Možná si to neuvědomujete, ale na rozdíl od většiny open-source softwaru, otevřené porty nejsou žádoucí. Naopak, měli byste se jim snažit za každou cenu vyhnout. Hned si ujasněme jednu věc. Když mluvíme o otevřených portech, hovoříme o potenciálních otevřených vratech do vašeho zařízení. A pokud se zlomyslní jedinci k takovým vrátkům dostanou, mohou je využít k neoprávněnému vstupu. Rozhodně nic takového nechcete. Proto byly vytvořeny skenery portů a my vám představíme deset nejlepších bezplatných, které jsme dokázali najít.
V dnešním článku začneme rychlým úvodem do problematiky síťových portů. Vysvětlíme, co porty jsou a co nejsou. Také si objasníme rozdíl mezi známými porty a ostatními. Následně se zaměříme na bezpečnost. Ukážeme si, proč je klíčové udržovat nepoužívané porty zavřené a ty používané dobře zabezpečené. Poté přejdeme k našemu seznamu 10 nejlepších bezplatných skenerů portů. U každého z nich vám nabídneme stručné shrnutí a představíme jeho hlavní funkce.
Co se skrývá pod pojmem „port“?
Jednoduše řečeno, porty jsou síťové brány do zařízení. Nyní si to vysvětlíme podrobněji. Počítače dokážou provádět spoustu různých úkonů současně. A některé z těchto operací vyžadují síťový přístup. Nicméně počítače obvykle disponují pouze jedním síťovým rozhraním. Porty byly vymyšleny jako způsob, jak umožnit různým procesům sdílet jediné síťové rozhraní.
Představte si například server, na kterém současně běží webový server a FTP server, což je poměrně běžná kombinace. Jak operační systém pozná, kam má směrovat příchozí požadavek, zda na webový nebo FTP server? Právě pomocí portů. Požadavek určený pro webový server použije port 80, zatímco požadavek pro FTP server bude směřovat na port 22.
Porty nejsou fyzické entity, jedná se pouze o čísla od 0 do 65535, která se přidávají do hlavičky datových paketů putujících v síti. A nejsou přidělována náhodně. No, vlastně, někdy ano. Ale o tom si povíme později.
Aby vše fungovalo, je důležité, aby se všichni shodli na tom, který port se k čemu používá. Například výše zmíněný webový server očekává, že požadavky budou směrovány na port 80. Váš webový prohlížeč tedy musí k odeslání požadavku na webový server využít port 80.
Zavedené porty
Potřeba shody ohledně používání portů vedla brzy ke standardizaci. Organizace Internet Assigned Numbers Authority (IANA, ta samá organizace, která přiděluje IP adresy) je zodpovědná za správu oficiálního seznamu přiřazení čísel portů konkrétním službám.
Pod dohledem IANA bylo prvních 1024 portů oficiálně přiděleno různým službám. No, abychom byli přesní, není to úplně tak. Některá přiřazení portů nemají oficiální souhlas IANA. Prostě se objevila a některé organizace je začaly využívat pro své účely – často ještě předtím, než IANA začala kontrolovat přiřazení – a užíváním se tak prostě zaběhla.
Dnes většina z nás zná několik z těchto portů. Jak již bylo zmíněno, port 80 se používá pro web a 21 pro FTP. Dále známe port 22 pro SSH nebo 53 pro DNS. Ne všechny z prvních 1024 portů byly obsazeny a některé jsou stále k dispozici, avšak jejich počet se snižuje.
Ostatní porty
Známých portů je prvních 1024, co ale těch 64512 zbývajících? Porty 1024 až 49151 se označují jako registrované porty. Také jsou spravovány a přidělovány organizací IANA. Každá organizace může požádat o přidělení pro své konkrétní potřeby. Například port 1433 se stal portem pro server Microsoft SQL nebo port 47001 portem pro službu vzdálené správy Windows. Nicméně internet je takový, jaký je a několik portů v tomto rozsahu se používá pro specifické účely, aniž by byly zaregistrovány u IANA.
Porty v rozsahu 49152 až 65535 jsou označovány jako efemérní porty. Aplikace je dočasně využívají k odlišení toků dat. Představte si webový server. Může se k němu připojit několik klientů současně. Pokud by všichni používali port 80, server by těžko rozlišoval, komu má odeslat odpověď. Proto je počáteční připojení provedeno na portu 80, po čemž se server a klient „dohodnou“ na dočasných číslech portů, které budou používat pro zbytek komunikace.
Nepoužívané porty by měly zůstat zavřené
Stav portu na počítači může být otevřený, zavřený nebo skrytý. Otevřený port znamená, že počítač aktivně „poslouchá“ požadavky na připojení na daném portu. Je to aktivní port. Uzavřený port, jak už název napovídá, nebude přijímat příchozí připojení. Místo toho odpoví na jakýkoli požadavek zprávou, že port je uzavřen. Skryté porty jsou trochu odlišné. Zařízení, které se pokouší připojit na takový port, nedostane žádnou odpověď.
Každý otevřený port představuje otevřená dvířka do vašeho počítače. A škodliví uživatelé se jistě pokusí využít těchto otevřených vrátek k získání přístupu do počítače. Řekněme například, že máte otevřený port FTP 21, ačkoli FTP ve skutečnosti nepoužíváte. Hacker by mohl využít tento otevřený port k zneužití bezpečnostní mezery FTP softwaru běžícího na počítači a vložit do něj škodlivý kód.
A pokud FTP ani nepoužíváte, je pravděpodobné, že jste FTP server neaktualizovali a mohl by obsahovat zranitelná místa. Proto je tak důležité zajistit, aby nepoužívané porty byly buď zavřené, nebo skryté.
Chraňte i porty, které používáte
Pokud jde o porty, které skutečně využíváte, i ty představují otevřené dveře a mohou být zneužity ke škodlivým účelům. Proto je nezbytné otevřené porty chránit. To lze provést několika způsoby, přičemž tím nejzákladnějším je udržovat operační systém a další software aktuální. Většina vydavatelů softwaru pravidelně vydává opravy, které řeší zjištěné zranitelnosti. Další možností, jak se chránit, je využívání firewallů a systémů detekce a/nebo prevence průniku.
Našich 10 nejlepších bezplatných skenerů portů
Skenery portů jsou vaší první linií obrany. Pomohou vám zjistit, jaké porty jsou na vašem zařízení otevřené, zavřené a skryté. Skenování zařízení na otevřené porty často odhalí překvapení. Objevíte porty, o kterých jste ani nevěděli, že jsou otevřené. Skener portů, neboli kontrola portů, vám napoví, co je třeba udělat s každým zařízením. A pamatujte, že i hackeři používají skenery portů k hledání otevřených vrátek do systémů, ke kterým se chtějí dostat.
Portové skenery existují ve dvou hlavních formách. První z nich je software, který si nainstalujete do počítače a spouštíte jej odtud. Alternativně lze některé skenery spouštět z webové stránky. Každý z těchto přístupů má své výhody a nevýhody.
Například webové skenery jsou skvělé, protože je můžete používat odkudkoli, aniž byste museli cokoli instalovat. Nahlásí, jaké porty jsou otevřené zvenčí vaší sítě. Nicméně mají i nevýhodu. Port může být na zařízení otevřený, ale zdá se, že je uzavřený nebo skrytý mimo vaši síť, protože je blokován firewallem. V takovém případě byste byli stále zranitelní vůči internímu útoku. A věřte, že to není vůbec neobvyklá situace.
Nejlepším řešením je pravděpodobně kombinace webových a softwarových skenerů. Společně vám poskytnou kompletní přehled o tom, co je otevřené zvenčí i zevnitř vaší sítě.
Dost bylo řečí, zde je náš seznam 10 nejlepších bezplatných skenerů portů:
SolarWinds Free Port Scanner
Zenmap
PortChecker Port Scanner
Open Port Scanner
IP Fingerprints Network Port Checker
Free Port Scanner
Port Checker
WhatIsMyIP Port Scanner
TCPView
Spiceworks IP skener
1. SolarWinds Free Port Scanner (STAŽENÍ ZDARMA)
Společnost SolarWinds patří k hlavním hráčům v oblasti síťových nástrojů. Je také známá tím, že publikuje několik velmi užitečných bezplatných nástrojů. Jedním z nich je SolarWinds Free Port Scanner. Tento software je dostupný pouze pro Windows a lze jej spouštět jak s grafickým uživatelským rozhraním, tak i jako nástroj příkazového řádku.
Ve výchozím nastavení skener prohledá vaši síť a identifikuje všechny IP adresy. Poté si můžete zvolit skenování všech zařízení nebo si upravit nastavení pro skenování pouze určité podmnožiny vašich zařízení. Dále můžete určit porty, které chcete testovat. Ve výchozím stavu bude testovat pouze známé porty, ale můžete toto nastavení přepsat a zadat vlastní rozsah nebo seznam čísel portů. Pokročilejší nastavení vám umožní skenovat pouze porty TCP nebo UDP, provádět kontrolu pingem, DNS rozlišení nebo test identifikace operačního systému.
Výsledkem je seznam stavu všech testovaných zařízení. Dokážete si představit, že to může být dlouhý seznam. Naštěstí systém umožňuje použít filtry a zobrazit například pouze zařízení s otevřenými porty. Kliknutím na zařízení se zobrazí panel s podrobnostmi o portech. Opět se zobrazí seznam všech portů z testovaného rozsahu a znovu můžete použít filtr a zobrazit pouze porty, které jsou otevřené.
Oficiální odkaz ke stažení: https://www.solarwinds.com/free-tools/port-scanner
2. Zenmap
Zenmap je open-source grafické rozhraní pro Nmap, bezplatný nástroj pro testování sítí, který je populární již více než 20 let. Tento software, který funguje na Windows, Linuxu, BSD a Mac OS, testuje mnohem více než jen porty.
I když jeho uživatelské rozhraní není nijak zvlášť propracované, svou práci odvádí dobře. Prohledá všechny porty na všech počítačích připojených k vaší síti. Následně provede další testy na otevřených portech, které objevil. Můžete také provést kompletní skenování, skenování všech TCP portů nebo skenování všech UDP portů. Dále je k dispozici intenzivní skenování, které využívá metodu stealth, kdy testované zařízení neprotokoluje testy jako připojení. Nicméně, tyto testy mohou trvat dlouho. Počítejte s tím, že u jednoho zařízení to může trvat i více než 90 minut.
3. PortChecker Port Scanner
PortChecker Port Scanner je webový skener. Jedná se o skvělý nástroj, i když ne všechny porty jsou kontrolovány. Služba testuje 36 nejdůležitějších a nejzranitelnějších známých portů z hlediska jejich dostupnosti z internetu. Také testuje, zda na každém otevřeném portu běží nějaká služba. Je zde také možnost spustit kratší sken, který testuje pouze 13 portů.
Testované porty zahrnují FTP data a řízení, TFTP, SFTP, SNMP, DHCP, DNS, HTTPS, HTTP, SMTP, POP3, POP3 SSL, IMAP SSL, SSH a Telnet, abychom jmenovali ty nejdůležitější. Výsledky skenování se zobrazí v tabulce na webové stránce. Pokud potřebujete rychlý test nejběžnějších portů, bezplatný PortChecker Port Scanner pro vás může být tou správnou volbou.
4. Open Port Scanner
Open Port Scanner od WebToolHub je další bezplatná online kontrola portů. Systém vyžaduje zadání IP adresy a seznamu portů ke kontrole. Můžete zadat pouze 10 čísel portů najednou, takže budete muset skenovat opakovaně, abyste otestovali více portů. Nemusíte ale zadávat jednotlivá čísla portů. Systém podporuje i rozsahy – například 21-29 – pokud rozsah není delší než 10. Zdá se, že je to vhodnější nástroj pro rychlou kontrolu specifických portů, než pro úplné hodnocení zranitelnosti.
Po dokončení skenování, které je poměrně rychlé, se výsledky zobrazí v tabulce se stavem každého portu a také službou registrovanou na daném portu. Tabulku výsledků lze exportovat do souboru CSV. A když už jste na webu WebToolHub, možná budete chtít vyzkoušet i další bezplatné nástroje, jako je kontrola polohy IP, kontrola zpětných odkazů, vyhledávač WHOIS a test Ping.
5. IP Fingerprints Network Port Checker
IP Fingerprints je další web, kde naleznete řadu bezplatných a užitečných nástrojů. Kontrola síťových portů je jedním z nich. Chcete-li ji použít, stačí zadat IP adresu a rozsah portů, které chcete zkontrolovat. I když počet skenovaných portů není omezen, budete upozorněni, že skenování počtu portů přesahující 500 může chvíli trvat a že rozsáhlé rozsahy mohou spustit skenování, které možná nikdy neskončí.
Tento nástroj tvrdí, že dokáže obejít firewally. To se provádí pomocí požadavků SYN. Skutečné spojení se tak nikdy neotevře a mnoho firewallů požadavek SYN propustí. Zda projde firewallem nebo ne, není až tak podstatné. I tak je to velmi dobrý test, protože je běžně používán hackery.
6. Zdarma Port Scanner
Zdarma Port Scanner je freeware pro Windows, který si můžete stáhnout z webu Major Geeks. Pomocí tohoto nástroje můžete skenovat rozsahy portů. Počet skenovaných portů není omezen, takže pokud máte dostatek času, můžete se rozhodnout skenovat všechny porty.
Ve výchozím nastavení bude nástroj skenovat vaši vlastní IP adresu na otevřené porty z vlastního výchozího seznamu portů. Jak se dá očekávat, doba trvání skenování je úměrná počtu skenovaných portů. Testování portů na jiném zařízení trvá déle. Například testování všech portů na vašem routeru může klidně trvat celý den. Výsledky mohou zobrazovat otevřené nebo uzavřené porty, případně obojí. Nástroj nemá žádnou dokumentaci a není jasné, jakou testovací metodu používá. Také se zdá, že testuje pouze porty TCP, nikoli UDP.
7. Kontrola portů
Kontrola portů je nástroj pro Windows, který si nejlépe stáhnete ze Softpedie. Software nemá žádný instalátor. Stačí si stáhnout jeho zip soubor, rozbalit spustitelný soubor a spustit jej. Spustitelný soubor je malý a nevyžaduje instalaci, takže ho můžete spustit z USB klíčenky.
Uživatelské rozhraní nástroje je jednoduché a snadno se používá. Jednoduše zadáte IP adresu a z rozbalovací nabídky vyberete číslo portu. Dvě hlavní omezení tohoto nástroje jsou, že nemůžete skenovat libovolný port, pouze ty ze seznamu, a že při jednom spuštění skenuje pouze jeden port. Navzdory svým omezením je Port Checker skvělým nástrojem, když potřebujete ověřit, zda je konkrétní port otevřený, či nikoliv.
8. Skener portů WhatIsMyIP
Každý správce sítě zná web WhatIsMyIP.com. Stránka se běžně používá ke zjištění veřejné IP adresy hostitele. Možná nevíte, že stránka má i další nástroje. Jedním z nich je i skener portů. Hlavní výhodou skeneru WhatIsMyIP Port Scanner je jeho rychlost. I skenování více portů trvá jen několik sekund.
Webový nástroj je také unikátní jednou funkcí, kterou nemá žádný jiný podobný nástroj: schopnost skenovat podle „tématu“. Ve skutečnosti se jim říká spíše balíčky než témata a každý obsahuje určitý počet souvisejících portů. Například existuje balíček „Games“, který bude skenovat porty obvykle používané pro online hraní, nebo webový balíček, který obsahuje porty FTP (20 a 21), HTTP (80) a HTTPS (8080). Dokonce je zde i balíček „Malicious“, který obsahuje porty běžně používané malwarem a hackery.
9. TCPView
TCPView – který si můžete stáhnout přímo od Microsoftu – se velmi liší od ostatních skenerů v našem seznamu. Místo skenování portů monitoruje každý proces běžící na počítači a uvádí, který port je s jakým procesem spojen. U každého procesu také uvádí počet příchozích a odchozích bajtů a paketů. Tento přístup je důkladnější než skenování portů a vypíše všechny otevřené porty na počítači.
TCPView zobrazuje procesy a odpovídající porty a obnovuje se každou sekundu, každou druhou sekundu nebo každých pět sekund. Nové procesy jsou barevně označeny zeleně, zatímco procesy, které se právě zastavily, zůstávají v seznamu několik sekund a jsou označeny červeně. Procesy, jejichž stav se změnil, jsou barevně označeny žlutě.
10. Spiceworks IP skener
Spiceworks IP skener je dvousložkový systém. Skládá se z online řídicího panelu a malého monitorovacího agenta, kterého si musíte nainstalovat do počítače. Agent odesílá data, která shromáždí, do cloudového řídicího panelu, kde si můžete prohlédnout výsledky skenování. Agenti jsou k dispozici pro Linux, Windows a Mac OS. Nástroj je zdarma, ale je podporován reklamou.
IP skener automaticky najde všechna připojená zařízení a ohlásí MAC adresu zařízení, jeho IP adresu a název hostitele, jméno výrobce, operační systém a – což je pro nás nyní nejdůležitější – seznam otevřených portů.
Závěrem
Pokud jde o skenery portů, neexistuje jasný vítěz. Představili jsme vám deset velmi odlišných nástrojů. Každý z nich má své silné i slabé stránky. Ale s tolika nástroji dostupnými zdarma vám nic nebrání v tom, abyste používali kombinaci nástrojů v závislosti na vašich aktuálních potřebách. Osobně jsem je všechny použil a zjistil jsem, že každý z nich má nějakou přidanou hodnotu a v určitých situacích bude tím nejvhodnějším nástrojem.