Uma varredura de porta é uma técnica de reconhecimento de rede projetada para identificar quais portas estão abertas em um computador. Isso pode permitir que o scanner identifique o aplicativo em execução no sistema à medida que determinados programas escutam em portas específicas e reagem ao tráfego de determinadas maneiras. Por exemplo, HTTP usa a porta 80, DNS usa a porta 53 e SSH usa a porta 22.
Os endereços IP são vitais para rotear o tráfego em uma rede. Um endereço IP identifica exclusivamente o dispositivo para onde um pacote deve ser roteado. Porém, saber que um determinado computador deve receber um pacote não é suficiente para que ele chegue ao seu destino. Um computador pode executar vários aplicativos diferentes ao mesmo tempo e vários podem enviar e receber tráfego pela rede simultaneamente.
Os protocolos TCP e UDP definem o conceito de portas em um computador. Um aplicativo pode enviar tráfego e escutar em uma porta específica. A combinação de um endereço IP e uma porta permite rotear o dispositivo e o endpoint para garantir que o tráfego chegue ao aplicativo pretendido.
Um scanner de porta, como o nmap, funciona enviando tráfego para uma porta específica e examinando os resultados. Se uma porta estiver aberta, fechada ou filtrada por um segurança de rede solução, ele responderá de diferentes maneiras a uma varredura de porta, incluindo:
Computadores diferentes responderão a pacotes diferentes de maneiras diferentes. Além disso, alguns tipos de varredura de portas são mais óbvios que outros. Por esse motivo, um scanner de porta pode usar uma variedade de técnicas de varredura.
Alguns dos tipos mais comuns de varredura de portas incluem:
Uma varredura de porta pode fornecer muitas informações sobre um sistema de destino. Além de identificar se um sistema está on-line e quais portas estão abertas, os scanners de portas também podem identificar o aplicativo que escuta portas específicas e o sistema operacional do host. Essas informações adicionais podem ser obtidas a partir de diferenças na forma como um sistema responde a determinados tipos de solicitações.
A varredura de portas é uma etapa comum durante a fase de reconhecimento de um ataque cibernético. Uma varredura de porta fornece informações valiosas sobre um ambiente de destino, incluindo os computadores que estão online, o aplicativo que está sendo executado neles e, potencialmente, detalhes sobre o sistema em questão e quaisquer defesas que ele possa ter (firewall, etc.).
Esta informação pode ser útil ao planejar um ataque. Por exemplo, saber que uma organização está executando um determinado servidor web ou DNS pode permitir que o invasor identifique uma vulnerabilidade potencialmente explorável nesse software.
Muitas das técnicas utilizadas pelos scanners de portas são detectáveis no tráfego de rede. O tráfego para muitas portas, algumas das quais estão fechadas, é anômalo e pode ser detectado por uma solução de segurança de rede como um IPS. Além disso, um firewall pode filtrar portas não utilizadas ou implementar listas de controle de acesso que limitam as informações fornecidas a um scanner de porta.
Check Point’s Quantum IPS fornece proteção contra varredura de portas e outras ameaças cibernéticas. Para saber mais sobre as outras ameaças que o Quantum IPS pode gerenciar, confira o site da Check Point Relatório de cibersegurança 2023. Você também é bem-vindo inscreva-se para uma demogratuita para ver você mesmo os recursos do Quantum IPS.