La necesidad de escaneo de puertos
Las direcciones IP son vitales para enrutar el tráfico a través de una red. Una dirección IP identifica de forma única el dispositivo al que se debe enrutar un paquete. No obstante, saber que una computadora en particular debe recibir un paquete no es suficiente para que llegue a su destino. Una computadora puede ejecutar muchas aplicaciones diferentes al mismo tiempo, y varias pueden estar enviando y recibiendo tráfico a través de la red simultáneamente.
Los protocolos TCP y UDP definen el concepto de puertos en una computadora. Una aplicación puede enviar tráfico y escuchar en un puerto en particular. La combinación de una dirección IP y un puerto permite enrutar el dispositivo y el terminal para garantizar que el tráfico llegue a la aplicación deseada.
¿Cómo funciona un escáner de puertos?
Un escáner de puertos, como nmap, funciona enviando tráfico a un puerto en particular y examinando los resultados. Si un puerto está abierto, cerrado o filtrado por un Seguridad de la red solución, responderá de diferentes maneras a un escaneo de puertos, incluyendo:
- Abierto: Un puerto abierto donde una aplicación escucha el tráfico debe responder a una solicitud legítima. Por ejemplo, un puerto abierto que recibe un paquete TCP SYN debe responder con un SYN/ACK.
- Cerrado: Si un puerto está cerrado, el equipo considera que los intentos de comunicarse con él son un error. Un paquete TCP SYN a un puerto cerrado debería dar como resultado un paquete RST (restablecimiento).
- Filtrado: Algunos puertos pueden estar filtrados por un firewall o Sistema de prevención de intrusiones (IPS). Los paquetes enviados a estos puertos probablemente no recibirán respuesta.
Diferentes computadoras responderán a diferentes paquetes de diferentes maneras. Además, algunos tipos de análisis de puertos son más obvios que otros. Por esta razón, un escáner de puertos puede usar una variedad de técnicas de escaneo.
Algunos de los tipos más comunes de análisis de puertos incluyen:
- Escaneo de ping: El tipo de exploración más simple, un escaneo de ping envía una solicitud de ping a una computadora y busca una respuesta de ping. Este análisis puede determinar si una computadora está en línea y si es accesible.
- Escaneo SYN: Un paquete SYN es el primer paso en el protocolo de enlace TCP, y los puertos abiertos responderán con un SYN-ACK. En un análisis SYN o TCP semiabierto, el escáner de puertos no completa el protocolo de enlace con el ACK final, por lo que no se abre la conexión TCP completa.
- Escaneo TCP Connect: Un análisis de conexión TCP completa el protocolo de enlace TCP completo. Una vez que se establece la conexión, el escáner la rompe normalmente.
- Escaneo UDP: Los escaneos UDP verifican si hay puertos que escuchan el tráfico UDP. Estos pueden identificar DNS y otros servicios basados en UDP.
- Escaneos de Navidad y FIN: Los escaneos XMAS y FIN rompen el estándar TCP por paquetes con combinaciones no válidas de indicadores. Los diferentes sistemas reaccionan a estos paquetes de diferentes maneras, por lo que estos análisis pueden revelar detalles del sistema de destino y si está protegido por un firewall.
- Escaneo de rebote FTP: El protocolo FTP permite conexiones FTP proxy donde un servidor realizará conexiones FTP a otro servidor en nombre de un cliente. Un análisis de rebote FTP utiliza esta funcionalidad para realizar indirectamente un análisis de puertos.
Un escaneo de puertos puede proporcionar una gran cantidad de información sobre un sistema de destino. Además de identificar si un sistema está en línea y qué puertos están abiertos, los escáneres de puertos también pueden identificar la aplicación que escucha en puertos particulares y el sistema operativo del host. Esta información adicional se puede obtener de las diferencias en la forma en que un sistema responde a ciertos tipos de solicitudes.
¿Cómo utilizan los ciberdelincuentes el escaneo de puertos como método de ataque?
El escaneo de puertos es un paso común durante la etapa de reconocimiento de un cyberattack. Un escaneo de puertos proporciona información valiosa sobre un entorno de destino, incluidas las computadoras que están en línea, la aplicación que se ejecuta en ellas y, potencialmente, detalles sobre el sistema en cuestión y las defensas que pueda tener (firewall, etc.).
Esta información puede ser útil cuando planifica un ataque. Por ejemplo, saber que una organización está ejecutando un servidor web o DNS en particular puede permitir al atacante identificar una vulnerabilidad potencialmente explotable en ese software.
Evite ataques de escaneo de puertos con Check Point
Muchas de las técnicas utilizadas por los escáneres de puertos son detectables en el tráfico de la red. El tráfico a muchos puertos, algunos de los cuales están cerrados, es anómalo y puede ser detectado por una solución de seguridad de red como un IPS. Además, un firewall puede filtrar puertos no utilizados o implementar listas de control de acceso que limiten la información proporcionada a un escáner de puertos.
Check Point’s Quantum IPS proporciona protección contra el escaneo de puertos y otras amenazas cibernéticas. Para obtener más información sobre las otras amenazas que Quantum IPS puede gestionar, consulte el artículo de Check Point. Reporte de Ciberseguridad 2023. También es bienvenido a regístrese para una demostración gratuita para ver usted mismo las capacidades de Quantum IPS.
Comentarios