Un scanner de port est un programme informatique qui vérifie les ports réseau pour l’un des trois états possibles – ouvert, fermé ou filtré.

Les scanners de port sont des outils précieux pour diagnostiquer les problèmes de réseau et de connectivité. Cependant, les attaquants utilisent des scanners de ports pour détecter les points d’accès possibles à l’infiltration et pour identifier les types de périphériques que vous utilisez sur le réseau, comme les pare-feu, les serveurs proxy ou les serveurs VPN. Ici, nous vous expliquerons les tenants et les aboutissants d’un scanner de port, notamment:

• Comment fonctionne un scanner de port
• Techniques de balayage de port
• Outils de balayage de port
• Comment détecter une analyse de port
• Pourquoi vous devriez exécuter une analyse de port

Comment fonctionne un scanner de port?

Un scanner de port envoie une demande réseau pour se connecter à un port TCP ou UDP spécifique sur un ordinateur et enregistre la réponse.

Un scanner de port envoie donc un paquet de données réseau à un port pour vérifier l’état actuel. Si vous vouliez vérifier si votre serveur Web fonctionnait correctement, vous verriez l’état du port 80 sur ce serveur pour vous assurer qu’il était ouvert et à l’écoute.

L’état aide les ingénieurs réseau à diagnostiquer les problèmes de réseau ou de connectivité des applications, ou aide les attaquants à trouver les ports possibles à utiliser pour l’infiltration dans votre réseau.

Qu’est-ce qu’un port ?

Un port est un emplacement virtuel où la communication en réseau commence et se termine (en un mot). Pour une explication plus approfondie, nous devons établir un peu d’informations de base. Il existe deux types de ports réseau sur chaque ordinateur (65 536 de chacun pour un total de 131 082 ports réseau):

• TCP et UDP

Chaque ordinateur possède une adresse de protocole Internet (IP), qui permet au réseau de savoir à quel ordinateur envoyer des paquets. Si vous envoyez un paquet à l’adresse IP, l’ordinateur sait vers quel port acheminer le paquet en fonction du contenu de l’application ou du paquet. Chaque service exécuté sur l’ordinateur doit « écouter » sur un port désigné.

Les 1023 premiers ports TCP sont les ports bien connus réservés à des applications telles que FTP(21), HTTP (80) ou SSH (22) et l’Internet Assigned Numbers Authority (IANA) réserve ces points pour les maintenir standardisés.

Les ports TCP 1024 – 49151 sont disponibles pour être utilisés par des services ou des applications, et vous pouvez les enregistrer auprès de l’IANA, ils sont donc considérés comme semi-réservés. Les ports 49152 et supérieurs sont libres d’utilisation.

Bases de la numérisation des ports

Un scanner de ports envoie un paquet réseau TCP ou UDP et demande au port son état actuel. Les trois types de réponses sont ci-dessous:

1. Ouvert, accepté: L’ordinateur répond et demande s’il peut faire quelque chose pour vous.
2. Fermé, Pas d’écoute: L’ordinateur répond que « Ce port est actuellement utilisé et indisponible pour le moment. »
3. Filtré, Abandonné, Bloqué: L’ordinateur ne prend même pas la peine de répondre.

Les analyses de ports se produisent généralement au début de la chaîne de cyber-destruction, lors de la reconnaissance et de l’intrusion. Les attaquants utilisent des analyses de ports pour détecter des cibles avec des ports ouverts et inutilisés qu’ils peuvent réutiliser pour l’infiltration, le commandement et le contrôle et l’exfiltration de données ou découvrir quelles applications s’exécutent sur cet ordinateur pour exploiter une vulnérabilité dans cette application.

Techniques de balayage de ports

Nmap est l’un des outils de balayage de ports open source les plus populaires disponibles. Nmap fournit un certain nombre de techniques d’analyse de ports différentes pour différents scénarios.

Scanner Ping

Les analyses de port les plus simples sont les analyses ping. Un ping est une demande d’écho de protocole ICMP (Internet Control Message Protocol) – vous recherchez des réponses ICMP, ce qui indique que la cible est vivante. Une analyse ping est une explosion automatisée de nombreuses demandes d’écho ICMP vers différentes cibles pour voir qui répond. Les analyses Ping ne sont pas techniquement des techniques d’analyse de port, car le mieux que vous puissiez récupérer est qu’il y a un ordinateur à l’autre extrémité, mais c’est lié et généralement la première tâche avant de faire une analyse de port.

Les administrateurs désactivent généralement ICMP (ping) sur le pare-feu ou sur le routeur pour le trafic externe, et ils le laissent ouvert à l’intérieur du réseau. Il est rapide et facile de désactiver cette fonctionnalité et de rendre impossible l’exploration du réseau de cette façon. Cependant, ping est un outil de dépannage utile, et le désactiver rend le suivi des problèmes de réseau un peu plus difficile.

TCP Half Open

L’une des techniques d’analyse de port les plus courantes et les plus populaires est l’analyse de port TCP half-open, parfois appelée analyse SYN. C’est une analyse rapide et sournoise qui tente de trouver des ports ouverts potentiels sur l’ordinateur cible.

Les paquets SYN demandent une réponse d’un ordinateur, et un paquet ACK est une réponse. Dans une transaction TCP typique, il y a un SYN, un ACK du service et un troisième message de confirmation ACK reçu.

Cette analyse est rapide et difficile à détecter car elle ne termine jamais la prise de contact à 3 voies TCP complète. Le scanner envoie un message SYN et note simplement les réponses SYN-ACK. Le scanner ne termine pas la connexion en envoyant l’ACK final: il laisse la cible suspendue.

Toutes les réponses SYN-ACK sont éventuellement des ports ouverts. Une réponse RST (reset) signifie que le port est fermé, mais il y a un ordinateur en direct ici. Aucune réponse n’indique que SYN est filtré sur le réseau. Une réponse non ICMP (ou ping) compte également comme réponse filtrée.

Les analyses TCP semi-ouvertes sont les analyses par défaut dans NMAP.

TCP Connect

Cette technique d’analyse de port est fondamentalement la même que l’analyse à moitié ouverte TCP, mais au lieu de laisser la cible suspendue, le scanner de port termine la connexion TCP.

Ce n’est pas une technique aussi populaire que le TCP semi-ouvert. Tout d’abord, vous devez envoyer un paquet de plus par analyse, ce qui augmente la quantité de bruit que vous faites sur le réseau. Deuxièmement, puisque vous terminez la connexion de la cible, vous pourriez déclencher une alarme que l’analyse semi-ouverte ne déclencherait pas.

Les systèmes cibles sont plus susceptibles d’enregistrer une connexion TCP complète, et les systèmes de détection d’intrusion (ID) sont également plus susceptibles de déclencher des alarmes sur plusieurs connexions TCP à partir du même hôte.

L’avantage de l’analyse TCP connect est qu’un utilisateur n’a pas besoin du même niveau de privilèges pour s’exécuter que pour exécuter l’analyse semi-ouverte. Les analyses de connexion TCP utilisent les protocoles de connexion dont tout utilisateur a besoin pour se connecter à d’autres systèmes.

UDP

Les analyses UDP sont plus lentes que les analyses TCP, mais il existe de nombreux services UDP exploitables que les attaquants peuvent utiliser, par exemple l’exfiltration DNS. Les défenseurs doivent protéger leurs ports UDP avec la même voracité que leurs ports TCP.

Les analyses UDP fonctionnent mieux lorsque vous envoyez une charge utile spécifique à la cible. Par exemple, si vous souhaitez savoir si un serveur DNS est opérationnel, vous devez envoyer une demande DNS. Pour les autres ports UDP, le paquet est envoyé vide. Une réponse ICMP inaccessible signifie que le port est fermé ou filtré. S’il y a un service en cours d’exécution, vous pouvez obtenir une réponse UDP, ce qui signifie que le port est ouvert. Aucune réponse ne peut signifier que le port est ouvert ou filtré.

Une autre utilisation logique d’une analyse UDP consiste à envoyer une requête DNS au port UDP 53 et à voir si vous obtenez une réponse DNS. Si vous obtenez une réponse, vous savez qu’il y a un serveur DNS sur cet ordinateur. Une analyse UDP peut être utile pour rechercher des services actifs de cette façon, et le scanner de port Nmap est préconfiguré pour envoyer des demandes pour de nombreux services standard.

Différence entre TCP et UDP

TCP et UDP sont les deux protocoles les plus couramment utilisés pour les réseaux de protocole Internet (IP). Le protocole TCP (Transmission Control Protocol) est un protocole de transaction bien ordonné: TCP envoie chaque paquet dans l’ordre, avec vérification des erreurs, vérification et prise de contact à 3 voies pour confirmer que chaque paquet est réussi.

UDP n’a aucune vérification d’erreur mais a tendance à être plus rapide. La diffusion en direct et les jeux vidéo en ligne utilisent souvent UDP pour cette raison. UDP est un protocole sans connexion, donc les programmes qui utilisent UDP envoient simplement les données – et si vous manquez un paquet, vous ne l’obtiendrez plus jamais.

Analyse furtive

Certaines analyses de port sont plus faciles à détecter que d’autres, donc les défenseurs doivent connaître ces indicateurs TCP qui permettent aux attaquants de rendre leurs analyses de port difficiles à détecter.

Lorsque vous envoyez une analyse de port avec un paquet et l’indicateur FIN, vous envoyez le paquet sans attendre de réponse. Si vous obtenez un RST, vous pouvez supposer que le port est fermé. Si vous ne récupérez rien, cela indique que le port est ouvert. Les pare-feu recherchent des paquets SYN, de sorte que les paquets FIN passent inaperçus.

L’analyse X-MAS envoie un paquet avec les indicateurs FIN, URG et PUSH et attend une première ou aucune réponse, tout comme l’analyse FIN. Il n’y a pas beaucoup d’utilisation pratique pour cette analyse, mais cela fait que le paquet ressemble à un arbre de Noël, donc il y a ça.

Vous pouvez également envoyer des paquets sans drapeaux, appelés paquet NULL, et la réponse est soit un premier, soit rien.

La bonne chose – pour le pirate – à propos de ces analyses est qu’elles n’apparaissent généralement pas dans les journaux. Des logiciels de détection d’intrusion (IDS) plus récents et, bien sûr, WireShark intercepteront ces analyses. La mauvaise nouvelle est que si la cible est un système d’exploitation Microsoft, vous ne verrez que des ports fermés – mais si vous trouvez un port ouvert, vous pouvez supposer que ce n’est pas une machine Windows. L’avantage le plus important de l’utilisation de ces drapeaux est qu’ils peuvent passer devant les pare-feu, ce qui rend les résultats plus fiables.

Techniques de numérisation supplémentaires

Les scans dont nous avons parlé sont les plus courants, mais il ne s’agit pas d’une liste exhaustive. Voici quelques scans supplémentaires et les raisons de les exécuter:

• Analyse ACK TCP: pour mapper les jeux de règles de pare–feu
• Analyse de fenêtre TCP: peut différencier les ports ouverts des ports fermés mais ne fonctionne que sur une minorité de systèmes
• – scanflags: pour l’utilisateur avancé qui souhaite envoyer ses drapeaux TCP personnalisés dans une analyse, vous pouvez le faire dans Nmap

Outils de numérisation de ports

1. Nmap
2. Scanner de ports Solarwinds
3. Netcat
4. Scanner de port avancé
5. Outils NetScan

Comment détecter une analyse de port?

Il existe plusieurs techniques différentes pour détecter les analyses de ports, qui peuvent être des tentatives d’analyse de votre réseau pour détecter les vulnérabilités.

One est une application logicielle dédiée au détecteur de balayage de ports, comme PortSentry ou Scanlogd.

Netcat inclut la fonctionnalité d’analyse des ports ainsi que la possibilité de créer un serveur de chat simple ou de programmer différents paquets à des fins de test.

Les systèmes de détection d’intrusion (IDS) sont un autre moyen de détecter les analyses de ports. Recherchez un ID qui utilise une grande variété de règles pour détecter les différents types d’analyses de ports qui ne sont pas simplement basées sur des seuils.

Pourquoi Devriez-vous lancer une analyse de port ?

Vous devez exécuter des analyses de ports de manière proactive pour détecter et fermer toutes les vulnérabilités possibles que les attaquants pourraient exploiter.

L’analyse proactive des ports est une bonne habitude que vous devez répéter régulièrement. En outre, examinez et auditez tous les ports ouverts pour vérifier qu’ils sont utilisés correctement et que toutes les applications qui utilisent des ports ouverts sont sécurisées et protégées contre les vulnérabilités connues.

Implications de l’exécution d’une analyse de port

Voici quelques mises en garde à l’exécution d’analyses de port. Certains services ou ordinateurs peuvent échouer lors d’une analyse de port. Cela concerne davantage les systèmes internes que les systèmes orientés vers Internet, mais cela peut arriver.

L’exécution d’analyses de ports sans autorisation peut être considérée comme une action agressive, et si vous êtes sur un réseau partagé, vous pouvez analyser un système qui n’est pas sous votre contrôle, ce qui n’est pas bon.

Les analyses de ports sont un élément essentiel de la construction d’une bonne défense contre les cyberattaques. Les attaquants utilisent également des analyses de ports. Vous devez les battre au coup de poing et fermer les vecteurs d’attaque possibles et leur rendre la vie aussi difficile que possible.

La protection du périmètre n’est cependant qu’une partie de la bataille. Vous devez protéger et surveiller vos données avec la même vigilance que vous protégez et surveillez vos ports. Varonis Data Security Platform vous aide à protéger vos données en créant des barrières internes à vos données les plus sensibles, puis en surveillant toutes les activités susceptibles d’avoir un impact sur ces données.

Consultez notre laboratoire de cyberattaques en direct pour voir comment Varonis protège les données contre différentes attaques.