Una delle problematiche di sicurezza che è bene tenere sotto controllo è l’apertura non autorizzata di determinate porte di comunicazione all’interno della rete locale.
Le porte di comunicazione sono una sorta di punti d’accesso attraverso i quali viene stabilita una connessione in entrata od in uscita con ciascun sistema. Una connessione di rete è effettuabile utilizzando una delle 65.535 porte disponibili: alle prime 1.024 porte (“well known ports“) sono associati specifici servizi previsti dalla IANA (Internet Assigned Numbers Authority). Per convenzione, quindi, le porte 20 e 21 sono utilizzate ad esempio dal protocollo FTP per il trasferimento di file; la 25 dal protocollo SMTP; la 80 da HTTP; la 110 da POP3; la 443 da HTTPS e così via (un elenco completo è disponibile a questo indirizzo).
Diversamente da ciò che alcuni credono, non esiste una pericolosità intrinseca nell’utilizzo di porte specifiche: il problema si può semmai presentare nel momento in cui sul sistema in uso vi siano componenti server in ascolto, ovvero in grado di rispondere alle richieste di connessione provenienti dall’esterno. Se si configura un server web sulla propria macchina è normale che debba accettare il traffico di rete in arrivo sulla porta 80. L’importante è che le richieste siano gestite correttamente e che il server non abbia vulnerabilità intrinseche che debbono essere sempre tempestivamente mediante l’applicazione delle patch di sicurezza rilasciate dai vari produttori software.
Se, di contro, sul sistema riuscisse ad insediarsi un componente trojan in grado di mettersi in ascolto su una porta specifica, ecco che qualora l’antivirus non fosse in grado di rilevarne la presenza (assenza o disattivazioni di un firewall in grado di segnalare all’utente e bloccare i tentativi di connessione provenienti dall’esterno), si correrebbero enormi rischi.
Ogni “personal firewall” consente di specificare anche se un programma debba operare solamente in modalità client oppure se possa accettare anche le connessioni provenienti dalla Rete (modalità server).
Su un sistema che non debba fornire ad altri utenti dei servizi sono solitamente ben poche le componenti server che vengono avviate, a meno che non si installino web server, file server, ftp server, print server o software per il file sharing. I malware che si mettono in ascolto su una o più porte integrano una componente server, che permette connessioni non autorizzate da parte di aggressori remoti.
Sebbene Windows integri un’utilità, basata su riga di comando, che consente di ottenere l’elenco delle comunicazioni avviate e delle porte aperte (ved. l’articolo dedicato a “Netstat“, a questo indirizzo), CloseTheDoor è un software gratuito che si pone un gradino più in alto.
Tale applicazione è stata sviluppata in modo tale da restituire su quali porte TCP ed UDP vi siano dei componenti software in ascolto, sia utilizzando il protocollo IPv4 che IPv6.
Chi ha progettato CloseTheDoor afferma di aver messo a punto l’applicazione con lo scopo di prevenire la sottrazione di informazioni da parte di terzi.
Il programma, una volta avviato, mostra tutte le comunicazioni in corso indicando i processi che hanno richiesto ciascuna operazione. CloseTheDoor, facendo clic su ciascuna riga, permette di arrestare immediatamente un processo consentendo la disattivazione o la disinstallazione nel caso in cui si trattasse di un servizio.
Una serie di link aggiuntivi permettono di raccogliere, online, maggiori informazioni sull’identità di processi e porte:
La voce “Port authority database” consente di accedere al database mantenuto da Grc.com e controllare per quali attività vengono generalmente utilizzate le varie porte.
Per controllare quanti host, detti anche “endpoints“, stanno effettuando comunicazioni sulle varie interfacce di rete (reali o virtuali), è possibile cliccare sul menù File quindi scegliere il comando Display a summary.
Il software è compatibile con Windows XP, Windows Vista e Windows 7.
Per verificare quali porte sono aperte sulle singole workstation collegate alla rete locale, è possibile orientarsi su un software come PortScan. Accanto all’elenco delle porte, PortScan mostra il MAC address di ciascuna scheda di rete, il nome dell’host corrispondente ed altre informazioni accessorie.
Per utilizzare PortAddress, è sufficiente fare doppio clic sul suo eseguibile quindi digitare l’indirizzo IP a partire dal quale iniziare la scansione. Nel campo End IP address, va specificato l’indirizzo IP raggiunto il quale la scansione deve essere completata. Al posto degli IP possono essere digitati, in alternativa, i nomi degli host.
Lasciando attivata la casella Scan common ports, il programma si limiterà ad effettuare una scansione delle porte di più frequente utilizzo. Diversamente, per ciascun host, saranno oggetto di test tutte le 65.535 porte. PortScan riporta anche l’elenco delle risorse condivise in rete locale ed evidenzia quei sistemi ove non fossero utilizzate password a protezione degli account utente.
Cliccando sul pulsante Save, PortScan salverà il risultato dell’analisi in formato XML.
Applicazioni come CloseTheDoor e PortScan potrebbero talvolta generare “falsi positivi” (errori compiuti dai vari motori di scansione antivirus). Al momento, analizzando i due programmi con VirusTotal, nessun motore antivirus, tra quelli più noti, cade in errore.