SECURITY GUIDE

Port Scanner : Identifiez les Services Exposes et la Surface d'Attaque

Comment fonctionne le scan des ports TCP, quels services chercher, et comment reduire la surface d'attaque de votre serveur.

Ports TCP : les portes d'entree de votre serveur

Chaque service reseau ecoute sur un ou plusieurs ports TCP (ou UDP) : le serveur web sur le port 80 (HTTP) et 443 (HTTPS), SSH sur le 22, SMTP sur le 25, la base de donnees sur le 3306 (MySQL) ou 5432 (PostgreSQL). Chaque port ouvert est un point d'entree potentiel pour un attaquant : si le service a une vulnerabilite, le port ouvert en permet l'exploitation. La regle d'or de la securite reseau est le principe du moindre privilege : n'exposez que les ports strictement necessaires.

Le Port Scanner effectue un scan systematique des ports TCP d'un hote, identifiant lesquels sont ouverts (un service repond), fermes (aucun service, l'hote repond avec RST) ou filtres (aucune reponse, un pare-feu bloque le trafic). Pour chaque port ouvert, il identifie le service associe et, si possible, la version du logiciel. Cette information est le point de depart de tout audit de securite ou hardening du serveur.

Quels ports verifier

Ports courants et services associes
$ port-scan --host esempio.com

PORT    STATO     SERVIZIO
22/tcp  open      SSH (OpenSSH 8.9)
80/tcp  open      HTTP (nginx/1.24)
443/tcp open      HTTPS (nginx/1.24)
3306/tcp filtered MySQL
5432/tcp closed   PostgreSQL
8080/tcp open     HTTP-Proxy ← non necessario?

Porte aperte: 4 | Filtrate: 1 | Chiuse: 1

Pour un serveur web, les ports necessaires sont typiquement seulement 80 et 443. SSH (22) ne devrait etre accessible que depuis des IP autorisees via pare-feu ou VPN. Les ports des bases de donnees (3306, 5432, 27017) ne devraient jamais etre exposes sur Internet. Des ports comme 8080, 8443, 3000, 9090 indiquent souvent des services de developpement ou des panneaux d'administration qui ne devraient pas etre publics. Verifiez aussi les ports email (25, 587, 993, 995) uniquement sur les serveurs qui gerent le courrier.

Hardening et reduction de la surface d'attaque

Apres le scan, agissez sur chaque port ouvert inutile : desactivez les services inutiles et configurez le pare-feu pour bloquer le trafic. Sur Linux, utilisez ufw ou iptables pour creer des regles en liste blanche (refusez tout, puis autorisez explicitement uniquement les ports necessaires). Verifiez la configuration avec un nouveau scan. Pour SSH, envisagez le changement de port (du 22 a un autre), l'authentification par cle publique uniquement, et fail2ban pour bloquer les brute-force.

Completez l'audit de securite en verifiant le certificat SSL sur les ports HTTPS avec SSL Check et les headers de securite HTTP avec Security Headers. Pour les serveurs de messagerie, verifiez aussi qu'ils ne sont pas des open relay avec Open Relay Test. Un serveur avec uniquement les ports necessaires ouverts, des services a jour et une configuration hardenee est significativement plus resistant aux attaques qu'un serveur avec la configuration par defaut.

Le scan des ports devrait etre une pratique reguliere, pas un evenement ponctuel. Chaque mise a jour logicielle, chaque nouvelle installation, chaque modification de configuration peut ouvrir de nouveaux ports. Automatisez des scans periodiques et comparez les resultats avec la ligne de base pour identifier les changements non autorises. Un service qui apparait la ou il ne devrait pas etre est un signal d'alarme qui merite une investigation immediate.

Essayer Port Scanner gratuitement
Scan des ports TCP ouverts et identification des services actifs
Utiliser Port Scanner >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →