Il Portscanning

Entrare in rete può portare vantaggi ma anche esporsi a problematiche di sicurezza e stabilità delle attività. Di seguito vi è un elenco di alcuni passi per garantire un buon livello di sicurezza.

Il portscanning è una tecnica di sicurezza informatica per testare le porte TCP/IP “aperte” di un sistema. L’esempio più semplice per chiarire il concetto è quello telefonico: se un indirizzo IP è il numero di telefono, le cornette telefoniche sono le varie estensioni a quel numero per raggiungere determinate persone da un centralino comune.

Lo stack TCP/IP standard permette l’accesso a oltre 65.535 porte differenti.
Tra le porte più comuni troviamo:

• ftp 21/tcp
• telnet 23/tcp
• smtp 25/tcp #mail
• www 80/tcp # WorldWideWeb http
• pop3 110/tcp # POP version 3
• https 443/tcp # Secure http
• mysql 3306/tcp # MySQL
Una lista estesa delle porte standard è disponibile nel file /etc/services. Il programma più diffuso per il portscanning è “nmap” e per ottenerlo si può visitare il sito web: http://www.insecure.org/nmap/. Una volta disponibile l’applicazione si può iniziare rapidamente testando il sistema con il comando seguente:
$ nmap localhost -p 1-65535

Il risultato è di facile interpretazione; sono indicati i servizi attivi, le porte di “ascolto” del sistema. Adesso ci si può chiede: se qualcuno tenta di fare uno scanning delle porte durante la connessione come ci si può proteggere? La parola chiave è “firewall” e in questo caso torna utile “ipchains”. L’argomento di firewalling meriterebbe una descrizione molto approfondita ma per rispondere all’esigenza si può utilizzare il comando:
# ipchains -A input -j REJECT -s x.x.x.x -d 0/0 -p all
Dove “x.x.x.x” è l’indirizzo IP della macchina che attacca. Con il comando s’inibiscono connessioni al sistema ma per monitorare l’attività di eventuali portscanning si possono utilizzare strumenti reperibili ai siti web:
• http://www.psionic.com/abacus/portsentry/
• http://www.openwall.com/scanlogd/
• http://www.snort.org/