DICCIONARIO DE INFORMÁTICA Y TECNOLOGÍA
  ¿Qué significa escáner de puertos? - Información sobre escáner de puertos

Definición de escáner de puertos (port scanner)

Alegsa.com.ar
Diccionario tecnología
Redes
escáner de puertos
Leandro Alegsa (Contacto) 2018-06-14

Envíanos un mensaje


Enviar
Anuncios

Un escáner de puerto es una aplicación diseñada para sondear un servidor o host para puertos abiertos. Los administradores a menudo lo utilizan para verificar las políticas de seguridad de sus redes y los atacantes para identificar los servicios de red que se ejecutan en un host y explotar las vulnerabilidades.

En inglés: port scanner.

Un escaneo de puertos es un proceso que envía solicitudes de clientes a un rango de direcciones de puertos a un servidor en un host, con el objetivo de encontrar un puerto activo; esto no es un proceso malo en sí mismo. La mayoría de los usos de un escaneo de puertos no son ataques, sino simples sondeos para determinar los servicios disponibles en una máquina remota.

Existen varios programas para escanear puertos por la red. Uno de los más conocidos es Nmap, disponible tanto para Linux como Windows.

En tanto, Portsweep es escanear múltiples hosts para escuchar un puerto específico. Este último se usa generalmente para buscar un servicio específico, por ejemplo, un gusano informático basado en SQL puede realizar un barrido de puertos buscando hosts que estén escuchando en el puerto TCP 1433.


Funcionamiento del escaneo de puertos

El diseño y el funcionamiento de Internet se basan en un conjunto de protocolos de Internet, comúnmente llamado también TCP/IP. En este sistema, los servicios de red se referencian utilizando dos componentes: una dirección de host y un número de puerto. Hay 65536 números de puerto distintos y utilizables. La mayoría de los servicios usan un rango limitado de números de puerto.

Algunos escáneres de puertos escanean solo los números de puerto más comunes, o los puertos más comúnmente asociados con los servicios vulnerables, en un host determinado.

El resultado de un escaneo en un puerto generalmente se generaliza en una de tres categorías:

- Abierto o aceptado: el anfitrión envió una respuesta que indica que un servicio está escuchando en el puerto.

- Cerrado, Denegado o No Escuchado: el anfitrión envió una respuesta que indica que las conexiones serán denegadas al puerto.

- Filtrado, abandonado o bloqueado: no hubo respuesta del host.

Los puertos abiertos presentan dos vulnerabilidades de las cuales los administradores deben tener cuidado:

- Problemas de seguridad y estabilidad asociados con el programa responsable de la prestación del servicio: puertos abiertos.

- Problemas de seguridad y estabilidad asociados con el sistema operativo que se ejecuta en el host: puertos abiertos o cerrados.

Los puertos filtrados no tienden a presentar vulnerabilidades.


Tipos de escaneo de puertos

- Escaneo TCP (connect scan)

Los escáneres de puerto más sencillos es el escaneo TCP. Utilizan las funciones de red del sistema operativo y generalmente son la siguiente opción cuando el escaneo SYN (descrito a continuación) no es una opción factible.

Nmap (programa de rastreo de puertos) llama a esta exploración "connect scan", llamada así por la llamada al sistema Unix connect().

Si un puerto está abierto, el sistema operativo completa el protocolo de enlace de tres vías TCP, y el escáner de puerto cierra inmediatamente la conexión para evitar realizar un ataque de denegación de servicio. De lo contrario, se devuelve un código de error.

Este modo de escaneo tiene la ventaja de que el usuario no requiere privilegios especiales. Sin embargo, el uso de las funciones de red del sistema operativo evita el control de bajo nivel, por lo que este tipo de exploración es menos común.

Además este método es "ruidoso" (llama la atención), especialmente si se trata de un "barrido de puertos": los servicios pueden registrar la dirección IP del remitente y los sistemas de detección de intrusos pueden generar una alarma.


- Escaneo SYN:

El escaneo SYN es otra forma de escaneo TCP. En lugar de utilizar las funciones de red del sistema operativo, el escáner de puertos genera paquetes de IP sin procesar y supervisa las respuestas.

Este tipo de escaneo también se conoce como "half-open scanning" (escaneo medio abierto), porque en realidad nunca abre una conexión TCP completa.

El escáner de puerto genera un paquete SYN. Si el puerto de destino está abierto, responderá con un paquete SYN-ACK. El host del escáner responde con un paquete RST, cerrando la conexión antes de que se complete el intercambio.

Si el puerto está cerrado pero no filtrado, el objetivo responderá instantáneamente con un paquete RST.

El uso de la conexión en red sin formato tiene varias ventajas, que le dan al escáner el control total de los paquetes enviados y el tiempo de espera para las respuestas, y permite el informe detallado de las respuestas.

Existe un debate sobre qué escaneo es menos intrusivo en el host de destino. El escaneo SYN tiene la ventaja de que los servicios individuales nunca reciben una conexión. Sin embargo, el RST durante el protocolo de enlace puede causar problemas para algunas pilas de red, en particular dispositivos simples como impresoras. No hay argumentos concluyentes de ninguna manera.


- Escaneo UDP:

El escaneo UDP también es posible, aunque existen desafíos técnicos. UDP es un protocolo sin conexión por lo que no hay un paquete TCP SYN equivalente. Sin embargo, si se envía un paquete UDP a un puerto que no está abierto, el sistema responderá con un mensaje de puerto ICMP inalcanzable.

La mayoría de los escáneres de puertos UDP utilizan este método de escaneo y utilizan la ausencia de respuesta para inferir que un puerto está abierto. Sin embargo, si un puerto está bloqueado por un firewall, este método informará falsamente que el puerto está abierto. Si el mensaje del puerto inalcanzable está bloqueado, todos los puertos aparecerán abiertos. Este método también se ve afectado por la limitación de la velocidad ICMP.

Un enfoque alternativo es enviar paquetes UDP específicos de la aplicación, con la esperanza de generar una respuesta de capa de aplicación. Por ejemplo, enviar una consulta DNS al puerto 53 dará como resultado una respuesta, si hay un servidor DNS presente. Este método es mucho más confiable para identificar puertos abiertos. Sin embargo, está limitado a los puertos de escaneo para los que está disponible un paquete de prueba (de sondeo) específico de la aplicación. Algunas herramientas (p. Ej., Nmap) generalmente tienen sondeos para menos de 20 servicios UDP, mientras que algunas herramientas comerciales (p. Ej., Nessus) tienen hasta 70. En algunos casos, un servicio puede estar escuchando en el puerto, pero configurado para no responder al paquete de prueba (de sondeo) particular.


- Escaneo ACK:

El escaneo ACK es uno de los tipos de escaneo más inusuales, ya que no determina exactamente si el puerto está abierto o cerrado, sino si el puerto está filtrado o no. Esto es especialmente bueno cuando se intenta sondear la existencia de un firewall y sus conjuntos de reglas.


- Escaneo FIN:

Como los escaneos SYN no son lo suficientemente subrepticios, los cortafuegos, en general, buscan y bloquean paquetes en forma de paquetes SYN.

Los paquetes FIN pueden pasar por alto los firewalls sin modificaciones. Los puertos cerrados responden a un paquete FIN con el paquete RST apropiado, mientras que los puertos abiertos ignoran el paquete disponible. Este es un comportamiento típico debido a la naturaleza de TCP, y de alguna manera es una caída ineludible.


- Otros:

Existen muchos otros tipos de escaneo de puertos menos empleados como escaneo de proxy, escaneo ICMP, etc.


Uso malicioso de escanear puertos

La información recopilada por un escaneo de puertos tiene muchos usos legítimos, incluido el inventario de red y la verificación de la seguridad de una red. El escaneo de puertos puede, sin embargo, ser usado también para comprometer la seguridad.

Muchos exploits se basan en escaneos de puertos para encontrar puertos abiertos y enviar patrones de datos específicos en un intento de desencadenar una condición conocida como desbordamiento de búfer. Tal comportamiento puede comprometer la seguridad de una red y las computadoras, lo que resulta en la pérdida o exposición de información sensible y la capacidad de hacer el trabajo.

El nivel de amenaza causado por un escaneo de puertos puede variar mucho según el método utilizado para escanear, el tipo de puerto escaneado, su número, el valor del host de destino y el administrador que supervisa el host. Pero un escaneo de puertos a menudo se considera como el primer paso para un ataque, y por lo tanto se toma en serio porque puede revelar mucha información sensible sobre el host.

A pesar de esto, la probabilidad de un escaneo de puertos seguido de un ataque real es pequeña. La probabilidad de un ataque es mucho mayor cuando el escaneo del puerto está asociado con un escaneo de vulnerabilidad.


Programas escaneador de puertos

Existen varios programas para escanear puertos por la red. Uno de los más conocidos es Nmap, disponible tanto para Linux como Windows.

También existen escaneador de puerto en línea como el escaneador de ADSLZone, el de Internautas y el de PuertosAbiertos.com


Terminología relacionada

Puerto





¿Mejoramos la definición?
Puntos: 0 (0 votos)






Respondemos tus consultas o comentarios a continuación:


¿Dudas? ¿necesita más información? Escriba y responderemos a tu email: clic aquí



 




  Diccionario de informática
  Búsqueda por letras:

A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - Q - R - S - T - U - V - W - X - Y - Z - 0,9
 
Búsqueda por categorías
:

Almacenamiento - Aplicaciones - Audio - Compresión - Desarrollo web - Discos ópticos - Inteligencia Artificial - Memorias - Microprocesadores - Seguridad informática - Sistemas de archivos - Terminología de programación - UNIX - Windows - ver categorías

 
Búsqueda por palabras:






Preguntas

No hay ningún comentario todavía

Todos los derechos reservados © 1998 - 2018 - ALEGSA - Santa Fe, Argentina.
Políticas del sitio web - Contacto - Publicidad