Articles

¿Qué es un Escáner de puertos y Cómo Funciona?

admin septiembre 18, 2021 0 Comment

Un escáner de puertos es un programa informático que comprueba los puertos de red en busca de uno de los tres estados posibles: abierto, cerrado o filtrado.

Los escáneres de puertos son herramientas valiosas para diagnosticar problemas de red y conectividad. Sin embargo, los atacantes usan escáneres de puertos para detectar posibles puntos de acceso para infiltrarse e identificar qué tipos de dispositivos está ejecutando en la red, como firewalls, servidores proxy o servidores VPN. Aquí, lo guiaremos a través de los entresijos de un escáner de puertos, incluyendo:

  • Como un escáner de puerto opera
  • Puerto técnicas de exploración
  • herramientas de exploración de Puertos
  • Cómo detectar un escaneo de puertos
  • ¿por Qué usted debe ejecutar un escaneo de puertos

¿Cómo funciona un Escáner de Puerto Operar?

tres posibles respuestas de escaneo de puertos

Un escáner de puertos envía una solicitud de red para conectarse a un puerto TCP o UDP específico en un equipo y registra la respuesta.

Entonces, lo que hace un escáner de puertos es enviar un paquete de datos de red a un puerto para verificar el estado actual. Si quería comprobar si su servidor web funcionaba correctamente, comprobaría el estado del puerto 80 en ese servidor para asegurarse de que estaba abierto y escuchando.

El estado ayuda a los ingenieros de red a diagnosticar problemas de red o problemas de conectividad de aplicaciones, o ayuda a los atacantes a encontrar posibles puertos para infiltrarse en la red.

¿Qué es un Puerto?

Un puerto es una ubicación virtual donde la comunicación de red comienza y termina (en pocas palabras). Para una explicación más detallada, necesitamos establecer un poco de información de antecedentes. Hay dos tipos de puertos de red en cada computadora (65,536 de cada uno para un total de 131,082 puertos de red):

  • TCP y UDP

Cada equipo tiene una dirección de Protocolo de Internet (IP), que es la forma en que la red sabe a qué equipo enviar paquetes. Si envía un paquete a la dirección IP, el equipo sabe a qué puerto enrutar el paquete en función del contenido de la aplicación o del paquete. Cada servicio que se ejecuta en el equipo necesita «escuchar» en un puerto designado.

Los primeros 1023 puertos TCP son los conocidos puertos reservados para aplicaciones como FTP(21), HTTP(80) o SSH(22) y la Autoridad de Números Asignados de Internet (IANA) reserva estos puntos para mantenerlos estandarizados.

Los puertos TCP 1024-49151 están disponibles para uso de servicios o aplicaciones, y puede registrarlos en IANA, por lo que se consideran semi-reservados. Los puertos 49152 y superiores son de uso gratuito.

Conceptos básicos de escaneo de puertos

Un escáner de puertos envía un paquete de red TCP o UDP y pregunta al puerto sobre su estado actual. Los tres tipos de respuestas se encuentran a continuación:

  1. Abierto, aceptado: La computadora responde y pregunta si hay algo que pueda hacer por usted.
  2. Cerrado, No escucha: La computadora responde que » Este puerto está actualmente en uso y no está disponible en este momento.»
  3. Filtrado, Caído, Bloqueado: La computadora ni siquiera se molesta en responder.

Los escaneos de puertos generalmente ocurren al principio de la cadena de muerte cibernética, durante el reconocimiento y la intrusión. Los atacantes utilizan análisis de puertos para detectar objetivos con puertos abiertos y no utilizados que pueden reutilizar para infiltración, comando y control y exfiltración de datos o descubrir qué aplicaciones se ejecutan en ese equipo para explotar una vulnerabilidad en esa aplicación.

Técnicas de escaneo de puertos

Técnicas de escaneo de cinco puertos

Nmap es una de las herramientas de escaneo de puertos de código abierto más populares disponibles. Nmap proporciona una serie de técnicas de escaneo de puertos diferentes para diferentes escenarios.

Escáner de ping

Los escaneos de puertos más simples son los escaneos de ping. Un ping es una solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP): está buscando cualquier respuesta ICMP, lo que indica que el objetivo está vivo. Un escaneo de ping es una ráfaga automatizada de muchas solicitudes de eco ICMP a diferentes objetivos para ver quién responde. Los escaneos de ping técnicamente no son técnicas de escaneo de puertos, ya que lo mejor que puede obtener es que hay una computadora en el otro extremo, pero está relacionado y generalmente es la primera tarea antes de realizar un escaneo de puertos.

Los administradores generalmente deshabilitan ICMP (ping) en el firewall o en el enrutador para el tráfico externo, y lo dejan abierto dentro de la red. Es rápido y fácil desactivar esta funcionalidad y hacer que sea imposible explorar la red de esta manera. Sin embargo, ping es una herramienta útil para la resolución de problemas, y desactivarla hace que el rastreo de problemas de red sea un poco más difícil.

TCP Semiabierto

Una de las técnicas de escaneo de puertos más comunes y populares es el escaneo de puertos semiabierto TCP, a veces conocido como escaneo SYN. Es un escaneo rápido y astuto que intenta encontrar puertos abiertos potenciales en el equipo de destino.

Los paquetes SYN solicitan una respuesta de un ordenador, y un paquete ACK es una respuesta. En una transacción TCP típica, hay un SYN, un ACK del servicio y un tercer mensaje de confirmación ACK recibido.

Este escaneo es rápido y difícil de detectar porque nunca completa el protocolo de enlace TCP 3 completo. El escáner envía un mensaje SYN y solo toma nota de las respuestas SYN-ACK. El escáner no completa la conexión enviando el ACK final: deja el objetivo colgado.

Cualquier respuesta SYN-ACK es posiblemente puertos abiertos. Una respuesta RST(reset) significa que el puerto está cerrado, pero hay un equipo en vivo aquí. Ninguna respuesta indica que SYN está filtrado en la red. Una respuesta ICMP (o ping) sin respuesta también cuenta como una respuesta filtrada.

Los análisis medio abiertos TCP son los análisis predeterminados en NMAP.

TCP Connect

Esta técnica de escaneo de puertos es básicamente la misma que el escaneo TCP Medio abierto, pero en lugar de dejar el destino colgado, el escáner de puertos completa la conexión TCP.

No es una técnica tan popular como el TCP medio abierto. En primer lugar, debe enviar un paquete más por escaneo, lo que aumenta la cantidad de ruido que está haciendo en la red. Segundo, ya que completas la conexión del objetivo, podrías activar una alarma que el escaneo medio abierto no haría.

Los sistemas de destino tienen más probabilidades de registrar una conexión TCP completa, y los sistemas de detección de intrusos (ID) tienen más probabilidades de activar alarmas en varias conexiones TCP desde el mismo host.

La ventaja del análisis TCP connect es que un usuario no necesita el mismo nivel de privilegios para ejecutarse que para ejecutar el análisis medio abierto. Los escaneos TCP connect utilizan los protocolos de conexión que cualquier usuario necesita para conectarse a otros sistemas.

UDP

Las exploraciones UDP son más lentas que las exploraciones TCP, pero hay muchos servicios UDP explotables que los atacantes pueden usar, por ejemplo, exfiltración de DNS. Los defensores necesitan proteger sus puertos UDP con la misma voracidad que sus puertos TCP.

Los escaneos UDP funcionan mejor cuando se envía una carga útil específica al objetivo. Por ejemplo, si desea saber si un servidor DNS está activo, debe enviar una solicitud de DNS. Para otros puertos UDP, el paquete se envía vacío. Una respuesta ICMP inalcanzable significa que el puerto está cerrado o filtrado. Si hay un servicio en ejecución, es posible que obtenga una respuesta UDP, lo que significa que el puerto está abierto. Ninguna respuesta podría significar que el puerto está abierto o filtrado.

Un uso lógico más de una exploración UDP es enviar una solicitud DNS al puerto UDP 53 y ver si obtiene una respuesta DNS. Si obtiene una respuesta, sabrá que hay un servidor DNS en ese equipo. Un escaneo UDP puede ser útil para buscar servicios activos de esa manera, y el escáner de puertos Nmap está preconfigurado para enviar solicitudes para muchos servicios estándar.

Diferencia entre TCP y UDP

TCP y UDP son los dos protocolos más comunes en uso para redes de protocolo de Internet (IP). El Protocolo de Control de Transmisión (TCP) es un protocolo de transacción ordenado: TCP envía cada paquete en orden, completo con verificación de errores, verificación y un apretón de manos de 3 vías para confirmar que cada paquete es exitoso.

UDP no tiene ninguna comprobación de errores, pero tiende a ser más rápido. La transmisión en vivo y los videojuegos en línea a menudo usan UDP por esta razón. UDP es un protocolo sin conexión, por lo que los programas que usan UDP solo envían los datos, y si pierde un paquete, nunca lo volverá a obtener.

Escaneo oculto

Algunas exploraciones de puertos son más fáciles de detectar que otras, por lo que los defensores necesitan conocer estas banderas TCP que permiten a los atacantes hacer que sus exploraciones de puertos sean difíciles de detectar.

Cuando envía un escaneo de puerto con un paquete y la bandera FIN, envía el paquete sin esperar una respuesta. Si obtiene un RST, puede asumir que el puerto está cerrado. Si no recibe nada, eso indica que el puerto está abierto. Los firewalls están buscando paquetes SYN, por lo que los paquetes FIN se deslizan sin ser detectados.

El escaneo X-MAS envía un paquete con las banderas FIN, URG y PUSH y espera una respuesta RST o ninguna, al igual que el escaneo FIN. No hay mucho uso práctico para este escaneo, pero hace que el paquete se parezca a un árbol de Navidad, así que eso es todo.

También puede enviar paquetes sin banderas, llamados paquetes NULOS, y la respuesta es un RST o nada.

Lo bueno – para el hacker-de estos escaneos es que no suelen aparecer en los registros. El software de Detección de Intrusiones (IDS) más reciente y, por supuesto, WireShark detectarán estos escaneos. La mala noticia es que si el objetivo es un sistema operativo Microsoft, solo verá puertos cerrados, pero si encuentra un puerto abierto, puede asumir que no es una máquina Windows. La ventaja más significativa de usar estas banderas es que pueden deslizarse más allá de los cortafuegos, lo que hace que los resultados sean más confiables.

Técnicas de escaneo adicionales

Los escaneos que hemos discutido son los más comunes, pero esta no es una lista exhaustiva. Aquí hay algunos escaneos más y las razones para ejecutarlos:

  • Escaneo TCP ACK: para mapear conjuntos de reglas de firewall
  • Escaneo de ventanas TCP: puede diferenciar puertos abiertos de puertos cerrados, pero solo funciona en una minoría de sistemas
  • –scanflags: para el usuario avanzado que desea enviar sus banderas TCP personalizadas en un escaneo, puede hacerlo en Nmap

Herramientas de escaneo de puertos

  1. Nmap
  2. Escáner de puertos Solarwinds
  3. Netcat
  4. Escáner avanzado de puertos
  5. NetScan Tools

¿Cómo detectar un escaneo de puertos?

cuatro métodos de detección de exploración de puertos

Existen varias técnicas diferentes para detectar exploraciones de puertos, que podrían ser intentos de explorar su red en busca de vulnerabilidades.

One es una aplicación de software de detección de escaneo de puertos dedicada, como PortSentry o Scanlogd.

Netcat incluye la funcionalidad de escaneo de puertos, así como la capacidad de crear un servidor de chat simple o programar diferentes paquetes para fines de prueba.

Los sistemas de detección de intrusos (ID) son otra forma de detectar exploraciones de puertos. Busque un ID que utilice una amplia variedad de reglas para detectar los diversos tipos de análisis de puertos que no se basan simplemente en umbrales.

¿Por qué Debería Ejecutar un Análisis de Puertos?

Debe ejecutar exploraciones de puertos de forma proactiva para detectar y cerrar todas las posibles vulnerabilidades que los atacantes puedan explotar.

El escaneo proactivo de puertos es un buen hábito que debe repetir de forma regular. Además, revise y audite todos los puertos abiertos para verificar que se están utilizando correctamente y que las aplicaciones que sí usan puertos abiertos están seguras y protegidas de vulnerabilidades conocidas.

Implicaciones de ejecutar un análisis de puertos

Aquí hay algunas advertencias para ejecutar análisis de puertos. Es posible que algunos servicios o equipos fallen al escanear puertos. Esto es para sistemas internos más que para sistemas orientados a Internet, pero puede suceder.

Ejecutar exploraciones de puertos sin autorización puede considerarse una acción agresiva, y si está en una red compartida, puede escanear un sistema que no está bajo su control, lo que no es bueno.

Los escaneos de puertos son una parte crítica de la construcción de una buena defensa contra los ciberataques. Los atacantes también están usando análisis de puertos. Usted necesita para vencer a la fuerza y cerrar posibles vectores de ataque y a hacer su vida lo más difícil posible.Sin embargo, proteger el perímetro es solo una parte de la batalla. Debe proteger y supervisar sus datos con la misma vigilancia que protege y supervisa sus puertos. La plataforma de seguridad de datos de Varonis le ayuda a proteger sus datos creando barreras internas a sus datos más confidenciales y, a continuación, monitoreando toda la actividad que podría afectar a esos datos.

Echa un vistazo a nuestro laboratorio de ciberataques en vivo para ver cómo protege Varonis los datos de diferentes ataques.

admin

Related Posts

Geologia fisica

enero 7, 2022

geologia fizică

enero 7, 2022

fizikai Geológia

enero 7, 2022

fysikaalinen geologia

enero 7, 2022

fysische Geologie

enero 7, 2022

Geologia fizyczna

enero 7, 2022

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *