in

HTG explique: Qu’est-ce que l’analyse des ports?

Une analyse de port est un peu comme secouer un tas de poignées de porte pour voir quelles portes sont verrouillées. Le scanner apprend quels ports sur un routeur ou un pare-feu sont ouverts et peut utiliser ces informations pour trouver les faiblesses potentielles d’un système informatique.

Qu’est-ce qu’un port?

Lorsqu’un périphérique se connecte à un autre périphérique sur un réseau, il spécifie un numéro de port TCP ou UDP compris entre 0 et 65535. Certains ports sont toutefois utilisés plus fréquemment. Les ports TCP 0 à 1023 sont des «ports bien connus» qui fournissent des services système. Par exemple, le port 20 correspond aux transferts de fichiers FTP, le port 22 aux connexions de terminaux Secure Shell (SSH), le port 80 correspond au trafic Web HTTP standard et le port 443 correspond au HTTPS crypté. Ainsi, lorsque vous vous connectez à un site Web sécurisé, votre navigateur Web communique avec le serveur Web qui écoute sur le port 443 de ce serveur.

Les services ne doivent pas toujours s’exécuter sur ces ports spécifiques. Par exemple, vous pouvez exécuter un serveur Web HTTPS sur le port 32342 ou un serveur Secure Shell sur le port 65001, si vous le souhaitez. Ce ne sont que les valeurs par défaut standard.

Qu’est-ce qu’une analyse de port?

Une analyse de port est un processus de vérification de tous les ports à une adresse IP pour voir s’ils sont ouverts ou fermés. Le logiciel d’analyse des ports vérifierait le port 0, le port 1, le port 2 et tout le chemin jusqu’au port 65535. Il le fait simplement en envoyant une demande à chaque port et en demandant une réponse. Dans sa forme la plus simple, le logiciel d’analyse des ports pose des questions sur chaque port, un à la fois. Le système distant répondra et dira si un port est ouvert ou fermé. La personne exécutant l’analyse des ports saurait alors quels ports sont ouverts.

Tout pare-feu réseau peut bloquer ou supprimer le trafic, de sorte qu’une analyse des ports est également une méthode permettant de trouver les ports accessibles ou exposés au réseau sur ce système distant.

le outil nmap est un utilitaire réseau couramment utilisé pour l’analyse des ports, mais il existe de nombreux autres outils d’analyse des ports.

Pourquoi les gens exécutent-ils des analyses de port?

Les analyses de port sont utiles pour déterminer les vulnérabilités d’un système. Une analyse de port indiquerait à un attaquant quels ports sont ouverts sur le système, et cela l’aiderait à formuler un plan d’attaque. Par exemple, si un serveur Secure Shell (SSH) était détecté comme écoutant sur le port 22, l’attaquant pourrait essayer de se connecter et de vérifier les mots de passe faibles. Si un autre type de serveur écoute sur un autre port, l’attaquant pourrait le piquer et voir s’il y a un bogue qui peut être exploité. Peut-être qu’une ancienne version du logiciel est en cours d’exécution et qu’il existe une faille de sécurité connue.

Ces types d’analyses peuvent également aider à détecter les services exécutés sur des ports autres que ceux par défaut. Ainsi, si vous exécutez un serveur SSH sur le port 65001 au lieu du port 22, l’analyse du port le révélera et l’attaquant pourrait essayer de se connecter à votre serveur SSH sur ce port. Vous ne pouvez pas simplement masquer un serveur sur un port autre que celui par défaut pour sécuriser votre système, bien que cela rende le serveur plus difficile à trouver.

Les scans de port ne sont pas seulement utilisés par les attaquants. Les scans de ports sont utiles pour les tests de pénétration défensifs. Une organisation peut analyser ses propres systèmes pour déterminer quels services sont exposés au réseau et s’assurer qu’ils sont configurés en toute sécurité.

À quel point les analyses de port sont-elles dangereuses?

Une analyse de port peut aider un attaquant à trouver un point faible pour attaquer et s’introduire dans un système informatique. Ce n’est cependant que la première étape. Ce n’est pas parce que vous avez trouvé un port ouvert que vous pouvez l’attaquer. Mais, une fois que vous avez trouvé un port ouvert exécutant un service d’écoute, vous pouvez le scanner à la recherche de vulnérabilités. C’est le vrai danger.

Sur votre réseau domestique, vous avez presque certainement un routeur entre vous et Internet. Quelqu’un sur Internet ne pourrait que scanner le port de votre routeur et ne trouverait rien en dehors des services potentiels sur le routeur lui-même. Ce routeur agit comme un pare-feu, sauf si vous avez transféré des ports individuels de votre routeur vers un périphérique, auquel cas ces ports spécifiques sont exposés à Internet.

Pour les serveurs informatiques et les réseaux d’entreprise, les pare-feu peuvent être configurés pour détecter les analyses de port et bloquer le trafic provenant de l’adresse qui analyse. Si tous les services exposés à Internet sont configurés de manière sécurisée et ne présentent aucune faille de sécurité connue, les analyses de port ne devraient même pas être trop effrayantes.

Types d’analyses de ports

Dans une analyse de port «connexion TCP complète», le scanner envoie un message SYN (demande de connexion) à un port. Si le port est ouvert, le système distant répond par un message SYN-ACK (accusé de réception). Le scanner répond alors avec son propre message ACK (accusé de réception). C’est un plein Prise de contact de la connexion TCPet le scanner sait que le système accepte les connexions sur un port si ce processus a lieu.

Si le port est fermé, le système distant répondra par un message RST (réinitialisation). Si le système distant n’est tout simplement pas présent sur le réseau, il n’y aura aucune réponse.

Certains scanners effectuent une analyse «TCP semi-ouverte». Plutôt que de passer par un cycle complet SYN, SYN-ACK, puis ACK, ils envoient simplement un SYN et attendent un message SYN-ACK ou RST en réponse. Il n’est pas nécessaire d’envoyer un ACK final pour terminer la connexion, car le SYN-ACK dirait au scanner tout ce qu’il doit savoir. C’est plus rapide car moins de paquets doivent être envoyés.

D’autres types d’analyses impliquent l’envoi de types de paquets inconnus et mal formés et l’attente de voir si le système distant renvoie un paquet RST fermant la connexion. Si tel est le cas, le scanner sait qu’il y a un système distant à cet emplacement et qu’un port particulier y est fermé. Si aucun paquet n’est reçu, le scanner sait que le port doit être ouvert.

Une analyse simple des ports où le logiciel demande des informations sur chaque port, un par un, est facile à repérer. Les pare-feu réseau peuvent être facilement configurés pour détecter et arrêter ce comportement.

C’est pourquoi certaines techniques d’analyse des ports fonctionnent différemment. Par exemple, une analyse de port pourrait analyser une plus petite plage de ports, ou pourrait analyser la plage complète de ports sur une période beaucoup plus longue, de sorte qu’elle serait plus difficile à détecter.

Les scans de ports sont un outil de sécurité de base et de base lorsqu’il s’agit de pénétrer (et de sécuriser) les systèmes informatiques. Mais ce n’est qu’un outil qui permet aux attaquants de trouver des ports susceptibles d’être vulnérables aux attaques. Ils ne permettent pas à un attaquant d’accéder à un système, et un système configuré de manière sécurisée peut certainement résister à une analyse complète des ports sans dommage.

Crédit d’image: xfilephotos/Shutterstock.com, Idée Casezy/Shutterstock.com.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment utiliser Dropbox avec un iPhone ou un iPod Touch

Comment utiliser Dropbox avec un iPhone ou un iPod Touch

Comment redémarrer un niveau de course Super Mario sans mourir