Mon réseau

Mon réseau d’entreprise

12.8 Lister les ports ouverts

Précédent   Suivant

(image) un ordinateur ne possède pas d’adresse IP ! Il possède des interfaces réseaux qui elles possèdent une (ou plusieurs) adresse.

(image)Il faut savoir quels sont les ports ouverts sur un ordinateur. Ces ports représentent des points d’accès potentiels pour un malandrin. Il faut aussi savoir quelle est la portée de l’interaction. Certains ports peuvent être exposés sur internet ou protégés par un pare-feu. La vulnérabilité ne sera pas la même.

(image)Le protocole upnp est conçu faciliter les connexions réseau. Un logiciel placé derrière un routeur d’accès internet peut reconfigurer les règles de routage et du pare-feu. Sous certaines conditions, il n’est pas complétement impossible que cela n’affecte pas la sécurité du réseau local. Il est possible qu’un logiciel pas sécurisé fournisse ainsi un accès ouvert sur Internet !

12.8.1 Surveillez les ports locaux : ss

Un port peut être ouvert en mode serveur et toutes les adresses ip peuvent utiliser ce port. Le logiciel est alors responsable de la communication ultérieure. Un port peut être aussi ouvert lors de la connexion vers un serveur. Seuls les paquets provenant de l’adresse du serveur seront acceptés.

La commande ss est décrite à la section 12.1.4. Cette commande fournit de nombreuses informations. En particulier, un serveur peut ne pas ouvrir toutes les interfaces réseau. Cela permet, en particulier pour les serveurs de bases de données d’être protégées des attaques à distance en limitant l’accès à localhost.

12.8.2 Scanner les ports distants : nmap

Le logiciel nmap permet d’obtenir des informations sur des hôtes distant. L’invocation la psus simple coniste à fournir l’adresse ip destination. 

Starting Nmap 7.40 ( https://nmap.org ) at 2018-10-08 12:53 CEST
Nmap scan report for rock (10.33.103.2)
Host is up (0.00032s latency).
Not shown: 997 closed ports
PORT    STATE SERVICE
22/tcp open ssh
53/tcp open domain
111/tcp open rpcbind
MAC Address: 18:66:DA:46:F9:AB (Dell)

Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds

Il envoie un paquet tcp/syn vers la destination pour de nombreux ports. Les ports ouverts vont répondre par un paquet syn, ack, les autres peuvent renvoyer un reset ou rien. Il faudra alors attendre la fin du délai d’expiration. 

1 10.33.103.3 ? 10.33.103.2   TCP 58 65175 ? 22 [SYN]
2 10.33.103.2 ? 10.33.103.3   TCP 60 22 ? 65175 [SYN, ACK]
3 10.33.103.3 ? 10.33.103.2   TCP 54 65175 ? 22 [RST]

Mais cette commande ne scanne pas tous les ports. Ainsi, un port ouvert par un logiciel frauduleux peut passer le scan facilement. De plus, nmap utilise les paquets renvoyés. Il peut donc être abusé. C’est donc un élément de sécurité, mais pas une arme absolue.

(image)Le logiciel nmap est un outil puissant de sécurité. Et donc d’attaque ! Il est interdit et illégal de scanner un réseau sans la permission du propriétaire. Le scan nmap va déclencher les alertes de sécurité des sites scannés. Il leur est alors recommandé de déclencher une procédure judiciaire qui peut conduire à de graves sanctions.

Précédent   Suivant