¿Qué es el escaneo de puertos? Es similar a un ladrón que recorre su vecindario y revisa cada puerta y ventana de cada casa para ver cuáles están abiertas y cuáles están cerradas.
TCP (Protocolo de control de transmisión) y UDP (Protocolo de datagramas de usuario) son dos de los protocolos que conforman el conjunto de protocolos TCP / IP que se utiliza universalmente para comunicarse en Internet. Cada uno de estos tiene puertos de 0 a 65535 disponibles, por lo que esencialmente hay más de 65,000 puertas para bloquear.
Los primeros 1024 puertos TCP se denominan puertos conocidos y están asociados con servicios estándar como FTP, HTTP, SMTP o DNS. Algunas de las direcciones sobre 1023 también tienen servicios comúnmente asociados, pero la mayoría de estos puertos no están asociados con ningún servicio y están disponibles para que un programa o aplicación los use para comunicarse.
Cómo funciona el escaneo de puertos
El software de escaneo de puertos, en su estado más básico, simplemente envía una solicitud para conectarse a la computadora de destino en cada puerto de forma secuencial y anota qué puertos respondieron o parecen abiertos para un sondeo más profundo.
Si el escaneo de puertos se realiza con intenciones maliciosas, el intruso generalmente preferiría pasar desapercibido. Las aplicaciones de seguridad de red pueden configurarse para alertar a los administradores si detectan solicitudes de conexión a través de una amplia gama de puertos desde un único host. Para evitar esto, el intruso puede hacer el escaneo del puerto en modo estroboscópico o sigilo. La luz estroboscópica limita los puertos a un conjunto de objetivos más pequeño en lugar de la exploración general de los 65536 puertos. El escaneo de sigilo utiliza técnicas como ralentizar el escaneo. Al escanear los puertos durante un período de tiempo mucho más prolongado, se reduce la posibilidad de que el objetivo active una alerta.
Al establecer diferentes indicadores TCP o al enviar diferentes tipos de paquetes TCP, el escaneo de puertos puede generar diferentes resultados o ubicar puertos abiertos de diferentes maneras. Un escaneo SYN le dirá al escáner de puertos qué puertos están escuchando y cuáles no dependen del tipo de respuesta generada. Una exploración FIN generará una respuesta de los puertos cerrados, pero los puertos que están abiertos y escuchando no enviarán una respuesta, por lo que el escáner de puertos podrá determinar qué puertos están abiertos y cuáles no.
Hay una serie de métodos diferentes para realizar los análisis de puertos reales, así como trucos para ocultar la verdadera fuente de un análisis de puertos.
Cómo monitorear escaneos de puertos
Es posible monitorear su red para escanear puertos. El truco, como con la mayoría de las cosas en la seguridad de la información, es encontrar el equilibrio adecuado entre el rendimiento de la red y la seguridad de la red. Puede monitorear las exploraciones SYN registrando cualquier intento de enviar un paquete SYN a un puerto que no esté abierto o escuchando. Sin embargo, en lugar de ser alertado cada vez que se produce un solo intento, y posiblemente ser despertado en medio de la noche por un error inocente, debe elegir los umbrales para activar la alerta. Por ejemplo, podría decir que si hay más de 10 intentos de paquetes SYN en puertos que no se escuchan en un minuto dado, se debe activar una alerta. Puede diseñar filtros y trampas para detectar una variedad de métodos de escaneo de puertos, buscando un pico en los paquetes FIN o simplemente un número anómalo de intentos de conexión a una variedad de puertos y / o direcciones IP desde una única fuente de IP.
Para ayudar a garantizar que su red esté protegida y segura, es posible que desee realizar sus propios análisis de puertos. UNA MAYOR La advertencia aquí es asegurarse de tener la aprobación de todos los poderes antes de embarcarse en este proyecto para que no se encuentre en el lado equivocado de la ley. Para obtener resultados precisos, puede ser mejor realizar el escaneo de puertos desde una ubicación remota utilizando equipos que no sean de la compañía y un ISP diferente. Al usar software como Nmap, puede escanear un rango de direcciones IP y puertos y averiguar qué vería un atacante si escaneara su red en un puerto. NMap, en particular, le permite controlar casi todos los aspectos de la exploración y realizar varios tipos de exploración de puertos para satisfacer sus necesidades.
Una vez que descubra qué puertos responden que están abiertos al escanear puertos en su propia red, puede comenzar a trabajar para determinar si en realidad es necesario para que esos puertos sean accesibles desde fuera de su red. Si no son necesarios, debe apagarlos o bloquearlos. Si son necesarios, puede comenzar a investigar qué tipo de vulnerabilidades y vulnerabilidades está abierta para su red al tener estos puertos accesibles y trabajar para aplicar los parches adecuados o la mitigación para proteger su red tanto como sea posible.
