Nécessité d'un balayage des ports
Les adresses IP sont essentielles à l'acheminement du trafic sur un réseau. Une adresse IP identifie de manière unique l'appareil vers lequel un paquet doit être acheminé. Toutefois, il ne suffit pas de savoir qu'un ordinateur particulier doit recevoir un paquet pour que celui-ci atteigne sa destination. Un ordinateur peut exécuter plusieurs application différents en même temps, et plusieurs d'entre eux peuvent envoyer et recevoir simultanément du trafic sur le réseau.
Les protocoles TCP et UDP définissent le concept de ports sur un ordinateur. Une application peut envoyer du trafic et écouter sur un port particulier. La combinaison d'une adresse IP et d'un port permet à l'appareil de routage et au poste de s'assurer que le trafic atteint l'application prévue.
Comment fonctionne un scanner portuaire ?
Un scanner de port, tel que nmap, fonctionne en envoyant du trafic vers un port particulier et en examinant les résultats. Si un port est ouvert, fermé ou filtré par un réseau sécurité il répondra de différentes manières à un balayage de port, notamment :
- Ouvert : Un port ouvert sur lequel une application est à l'écoute du trafic doit répondre à une demande légitime. Par exemple, un port ouvert recevant un paquet TCP SYN doit répondre par un SYN/ACK.
- Fermé : Si un port est fermé, les tentatives de communication avec lui sont considérées comme une erreur par l'ordinateur. Un paquet TCP SYN vers un port fermé doit entraîner un paquet RST (réinitialisation).
- Filtré : Certains ports peuvent être filtrés par un pare-feu ou des Système de prévention des intrusions (IPS). Les paquets envoyés à ces ports ne recevront probablement aucune réponse.
Les ordinateurs réagissent différemment aux différents paquets. En outre, certains types de balayages de ports sont plus évidents que d'autres. C'est pourquoi un scanner de ports peut utiliser diverses techniques de balayage.
Parmi les types de balayages de ports les plus courants, on peut citer
- Scan Ping : Le type de balayage le plus simple, le balayage ping, envoie une requête ping à un ordinateur et attend une réponse ping. Cette analyse permet de déterminer si un ordinateur est en ligne et joignable.
- SYN Scan : Un paquet SYN est la première étape de la poignée de main TCP, et les ports ouverts répondront par un SYN-ACK. Lors d'un balayage SYN ou TCP semi-ouvert, le scanner de port ne termine pas la poignée de main par l'ACK final, de sorte que la connexion TCP complète n'est pas ouverte.
- TCP Connect Scan : Un balayage de connexion TCP complète la poignée de main TCP. Une fois la connexion établie, le scanner l'interrompt normalement.
- UDP Scan : Les analyses UDP vérifient les ports qui écoutent le trafic UDP. Ceux-ci peuvent identifier des services DNS et d'autres services basés sur UDP.
- XMAS et FIN Scans : Les scans XMAS et FIN enfreignent la norme TCP en envoyant des paquets contenant des combinaisons de drapeaux non valides. Les systèmes réagissent différemment à ces paquets, de sorte que ces analyses peuvent révéler des détails sur le système cible et indiquer s'il est protégé par un pare-feu.
- Analyse de rebond FTP : Le protocole FTP autorise les connexions FTP par proxy, c'est-à-dire qu'un serveur établit des connexions FTP avec un autre serveur pour le compte d'un client. Un balayage de rebond FTP utilise cette fonctionnalité pour effectuer indirectement un balayage de port.
Un balayage des ports peut fournir une multitude d'informations sur un système cible. En plus de déterminer si un système est en ligne et quels ports sont ouverts, les scanners de ports peuvent également identifier les application qui écoutent des ports particuliers et le système d'exploitation de l'hôte. Ces informations supplémentaires peuvent être tirées des différences dans la manière dont un système répond à certains types de demandes.
Comment les cybercriminels utilisent-ils le balayage de ports comme méthode d'attaque ?
Le balayage des ports est une étape courante au cours de la phase de reconnaissance d'une attaque. cyberattack. Un balayage des ports fournit des informations précieuses sur un environnement cible, notamment sur les ordinateurs qui sont en ligne, sur le site application qui fonctionne sur eux et, éventuellement, sur le système en question et ses défenses éventuelles (pare-feu, etc.).
Ces informations peuvent être utiles lors de la planification d'une attaque. Par exemple, le fait de savoir qu'une organisation utilise un serveur web ou DNS particulier peut permettre à l'attaquant d'identifier des vulnérabilités potentiellement exploitables dans ce logiciel.
Prévenir les attaques par balayage de port avec Point de contrôle
De nombreuses techniques utilisées par les scanners de ports sont détectables dans le trafic réseau. Le trafic vers de nombreux ports, dont certains sont fermés, est anormal et peut être détecté par une solution de sécurité réseau telle qu'un IPS. En outre, un pare-feu peut filtrer les ports inutilisés ou mettre en œuvre des listes de contrôle d'accès qui limitent les informations fournies à un scanner de ports.
Check Point’s Quantum IPS offre une protection contre le balayage des ports et d'autres cybermenaces. Pour en savoir plus sur les autres menaces que Quantum IPS peut gérer, consultez le site de Point de contrôle. 2023 Cyber Security Report. Vous êtes également invités à inscrivez-vous pour un démo gratuit pour découvrir par vous-même les capacités de Quantum IPS.
Commentaires