Existen tres estados en los que se puede encontrar un puerto:
- Cerrado: Se rechazan completamente los paquetes dirigidos hacia el puerto, es decir, no existe ningún tipo de tráfico entrante o saliente por estos puertos.
- Filtrado: El tráfico de entrada y salida está regulado por agentes de red como los firewalls. Cualquier tráfico o paquete no autorizado por el firewall es ignorado o descartado.
- Abierto: Cuando hay una aplicación o servicio escuchando en ese puerto y es accesible desde el exterior.
No todos los puertos abiertos con servicios escuchando en ellos exponen la red a vectores de riesgo. De hecho, los dispositivos de red pueden tener algunos puertos como el puerto 21 (FTP), y el puerto 23 (Telnet) abiertos de forma predeterminada. Un puerto abierto se convierte en el objetivo de los atacantes si existe una vulnerabilidad en la red que les permita ingresar en su sistema y extraer información crítica.
No todos los servicios que escuchan en un puerto hacen que éste sea peligroso. Sin embargo, cualquier puerto abierto que se deje sin supervisión podría estar ejecutando servicios no autorizados, mal configurados o fácilmente explotables por los atacantes. Los atacantes pueden analizar los puertos para identificar fácilmente los puntos vulnerables de su red, lo que puede ayudarles a atacar de forma contundente.
Puertos abiertos no supervisados: vectores de riesgo
Entre el protocolo de control de transmisión (TCP) y el protocolo de datagramas de usuario (UDP), hay 65,535 puertos que los servicios y las aplicaciones utilizan constantemente para recibir paquetes y transmitir respuestas.
Cuando estos puertos se dejan sin supervisión, los puertos abiertos y los servicios que escuchan en ellos aumentan las posibilidades de ataques a la red.
Algunos de los ataques de los que se puede ser víctima:
1. Malware, troyanos y accesos no autorizados
Aprovechan puertos abiertos para ingresar en la red ejecutando servicios no autorizados en los puertos de red. Estos servicios sólo se pueden identificar realizando un escaneo detallado y un monitoreo continuo de los servicios que se ejecutan en los puertos de red.
2. Exponer las vulnerabilidades que ponen en riesgo la confidencialidad de la red
Los atacantes utilizan las herramientas de análisis para escanear e identificar los puertos abiertos en la red. Una vez obtenidos, se comunican con los servicios que escuchan en estos puertos para descubrir aspectos cruciales de la red, como el uso que se hace del servicio, la versión del software, la arquitectura subyacente, los modelos de comunicación, etc. Con esto se exponen los puntos débiles de la red y las áreas explotables para el atacante.
3. Ataques DoS que afectan la disponibilidad de su red
Los puertos son la puerta de entrada a la red, cuando un servicio se ejecuta en un puerto, ningún otro servicio puede utilizarlo. Si estos puertos abiertos se dejan sin supervisión, los atacantes pueden escanear y establecer fácilmente la comunicación con todos los servicios que escuchan en los puertos abiertos. Al agotar todos los puertos disponibles, se pueden llevar a cabo ataques como los de denegación de servicio (DoS) que interrumpen la disponibilidad de su red y la hacen inaccesible.
Algunas medidas que se pueden tomar para disminuir los riesgos:
1. Utilizar un firewall
Un firewall correctamente configurado actúa como la primera línea de defensa en cualquier red. Establece las reglas para los puertos que deben estar abiertos y cuáles deben cerrarse.
2. Mantener actualizado el firewall
Un firewall obsoleto es otro problema común. Los equipos de red, al igual que las aplicaciones y los sistemas operativos, deben actualizarse periódicamente para mejorar la seguridad y corregir errores.
3. Escanear
Una de las mejores maneras de ver si tiene puertos abiertos o vulnerabilidades de red visibles, es hacer lo que haría un atacante: escanear su red. Al escanear su red con las mismas herramientas que usan los investigadores de seguridad en la red (y los atacantes), sabrá lo que pueden ver.
4. Usar VLANs
No todos necesitan acceso a los mismos recursos de red. Si bien puede determinar y configurar el acceso con contraseñas y permisos en las aplicaciones, también se puede segmentar su seguridad en la red con VLANs o LAN virtuales.
Las VLAN permiten segmentar una red según las necesidades y riesgos, así como los requisitos de calidad del servicio. La mitigación del riesgo consiste en proporcionar acceso a los recursos de la red a las personas autorizadas y restringir el acceso a las personas que no lo están.
5. Tener un IPS o un UTM
La tecnología de un Sistema de Prevención de Intrusiones (IPS) puede desempeñar un papel clave en la seguridad en la red. Un IPS hace más que simplemente monitorear puertos, supervisa el flujo de tráfico en busca de anomalías que puedan indicar actividad maliciosa.
En ocasiones, la tecnología IPS se puede incluir como parte de un dispositivo de Gestión Unificada de Amenazas (UTM).
6. Utilizar VPNs
Tiene sentido extender la protección a los usuarios conectados de forma remota. Una Red Privada Virtual o VPN, permite a los usuarios remotos iniciar sesión en su red con un 'túnel' cifrado. Ese túnel se usa para proteger de manera efectiva con las mismas tecnologías de firewall, IPS y WAF de las que se benefician los usuarios locales.