Qu’est-ce que l’analyse des ports ?

Qu’est-ce que l’analyse des ports ? Le processus est similaire à celui d'un cambrioleur qui parcourt votre quartier et vérifie chaque porte et fenêtre de chaque maison pour voir lesquelles sont ouvertes et lesquelles sont verrouillées.

TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) sont deux des protocoles qui composent la suite de protocoles TCP/IP , couramment utilisés pour la communication sur Internet. Chaque protocole dispose de ports disponibles de 0 à 65 535, ce qui signifie qu'il y a essentiellement plus de 65 000 portes à verrouiller.

Comment fonctionne l'analyse des ports ?

Le logiciel d'analyse des ports, dans son état le plus élémentaire, envoie des demandes de connexion à l'ordinateur cible sur chaque port de manière séquentielle et note quels ports ont répondu ou semblent ouverts pour une analyse plus approfondie.

Port Scanning est similaire à un cambrioleur qui traverse votre quartier, vérifiant chaque porte et fenêtre de chaque maison pour voir lesquelles sont ouvertes et lesquelles sont verrouillées.

Si l'analyse des ports est effectuée dans un but malveillant, l'intrus souhaite souvent rester indétectable. Vous pouvez configurer des applications de sécurité réseau pour alerter les administrateurs s'ils détectent des demandes de connexion sur plusieurs types de ports à partir d'un seul hôte.

Pour résoudre ce problème, un intrus peut effectuer une analyse de port en mode Strobe ou Stealth. Strobe limite les ports à un plus petit ensemble de cibles au lieu d'analyser l'intégralité des 65 536 ports. Stealth utilise des techniques telles que le ralentissement du processus d'analyse. En analysant les ports sur une longue période, la probabilité qu'une cible déclenche une alarme est réduite.

En définissant des indicateurs TCP ou en envoyant différents types de paquets TCP, l'analyse des ports peut produire différents résultats ou localiser les ports ouverts de différentes manières.

Une analyse SYN indique au scanner de ports quels ports écoutent et lesquels ne le sont pas, en fonction du type de réponse générée. L'analyse FIN générera des réponses à partir des ports fermés, mais ceux qui sont ouverts et qui écoutent ne répondront pas, de sorte que l'analyseur de ports sera capable de déterminer quels ports sont ouverts et lesquels ne le sont pas.

Il existe plusieurs méthodes différentes pour effectuer l'analyse des ports, ainsi que des astuces pour masquer la source de l'analyse des ports.

Comment surveiller l'analyse des ports

Peut surveiller l'analyse des ports sur votre réseau. L’astuce, comme pour la plupart des aspects de la sécurité de l’information, consiste à trouver le bon équilibre entre performances et sécurité du réseau.

Vous pouvez surveiller l'analyse SYN en enregistrant toute tentative d'envoi d'un paquet SYN vers un port qui n'est pas ouvert ou qui n'écoute pas. Cependant, au lieu d'être alerté à chaque tentative, décidez des seuils pour déclencher l'alerte. Par exemple, une alerte se déclenchera si plus de 10 paquets SYN tentent d'atteindre des ports non-écoutants dans un certain nombre de minutes.

Vous pouvez concevoir des filtres et des interruptions pour détecter diverses méthodes d'analyse de ports, surveiller les pics de paquets FIN ou un nombre inhabituel de tentatives de connexion à une plage de ports ou d'adresses IP à partir d'une source IP.

Pour garantir que votre réseau est protégé et sécurisé, vous souhaiterez peut-être effectuer votre propre analyse des ports. Un point clé ici est de vous assurer d’avoir l’approbation de tous les pouvoirs en place avant de vous lancer dans ce projet, sinon vous vous retrouverez du mauvais côté de la loi.

NMap vous donne le contrôle sur presque tous les aspects du processus de numérisation

Pour obtenir les résultats les plus précis, effectuez une analyse des ports à partir d'un emplacement distant à l'aide d'un appareil non professionnel et d'un autre FAI. À l'aide d'un logiciel tel que Nmap, vous pouvez analyser une plage d' adresses IP et de ports, découvrant ainsi ce qu'un attaquant verrait s'il analysait vos ports réseau. En particulier, NMap vous permet de contrôler presque tous les aspects du processus d'analyse et d'effectuer différents types d'analyse de ports en fonction de vos besoins.

Une fois que vous avez découvert quels ports répondent lorsqu'ils sont ouverts par l'analyse des ports réseau, vous pouvez commencer à déterminer si ces ports sont accessibles depuis l'extérieur du réseau.

S'ils ne sont pas requis, vous devez les désactiver ou les bloquer. S'ils sont nécessaires, vous pouvez commencer à rechercher à quels types de vulnérabilités et d'exploits votre réseau est ouvert , en accédant à ces ports et en appliquant les correctifs ou les mesures d'atténuation appropriés pour protéger le réseau autant que possible.