Centro Assistenza ACSIA

Ricerca

Cosa è un "port scan"?

Federico Trotta
Federico Trotta
  • Aggiornato

Panoramica

Questo articolo spiega l'alert ACSIA chiamato "port scan".

Spiegazione del port scan

Con "port scan" ci si riferisce al processo di esame o sondaggio attivo di un computer o di una rete per identificare quali porte di rete siano aperte e accessibili.

Quando qualcuno esegue una scansione delle porte, sta cercando di identificare quali porte su un computer o su una rete siano disponibili per la comunicazione. La scansione aiuta a rivelare potenziali vulnerabilità o servizi che potrebbero essere in esecuzione sul sistema.

Ecco un esempio per illustrare questo concetto:

Immagina che i nostri computer siano come una casa con più porte, ciascuna delle quali rappresenta una porta di rete diversa. Un port scan è come qualcuno che gira per le nostre case e prova ogni porta per vedere quale è aperta o chiusa.

Nel mondo della sicurezza informatica, un utente malintenzionato o un professionista della sicurezza potrebbe eseguire una scansione delle porte su un computer o una rete per raccogliere informazioni su potenziali punti di accesso o servizi esposti a Internet. Scansionando le porte, possono identificare se ne siano rimaste aperte alcune, offrendo opportunità di accesso o sfruttamento non autorizzati.

Ad esempio, una scansione delle porte potrebbe rivelare che la porta 80 (comunemente utilizzata per il traffico Web) e la porta 22 (utilizzata per l'accesso protetto alla shell) sono aperte su un determinato computer. Ciò indica che un server Web o un servizio SSH è in esecuzione ed è accessibile. A seconda delle circostanze specifiche, una porta aperta potrebbe presentare un rischio per la sicurezza se il servizio associato presenta vulnerabilità che possono essere sfruttate da un utente malintenzionato.

La scansione delle porte in sé non è necessariamente dannosa. È una tecnica utilizzata sia dagli aggressori che dai professionisti della sicurezza informatica per valutare la sicurezza di un computer o di una rete. Tuttavia, le scansioni delle porte non autorizzate o dannose da parte di aggressori possono essere un precursore di attacchi più mirati, o un tentativo di identificare potenziali vulnerabilità.

ACSIA ti avvisa quando viene eseguito un port scan sulla tua infrastruttura. Ecco tutte le informazioni che ACSIA ti mostra nella Live Notification:

Inoltre, sulla destra della schermata sopra, possiamo vedere le azioni che un utente può eseguire in questi casi.

 

Se hai attivato il "Public IP auto-ban" nelle impostazioni, ACSIA non ti mostrerà avvisi, nella Live Notification, se viene eseguita una scansione aggressiva delle porte, perché attiva automaticamente l'auto-ban.

Per "scansione aggressiva delle porte" intendiamo che molte scansioni delle porte sono state eseguite nell'intervallo di tempo di 5 minuti, a volte scansionando anche la versione del sistema operativo.


Per attivare il "Public IP auto-ban":