Qu’est-ce qu’un port?
Lorsqu'un périphérique se connecte à un autre périphérique via un réseau, il spécifie un numéro de port TCP ou UDP compris entre 0 et 65535. Certains ports sont toutefois utilisés plus fréquemment. Les ports TCP 0 à 1023 sont des «ports connus» qui fournissent des services système. Par exemple, le port 20 correspond aux transferts de fichiers FTP, le port 22 aux connexions de terminal Secure Shell (SSH), le port 80 au trafic Web HTTP standard et le port 443 au cryptage HTTPS. Ainsi, lorsque vous vous connectez à un site Web sécurisé, votre navigateur Web communique avec le serveur Web qui écoute sur le port 443 de ce serveur.
Les services ne doivent pas toujours s'exécuter sur ces ports spécifiques. Par exemple, vous pouvez exécuter un serveur Web HTTPS sur le port 32342 ou un serveur Secure Shell sur le port 65001, si vous le souhaitez. Ce ne sont que les valeurs par défaut standard.
Qu'est-ce qu'un balayage de port?
Une analyse de port est un processus de vérification de tous les ports d’une adresse IP pour voir s’ils sont ouverts ou fermés. Le logiciel d'analyse de port vérifie les ports 0, 1, 2 et jusqu'au port 65535. Pour ce faire, il envoie simplement une demande à chaque port et demande une réponse. Dans sa forme la plus simple, le logiciel de numérisation de ports pose des questions sur chaque port, un à la fois. Le système distant répondra et indiquera si un port est ouvert ou fermé. La personne qui exécute le scan de port saurait alors quels ports sont ouverts.
Tout pare-feu réseau bloquant ou bloquant le trafic peut également être utilisé. Une analyse de port est également une méthode permettant de déterminer les ports accessibles ou exposés au réseau sur ce système distant.
L'outil nmap est un utilitaire réseau commun utilisé pour l'analyse de port, mais il existe de nombreux autres outils d'analyse de port.
Pourquoi les gens exécutent des analyses de port?
Ces types d'analyses peuvent également aider à détecter les services fonctionnant sur des ports non définis par défaut. Ainsi, si vous exécutez un serveur SSH sur le port 65001 au lieu du port 22, l’analyse du port révélera cette information et l’attaquant pourrait essayer de se connecter à votre serveur SSH sur ce port. Vous ne pouvez pas simplement masquer un serveur sur un port autre que celui par défaut pour sécuriser votre système, bien que cela rend le serveur plus difficile à trouver.
Les analyses de port ne sont pas simplement utilisées par les attaquants. Les balayages de ports sont utiles pour les tests de pénétration défensifs. Une entreprise peut analyser ses propres systèmes pour déterminer les services exposés au réseau et s’assurer qu’ils sont configurés de manière sécurisée.
À quel point les analyses de port sont-elles dangereuses?
Une analyse des ports peut aider un attaquant à trouver un point faible pour attaquer et pénétrer dans un système informatique. Ce n’est que la première étape, cependant. Ce n’est pas parce que vous avez trouvé un port ouvert que vous pouvez l’attaquer. Cependant, une fois que vous avez trouvé un port ouvert exécutant un service d'écoute, vous pouvez le rechercher pour identifier les vulnérabilités. C’est le vrai danger.
Sur votre réseau domestique, vous avez presque certainement un routeur entre vous et Internet. Quelqu'un sur Internet ne pourrait que balayer votre routeur au port, et ils ne trouveraient rien en dehors des services potentiels sur le routeur lui-même. Ce routeur agit comme un pare-feu - sauf si vous avez transféré des ports individuels de votre routeur vers un périphérique, auquel cas ces ports spécifiques sont exposés à Internet.
Pour les serveurs d’ordinateur et les réseaux d’entreprise, les pare-feu peuvent être configurés pour détecter les analyses de port et bloquer le trafic provenant de l’adresse à analyser. Si tous les services exposés à Internet sont configurés de manière sécurisée et n’ont aucune faille de sécurité connue, les analyses de ports ne devraient même pas être trop effrayantes.
Types de scans de ports
Si le port est fermé, le système distant répondra par un message RST (réinitialisation). Si le système distant n’est tout simplement pas présent sur le réseau, il n’y aura pas de réponse.
Certains scanners effectuent une analyse «TCP semi-ouvert». Plutôt que de passer par un cycle complet SYN, SYN-ACK, puis ACK, ils envoient simplement un SYN et attendent un message SYN-ACK ou RST en réponse. Il n’est pas nécessaire d’envoyer un ACK final pour terminer la connexion, car le SYN-ACK indiquerait au scanner tout ce qu’il doit savoir. C’est plus rapide car moins de paquets doivent être envoyés.
D'autres types d'analyses impliquent l'envoi de types de paquets inconnus et mal formés et l'attente de voir si le système distant renvoie un paquet RST fermant la connexion.Si tel est le cas, le scanner sait qu’un système distant se trouve à cet emplacement et qu’un port particulier est fermé sur celui-ci. Si aucun paquet n'est reçu, le scanner sait que le port doit être ouvert.
Un simple scan de port où le logiciel demande des informations sur chaque port, un par un, est facile à repérer. Les pare-feu réseau peuvent facilement être configurés pour détecter et arrêter ce comportement.
C’est pourquoi certaines techniques d’analyse de ports fonctionnent différemment. Par exemple, une analyse de port peut analyser une plage de ports plus petite ou sur toute la plage de ports sur une période beaucoup plus longue, rendant ainsi la détection plus difficile.
Les scans de ports sont un outil de sécurité essentiel pour pénétrer (et sécuriser) les systèmes informatiques. Mais c’est juste un outil qui permet aux attaquants de trouver des ports susceptibles d’être attaqués. Ils ne donnent pas à un attaquant l’accès à un système, et un système configuré de manière sécurisée peut certainement supporter une analyse complète du port sans subir de dommages.
