Quelles pourraient être les menaces d’ouverture des ports après avoir effectué une analyse nmap
et identifié les ports ouverts?
J'ai déjà cherché quelques réponses pour cette question, mais je n'ai rien trouvé de spécifique. Existe-t-il un problème particulier avec chaque port ou ces menaces sont-elles communes à tous?
Un port ouvert est une surface d'attaque. Le démon qui est répertorié sur un port peut être vulnérable à un débordement de tampon ou à une autre vulnérabilité exploitable à distance.
Un principe important en matière de sécurité consiste à réduire votre surface d'attaque et à garantir que les serveurs disposent du nombre minimum de services exposés.
Quelques réflexions en C, I, A:
Confidentialité: les ports ouverts (en fait les programmes qui les écoutent et y répondent) peuvent révéler des informations sur le système ou l'architecture du réseau. Ils peuvent divulguer des bannières, des versions de logiciels, du contenu, le fait qu'un système existe (au lieu de laisser tomber le paquet) et de quel type de système il s'agit (par exemple, nmap peut identifier les systèmes par empreintes digitales). La réponse de Rook m'a fait réfléchir.
Intégrité: sans contrôle de port ouvert, le logiciel peut ouvrir n'importe quel port candidat et communiquer immédiatement sans entrave. Ceci est souvent utilisé par les jeux, les programmes de chat et d'autres logiciels utiles, mais n'est pas souhaitable pour les logiciels malveillants.
Disponibilité: la pile réseau et les programmes sur les ports ouverts, même si les demandes ne sont pas valides, traitent toujours le trafic entrant. Même si l'électricité n'est pas un problème, les solutions technologiques ont toujours des ressources limitées: dégradé ou déni de service résulte de la recherche d'un moyen de valider un port, une pile réseau, un ordinateur, son matériel, un réseau ou les personnes afin qu'elles ne puissent pas le faire bien plus.
En ce qui concerne l'intégrité et la disponibilité, une quantité écrasante d'événements et leurs journaux peuvent masquer des activités malveillantes (telles que l'exploitation de quelque chose que vous ne regardez pas, pour y accéder) et entraîner une fatigue et des erreurs administratives. Une mauvaise utilisation potentielle de certains services, en forçant le système à participer à DDoSing quelqu'un d'autre est également possible.
Pour en revenir à la réponse de Rook, plus votre surface d'attaque est petite, moins vous contrôlez vos ressources (et peut-être celles d'autrui) aux attaquants potentiels.
Dans les réseaux IP, une connexion réseau est établie en créant une session entre les ports de deux appareils.
De manière générale, le périphérique de connexion utilisera un port aléatoire "haut" et se connectera à un numéro de port bien connu sur le périphérique de destination, par exemple un ordinateur portable exécutant un navigateur Internet se connectera normalement au port 80 (HTTP) ou au port 443 (HTTPS) de un serveur Web.
Il existe un grand nombre de ports bien connus pour les services communs dans la plage inférieure de numéros de port.
Lorsqu'une analyse a identifié des ports ouverts, elle est le résultat d'une sorte de réponse du périphérique analysé résultant de tentatives de connexion (ou similaire) à un port particulier. Lorsqu'un port est signalé comme ouvert, cela indique que le périphérique analysé dispose d'une sorte de service qui utilise le port pour communiquer d'une manière ou d'une autre.
Les ports ouverts ne sont pas toujours un risque pour la sécurité, par exemple un serveur Web doit avoir 80 ou 443 ouverts sinon les utilisateurs ne peuvent pas se connecter pour utiliser le serveur Web.
Cependant, les ports ouverts associés aux services inutiles peuvent constituer un risque pour la sécurité si le logiciel auquel ils sont associés présente des vulnérabilités ou si le composant n'a pas été configuré de manière sécurisée.