un servizio esposto.
Gli obiettivi non sono infatti solo server, ma possono essere anche client, router, NAS, e altri dispositivi che possano essere fondamentali in realtà produttive oppure utili per rilanciare altri tipi di attacchi.
I bollettini di sicurezza raccontano una realtà in cui dispositivi e server vengono spesso attaccati su porte e servizi ritenuti sicuri, e gli attacchi vengono concentrati spesso in brevi lassi temporali per essere efficaci prima che la vulnerabilità e l’attacco siano analizzati e bloccati tramite patch e aggiornamenti.
Come difendersi dagli attacchi port scanning malevoli
Le così dette best practice per difendersi dagli attacchi malevoli di post scanning sono quelle di:
- dotarsi di firewall aggiornati e correttamente configurati
- configurare correttamente tutti i servizi di sicurezza informatica presenti nell’infrastruttura
- eliminare o filtrare tutto il traffico dati non necessario,
- non esporre direttamente servizi su internet senza robuste strategie di autenticazione,
- monitorare costantemente lo stato della rete e delle risorse
- aggiornare costantemente tutti gli apparati.
Il monitoraggio è forse la parte più importante e più complessa, perché lo stato del nostro sistema informatico non è statico.
Se oggi eseguiamo tutti i controlli del caso, domani potremmo svegliarci con una nuova vulnerabilità di sicurezza mai rilevata prima. Magari quest’ultima vulnerabilità potrebbe essere causata dall’ultimo aggiornamento installato su un server, oppure da una porta aperta da un malware lanciato dalla pendrive di un collega sul suo pc, o a causa di phishing.
Le variabili sono tante e gli scenari sempre in evoluzione.
Un Vulnerability Assessment ricorsivo permette non solo di avere un quadro esaustivo delle vulnerabilità e delle azioni da intraprendere, ma svolge quella funzione fondamentale di monitoraggio che non è sempre scontata».
https://cyberment.it/cyber-attacchi/port-scanning-tecnica-di-offesa-e-difesa/