Network scanner, di che cosa si tratta

Nell’ambito della sicurezza preventiva uno strumento interessante è di sicuro il network scanning.

Ovvero, parlando di network scan o network scanning indichiamo l’uso di un apposita tecnologia insieme combinata con le conoscenze dello specialista di sicurezza informatica volte ad analizzare i punti deboli di un sistema informatico e di identificarne le vulnerabilità.

Purtroppo però, questa analisi interessa molto anche i malintenzionati che la usano per mappare le reti alla ricerca di vulnerabilità che verranno sfruttate, in un secondo momento, per compromettere un dispositivo o l’intero sistema IT.

Capiamo nello specifico di che cosa si tratta.

• Che cosa è un network scanner
• Che cosa è una porta in sicurezza informatica
• Network scanning: tecnica di attacco e di difesa
• Funzionamento di base del network scanner
• Tecniche avanzate per il port scanning malevolo
• Come controllare lo stato delle porte
• Diversi tipi di scansione delle porte
• Conclusioni

Un network scanner è un tool che si occupa della scansione di tutti i componenti presenti in un ambiente IT e dei relativi servizi, inclusi di tutti i dispositivi, i server web o FTP, i router, le postazioni di lavoro attive.
Grazie a questa tecnologia, è possibile individuare in qualsiasi momento tutte le vulnerabilità di sicurezza presenti.
Gli scopi di questa analisi sono molteplici:

• Quantificare i livelli di rischio

• Individuare delle strategie correttive

• Identificare le azioni necessarie ad un eventuale ripristino

• Monitorare il traffico di rete per chiudere falle di sicurezza

• Verificare se i pacchetti di dati vengono trasmessi attraverso le porte previste

• Verificare se i firewall bloccano involontariamente porte importanti

• Controllare se è necessario chiudere le porte aperte e inutilizzate.

Il termine port viene utilizzato frequentemente in ambito informatico.
Sta ad indicare delle porte per i dati trasmessi tra computer e Internet.

Ad ogni porta viene associato un numero che è parte dell’indirizzo IP.
Questo numero permette di assegnare dei pacchetti di dati ad un IP specifico, in modo che i dati siano trasferiti esattamente al destinatario voluto.
Possiamo dire insomma, che è la porta a determinare l’indirizzo specifico di destinazione o del mittente che ha inviato i dati.

Ora, nei sistemi operativi queste operazioni vengono eseguite in continuazione, in modo molto veloce e addirittura contemporaneamente. Questo crea la necessità di avere un numero consistente di porte aperte in parallelo, che possano gestire senza errori tutto il traffico dati.

Ogni computer possiede 65.536 porte che lavorano instancabilmente.

Alcune di queste porte sono riservate a dei compiti specifici, ad esempio l’email o i siti web o anche a dei protocolli.
Queste porte sono dette “porte standardizzate” o “Well Known Ports” e sono un totale di 1024. Esistono poi delle porte allocate per applicazioni sia fisse che dinamiche (circa 48.000) mentre le altre sono assegnate dinamicamente da un pool.

Perché diversi dispositivi comunichino attraverso la rete sono necessarie tre componenti: un protocollo di rete, un indirizzo IP e una porta.

L’indirizzo IP identifica in modo inequivocabile un host sulla rete, il protocollo è il mezzo con cui le informazioni viaggiano e la porta è quella che si occupa di instradare il pacchetto di dati verso uno specifico servizio o una applicazione all’interno del dispositivo ricevente.

In parole, povere immaginate di voler andare a trovare un vostro amico. Vi servirà sapere dove trovarlo (indirizzo IP), dovrete percorrere un percorso rispettando le regole della strada (protocollo) seguendo delle indicazioni (porte).

Come abbiamo già detto il network scanning è uno strumento utile per identificare delle ipotetiche falle nei sistemi informatici.

Il problema nasce perché questa tecnica può essere sfruttata con scopi differenti, anche dai criminali informatici. Da una parte potrebbe essere il legittimo amministratore del sistema informatico ad impiegarlo per scovare ed eliminare i problemi di sicurezza ma dall’altro potrebbe essere un hacker ad utilizzarlo per trovare dei punti di accesso utili dai quali sferrare un attacco.

Nel caso più semplice un Network scanner crea un pacchetto ad hoc da inviare a ciascuna delle porte del sistema informatico che si intende analizzare. Acquisendo le risposte è possibile distinguere lo stato di ciascuna porta.
Queste possono essere:

• Aperte: il che significa che sono attive e inviano una risposta positiva.

• Chiusa: la porta è inattiva, la risposta comunica che le richieste su quella porta saranno rifiutate

• Filtrata: non si ottiene nessuna risposta dall’host, la porta è bloccata o è controllata da un firewall

Ottenuta una mappa completa dei possibili punti di accesso si può tentare di violarli per individuare le vulnerabilità. Anche perché, se il dispositivo analizzato non è opportunamente configurato, trasmetterà anche altre informazioni come ad esempio: il tipo dispositivo, il sistema operativo, i servizi in esecuzione sulla porta e il livello di autenticazione necessario.

Ci sono inoltre due tecniche differenti in base agli obiettivi.
Si parla di scansione verticale quando si esegue un solo IP su tutte le porte per trovare quelle aperte. Si parla invece di scansione orizzontale quando una porta viene testata con diversi IP per capire quanti host hanno accesso a quella porta.

C’è però un problema: i servizi in ascolto registrano su un file, detto log, tutti i tentativi di accesso e le richieste di connessione.

Se ricevono un pacchetto civetta registrano un errore e non inviano dati, un sistemista potrebbe accorgersi in questo modo di un tentativo di intrusione o comunque un port scanning malevolo. Invece di portare avanti analisi veloci, che inondando il sistema di richieste genererebbero un segnale anomalo abbastanza evidente, gli hacker si sono ingegnati e utilizzano delle scansioni lente, che possono durare anche dei giorni. Così facendo le richieste illecite sono mescolate a quelle legittime e sono più difficili da rilevare.

Ci sono altri metodi che permettono ai malintenzionati di aggirare alcune limitazioni e filtri. In alcuni casi i cyber criminali testano le porte chiuse in modo da non generare report e risalire per esclusione alle porte aperte.

Ci sono diversi modi che permettono un network scanning: Ci sono metodi “fai da te” che possono però portare a risultati incomprensibili per chi non ha dimestichezza con queste cose.

Ci sono poi dei software, alcuni anche gratuiti e in ultima ratio (consigliata per chiunque abbia necessità di un test di sicurezza veramente efficiente) ci si può rivolgere a dei professionisti che si occupino di questa analisi.

Controllare le porte autonomamente su Windows

Windows permette di monitorare le porte attraverso il prompt dei comandi. E’ sufficiente utilizzare nel prompt il comando “CMD netstat -ano ”. Così facendo saranno visibili sullo schermo tutte le connessioni di rete esistenti tramite le porte aperte e le porte in ascolto momentaneamente non connesse.
Attraverso questo comando si può accedere anche ad informazioni relative al numero PID ovvero l’ID del processo utilizzato in quel momento da una porta o in ascolto tramite essa. Risalire al nome del processo tramite il PID è possibile nella sezione “Gestione attività”.

Controllare le porte tramite un software per il port scanning

Il funzionamento è simile a quello dei prompt dei comandi. Questi software controllano le porte aperte e i servizi autorizzati, verificano la sicurezza e la struttura di una rete. Alcuni di questi sono gratuiti e capaci di analizzare diversi tipi di protocolli.

Controllare le porte degli strumenti on line

E’ ancora possibile utilizzare degli strumenti online gratuiti che possono effettuare l’analisi del vostro computer individuando le falle di sicurezza. Questi siti web scansionano principalmente le porte standard producendo risultati in forma di elenco.

Ovviamente non tutti gli algoritmi di network scanning funzionano allo stesso modo.

La scansione “connessione completa TCP” consiste nell’invio di una richiesta di accesso, detta messaggio SYN, ad una porta. In caso di porta aperta si riceve come feedback un messaggio di riconoscimento, detto SYN-ACK. Anche lo scanner invia il suo messaggio ACK.
Se la porta è chiusa il sistema remoto invierà come feedback un messaggio di reset (RST). Se il sistema non esiste in quella rete non ci sarà risposta.

Un secondo tipo di scansione è quella detta “TCP semiaperta” in questo caso viene inviato un SYN ed è sufficiente ricevere un SYN-ACK o un RST in risposta per completare la connessione. Questo meccanismo è più veloce del precedente e richiede l’invio di un numero inferiore di pacchetti.

Un altro meccanismo possibile è quello di inviare dei pacchetti sconosciuti o scorretti per testare se il sistema remoto chiude la connessione o lo fa connettere.

I dati di analisi di una scansione delle porte sono da considerare sensibili in quanto contengono informazioni sui possibili punti di accesso e sulle vulnerabilità del sistema esaminato.

Di conseguenza, essi devono essere conservati con la dovuta cura. Individuare dei vettori di intrusione in questo modo può essere estremamente utile per una azienda che voglia rimediarvi ma anche per un malintenzionato che voglia compromettere il sistema.

Ovviamente il fatto di raccogliere informazioni sullo stato delle porte non è di per se un attacco informatico ma è probabilmente parte della pianificazione della minaccia. Proprio per questo l’analisi degli accessi anomali e di picchi inusuali del traffico di rete possono aiutare a sventare degli attacchi.

Occorre sottolineare che un network scanner non è quindi un sistema di protezione anti intrusioni ma solo uno strumento per individuare i punti che necessitano di protezione informatica.

I bollettini di sicurezza indicano che la tendenza è quella di sferrare le offensive contro dispositivi e server attraverso porte considerate sicure e concentrare l’azione in brevi intervalli di tempo in modo da raggiungere l’obiettivo prima che l’attacco possa essere rilevato ed eventualmente bloccato.

Non resta che informarsi per difendersi al meglio.