Port Scanner: Identificeer Blootgestelde Diensten en het Aanvalsoppervlak

TCP-poorten: de toegangsdeuren van uw server

Elke netwerkdienst luistert op een of meer TCP- (of UDP-)poorten: de webserver op poort 80 (HTTP) en 443 (HTTPS), SSH op 22, SMTP op 25, de database op 3306 (MySQL) of 5432 (PostgreSQL). Elke open poort is een potentieel toegangspunt voor een aanvaller: als de dienst een kwetsbaarheid heeft, maakt de open poort exploitatie mogelijk. De gouden regel van netwerkbeveiliging is het principe van minimale rechten: stel alleen de strikt noodzakelijke poorten bloot.

De Port Scanner voert een systematische scan uit van de TCP-poorten van een host en identificeert welke open zijn (een dienst reageert), gesloten (geen dienst, de host reageert met RST) of gefilterd (geen reactie, een firewall blokkeert het verkeer). Voor elke open poort identificeert het de bijbehorende dienst en, waar mogelijk, de softwareversie. Deze informatie is het startpunt voor elke beveiligingsaudit of serverversterking.

Welke poorten controleren

$ port-scan --host esempio.com

PORT    STATO     SERVIZIO
22/tcp  open      SSH (OpenSSH 8.9)
80/tcp  open      HTTP (nginx/1.24)
443/tcp open      HTTPS (nginx/1.24)
3306/tcp filtered MySQL
5432/tcp closed   PostgreSQL
8080/tcp open     HTTP-Proxy ← non necessario?

Porte aperte: 4 | Filtrate: 1 | Chiuse: 1

Voor een webserver zijn de benodigde poorten doorgaans alleen 80 en 443. SSH (22) zou alleen toegankelijk moeten zijn vanaf geautoriseerde IPs via firewall of VPN. Databasepoorten (3306, 5432, 27017) mogen nooit op internet worden blootgesteld. Poorten zoals 8080, 8443, 3000, 9090 duiden vaak op ontwikkeldiensten of beheerpanelen die niet openbaar zouden moeten zijn. Controleer ook e-mailpoorten (25, 587, 993, 995) alleen op servers die e-mail beheren.

Hardening en verkleining van het aanvalsoppervlak

Na het scannen, handel bij elke onnodige open poort: schakel ongebruikte diensten uit en configureer de firewall om verkeer te blokkeren. Op Linux gebruikt u ufw of iptables om whitelistregels te maken (weiger alles, sta vervolgens expliciet alleen de noodzakelijke poorten toe). Verifieer de configuratie met een nieuwe scan. Voor SSH overweeg poortwisseling (van 22 naar een andere), authenticatie alleen met publieke sleutel en fail2ban om brute-force te blokkeren.

Maak de beveiligingsaudit compleet door het SSL-certificaat op HTTPS-poorten te controleren met SSL Check en HTTP-beveiligingsheaders met Security Headers. Voor e-mailservers controleer ook dat ze geen open relay zijn met Open Relay Test. Een server met alleen de noodzakelijke poorten open, bijgewerkte diensten en geharde configuratie is aanzienlijk beter bestand tegen aanvallen dan een met standaardconfiguratie.

Poortscannen zou een regelmatige praktijk moeten zijn, geen eenmalig evenement. Elke software-update, elke nieuwe installatie, elke configuratiewijziging kan nieuwe poorten openen. Automatiseer periodieke scans en vergelijk resultaten met de baseline om ongeautoriseerde wijzigingen te identificeren. Een dienst die verschijnt waar hij niet hoort te zijn is een alarmsignaal dat onmiddellijk onderzoek verdient.