Le balayage de ports est une méthode permettant de déterminer quels ports d’un réseau sont ouverts et à-même de recevoir et d’envoyer des données. Elle sert aussi à envoyer des paquets à des ports spécifiques à un hôte et à analyser les réponses pour identifier les vulnérabilités.
Cette analyse ne peut avoir lieu sans avoir identifié au préalable une liste d’hôtes actifs pour lesquels vous devrez effectuer un mappage d’adresses IP. Ce processus, appelé découverte des hôtes, commence par une analyse du réseau.
L’objectif de l’analyse des ports et du réseau est d’identifier l’organisation des adresses IP, des hôtes et des ports afin de déterminer correctement les emplacements de serveurs ouverts ou vulnérables, et de diagnostiquer les niveaux de sécurité. L’analyse des ports et du réseau peut révéler la présence de mesures de la sécurité tel un pare-feu entre le serveur et l’appareil de l’utilisateur.
Une fois qu’une analyse approfondie du réseau est terminée et qu’une liste des hôtes actifs est effectuée, le balayage des ports peut avoir lieu afin d’identifier les ports ouverts sur un réseau qui peuvent permettre un accès non autorisé.
Il est important de noter que l’analyse du réseau et des ports peut être utilisée à la fois par les administrateurs informatiques et les cybercriminels pour vérifier les politiques de sécurité d’un réseau et identifier les vulnérabilités et, dans le cas des cybercriminels, pour exploiter tout point d’entrée potentiel faible. En effet, l’élément de découverte d’hôte dans l’analyse du réseau est souvent la première étape utilisée par les pirates avant de procéder à une attaque.
Étant donné que les deux analyses continuent d’être utilisées comme des outils clés par les cybercriminels, les résultats de l’analyse du réseau et des ports peuvent fournir des indications importantes sur les niveaux de sécurité réseau pour les administrateurs informatiques qui tentent de protéger les réseaux contre les attaques.
Que sont les ports et les numéros de port ?
Les ports d’ordinateur constituent le point d’ancrage central pour le flux d’informations allant d’un programme ou d’Internet vers un appareil ou un autre ordinateur du réseau et inversement. On peut les comparer à une sorte de lieu de stationnement où les données sont échangées via des mécanismes électroniques, logiciels, ou de programmation.
Les numéros de ports sont utilisés pour la programmation et par souci de cohérence. Le numéro de port associé à une adresse IP crée une information essentielle conservée par tous les fournisseurs d’accès internet de manière à exécuter les requêtes. Les numéros de ports vont de 0 à 65 536 et sont classés par ordre de popularité.
Les numéros de ports allant de 0 à 1023 sont particulièrement connus et conçus pour l’usage d’Internet, bien qu’ils puissent également avoir d’autres fonctions. Ils sont gérés par l’IANA (Internet Assigned Numbers Authority). Ce sont les grandes entreprises comme Apple QuickTime, MSN, ou SQL services, qui détiennent ces ports. Vous reconnaîtrez peut-être quelques-uns des ports les plus répandus ainsi que les services qui leurs sont attribués :
- Le port 20 (UDP) utilisé par le protocole FTP (File Transfer Protocol) pour le transfert de données
- Le port 22 (TCP) utilisé par le protocole SSH (Secure Shell) pour les identifiants sécurisés, le ftp, et le transfert de port
- Le port 53 (UDP) correspond au DNS (Domain Name System), qui convertit les noms en adresses IP
- Le port 80 (TCP) correspond au World Wide Web HTTP
Les numéros allant de 1024 à 49151 sont considérés comme étant des « ports enregistrés », qui ont été enregistrés par des entreprises logicielles. Les numéros de ports allant de 49 151 à 65 536 sont des ports dynamiques et privés accessibles à tous.
Quels sont les protocoles utilisés lors du balayage des ports ?
Les protocoles TCP (protocole de contrôle de transmission) et UDP (protocole de datagramme utilisateur) sont habituellement utilisés pour le balayage de ports. Ce sont deux méthodes de transmission de données pour Internet, mais leurs mécanismes diffèrent.
Tandis que TCP permet une transmission de données fiable basée sur la connexion et reposant sur le statut de destination de façon à compléter un envoi avec succès, UDP n’utilise pas de connexion et s’avère peu fiable. Les données envoyées via le protocole UDP sont transmises sans accorder d’importance à la destination. Par conséquent, la bonne réception des données n’est pas garantie.
En utilisant ces deux protocoles, il existe plusieurs techniques différentes pour effectuer des balayages de ports.
Quelles sont les différentes techniques de balayage de ports ?
Il existe plusieurs techniques de balayage des ports, en fonction de l’objectif spécifique. Il est important de noter que les cybercriminels choisiront également une technique de balayage de ports spécifique en fonction de leur objectif ou de leur stratégie d’attaque.
Voici quelques-unes des techniques ainsi que leur fonctionnement :
- Balayages par ping : Les balayages de ports les plus simples sont appelés balayages par ping. Dans un réseau, un ping est utilisé pour vérifier si un paquet de données réseau peut être distribué à une adresse IP sans erreur. Les balayages par ping sont des demandes ICMP (Internet control message protocol) et procèdent à un envoi massif automatisé de plusieurs demandes ICMP à différents serveurs pour attirer les réponses. Les administrateurs informatiques peuvent utiliser cette technique pour résoudre les problèmes, ou désactiver le ping en utilisant un pare-feu, empêchant les cybercriminels de trouver le réseau à travers les pings.
- Balayages semi-ouverts ou SYN : Un balayage semi-ouvert (ou balayage SYN pour synchronize, synchroniser) est une tactique que les pirates utilisent pour déterminer l’état d’un port sans établir une connexion complète. Ce balayage n’envoie qu’un message SYN et n’établit pas la connexion, laissant la cible en attente. C’est une technique rapide et astucieuse destinée à trouver de potentiels ports ouverts sur les appareils ciblés.
- Balayages XMAS : Les balayages XMAS sont encore plus discrets et moins détectables par les pare-feux. Par exemple, les paquets FIN sont généralement envoyés depuis le serveur ou le client pour mettre fin à une connexion après avoir établi une liaison TCP à 3 voies et un transfert de données réussi, indiqué par un message « Plus de données disponibles de l’expéditeur ». Les paquets FIN passent souvent inaperçus par les pare-feux car les paquets SYN sont principalement recherchés. C’est pour cette raison que les balayages XMAS envoient des paquets avec tous les flags, y compris FIN, sans attendre de réponse, ce qui voudrait dire que le port est ouvert. Si le port est fermé, une réponse RST est reçue. Les balayages XMAS apparaissent rarement dans les journaux de surveillance et constituent simplement un moyen plus insidieux d’en savoir plus sur la protection et le pare-feu d’un réseau.
Quel type de résultats pouvez-vous obtenir avec le balayage de ports ?
Les résultats du balayage de ports révèlent l’état du réseau ou du serveur qui peut se trouver dans l’une des trois catégories suivantes : ouvert, fermé ou filtré.
- Ports ouverts : des ports ouverts signifient que le serveur ou le réseau cible accepte activement les connexions ou les datagrammes, et a répondu avec un paquet indiquant qu’il est en écoute. Cela indique également que le service utilisé pour l’analyse (généralement TCP ou UDP) est aussi en cours d’utilisation.
Trouver des ports ouverts est généralement le but d’un balayage de ports et représente une victoire pour un cybercriminel cherchant à effectuer une attaque. Le défi pour les administrateurs informatiques consiste à tenter de barricader ces ports en installant des pare-feux pour les protéger sans en limiter l’accès pour les utilisateurs légitimes.
- Ports fermés : Des ports fermés signifient que le serveur ou le réseau a reçu la requête mais qu’il n’y a pas de service « en écoute » sur ce port. Il est toujours accessible et peut être utile en montrant qu’un hôte est sur une adresse IP. Les administrateurs informatiques doivent toujours surveiller les ports fermés car ils pourraient passer à un état ouvert et potentiellement créer des vulnérabilités. Les administrateurs informatiques doivent donc envisager de les bloquer à l’aide d’un pare-feu, ce qui en ferait des ports « filtrés ».
- Ports filtrés : Des ports filtrés indiquent qu’un paquet de requêtes a été envoyé mais que l’hôte n’a pas répondu et n’est pas en écoute. En général, cela signifie qu’un paquet de requêtes a été filtré ou bloqué par un pare-feu. Si les paquets n’atteignent pas l’emplacement ciblé, les cybercriminels ne peuvent pas recueillir davantage d’informations. Les ports filtrés répondent souvent par des messages d’erreur indiquant « destination inaccessible » ou « communication interdite ».
Comment les cybercriminels utilisent-ils le balayage de ports pour exécuter des attaques ?
Selon le SANS Institute, le balayage de ports s’avère être l’une des tactiques les plus populaires utilisée par les cybercriminels lorsqu’ils cherchent à s’introduire au sein de serveurs vulnérables.
Ces cybercriminels utilisent souvent le balayage de ports en guise d’étape préliminaire lorsqu’ils ciblent les réseaux. Ils utilisent les balayages de ports pour évaluer les niveaux de sécurité d’entreprises variées et établissent ainsi qui dispose d’un pare-feu robuste et qui dispose d’un serveur ou d’un réseau vulnérable. De nombreuses techniques de protocoles TCP permettent en fait aux cybercriminels de masquer l’emplacement de leur réseau. Ils utilisent des leurres pour exécuter des analyses sans révéler aucune adresse réseau à la cible.
Les pirates explorent les réseaux et systèmes pour voir comment chaque port réagira, qu’il soit ouvert, fermé ou filtré.
Par exemple, une réponse signalant un port ouvert ou fermé les alerte en leur indiquant la présence de votre réseau de l’autre côté du balayage. Ces cybercriminels peuvent ensuite déterminer le type de système d’exploitation et le niveau de sécurité de votre organisation.
Le balayage de ports étant une technique ancienne, il nécessite des modifications de sécurité et des renseignements actualisés sur les menaces en raison de l’évolution constante des protocoles et outils de sécurité. Parmi les meilleures pratiques, il est conseillé de mettre en place des alertes de balayage de ports et des pare-feux pour surveiller le trafic vers vos ports et garantir que les cybercriminels ne détectent pas les opportunités potentielles d’entrée non autorisée dans votre réseau.