SECURITY GUIA

Port Scanner: Identifique os Servicos Expostos e a Superficie de Ataque

Como funciona o escaneamento de portas TCP, quais servicos procurar e como reduzir a superficie de ataque do seu servidor.

Portas TCP: as portas de entrada do seu servidor

Cada servico de rede escuta em uma ou mais portas TCP (ou UDP): o servidor web na porta 80 (HTTP) e 443 (HTTPS), SSH na 22, SMTP na 25, o banco de dados na 3306 (MySQL) ou 5432 (PostgreSQL). Cada porta aberta e um potencial ponto de entrada para um atacante: se o servico tem uma vulnerabilidade, a porta aberta permite sua exploracao. A regra de ouro da seguranca de rede e o principio do menor privilegio: exponha apenas as portas estritamente necessarias.

O Port Scanner realiza um escaneamento sistematico das portas TCP de um host, identificando quais estao abertas (um servico responde), fechadas (nenhum servico, o host responde com RST) ou filtradas (sem resposta, um firewall bloqueia o trafego). Para cada porta aberta, identifica o servico associado e, quando possivel, a versao do software. Essa informacao e o ponto de partida para qualquer auditoria de seguranca ou hardening do servidor.

Quais portas verificar

Portas comuns e servicos associados
$ port-scan --host esempio.com

PORT    STATO     SERVIZIO
22/tcp  open      SSH (OpenSSH 8.9)
80/tcp  open      HTTP (nginx/1.24)
443/tcp open      HTTPS (nginx/1.24)
3306/tcp filtered MySQL
5432/tcp closed   PostgreSQL
8080/tcp open     HTTP-Proxy ← non necessario?

Porte aperte: 4 | Filtrate: 1 | Chiuse: 1

Para um servidor web, as portas necessarias sao tipicamente apenas 80 e 443. SSH (22) deve ser acessivel apenas de IPs autorizados via firewall ou VPN. As portas de bancos de dados (3306, 5432, 27017) nunca devem ser expostas na Internet. Portas como 8080, 8443, 3000, 9090 frequentemente indicam servicos de desenvolvimento ou paineis de administracao que nao devem ser publicos. Verifique tambem as portas de email (25, 587, 993, 995) apenas em servidores que gerenciam correio.

Hardening e reducao da superficie de ataque

Apos o escaneamento, atue em cada porta aberta desnecessaria: desative os servicos inuteis e configure o firewall para bloquear o trafego. No Linux, use ufw ou iptables para criar regras de whitelist (negue tudo, depois permita explicitamente apenas as portas necessarias). Verifique a configuracao com um novo escaneamento. Para SSH, considere a mudanca de porta (da 22 para outra), a autenticacao apenas com chave publica, e o fail2ban para bloquear brute-force.

Complete a auditoria de seguranca verificando o certificado SSL nas portas HTTPS com SSL Check e os headers de seguranca HTTP com Security Headers. Para servidores de email, verifique tambem que nao sejam open relay com Open Relay Test. Um servidor com apenas as portas necessarias abertas, servicos atualizados e configuracao hardened e significativamente mais resistente a ataques do que um com configuracao padrao.

O escaneamento de portas deve ser uma pratica regular, nao um evento pontual. Cada atualizacao de software, cada nova instalacao, cada modificacao na configuracao pode abrir novas portas. Automatize escaneamentos periodicos e compare os resultados com a baseline para identificar mudancas nao autorizadas. Um servico que aparece onde nao deveria ser e um sinal de alarme que merece investigacao imediata.

Experimente Port Scanner grátis
Varredura de portas TCP abertas e identificação de serviços ativos
Usar Port Scanner >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →