129853 Letture

Come controllare porte aperte su router e IP pubblico

In informatica ed, in particolare, quando si parla di reti, si utilizza frequentemente il termine porta. Le porte sono "punti di accesso" che vengono utilizzati dai sistemi collegati alla rete per stabilire connessioni verso altri calcolatori. Una connessione di rete è effettuabile ricorrendo ad una delle 65.535 porte disponibili: spetta poi al sistema operativo associare a ciascuna porta un punto di contatto o socket utilizzato da uno o più applicativi per inviare e ricevere dati.

Il comando netstat -na, impartito al prompt dei comandi di Windows, permette di stabilire, istantaneamente, quali connessioni di rete stanno avendo luogo o quindi porte sono poste in ascolto ("listening") in attesa di ricevere richieste di collegamento.
Ciascuna quadrupla (IP:porta, IP:porta) indica l'indirizzo IP sorgente (solitamente l'IP associato al personal computer nell'ambito della rete locale: 192.168.x.x: perché in rete locale vengono usati questi indirizzi?), la porta utilizzata su tale sistema, l'indirizzo IP di destinazione e la porta alla quale ci si è connessi su tale calcolatore.
La presenza dei valori 80 e 443, ad esempio, suggerisce che ci si è connessi ad un server web utilizzando, rispettivamente, i protocolli HTTP e HTTPS.

Come controllare porte aperte su router e IP pubblico

Come spiegato nell'articolo Netstat: per verificare le connessioni di rete in corso, utilizzando il comando netstat -fa, gli indirizzi remoti saranno automaticamente risolti (ove possibile non verrà visualizzato soltanto l'indirizzo IP numerico).

Non esiste una pericolosità intrinseca nell'utilizzare porte specifiche. Semmai, è importante verificare quali e quante porte siano aperte in ingresso accettando le connessioni provenienti dall'esterno.
Sia quando si allestisce un server (dedicato o cloud; vedere, ad esempio, Come configurare server cloud Aruba), sia quando si accede alla rete Internet utilizzando un router "consumer" od un prodotto professionale (Configurare router: guida per tutti i modelli ed i provider Internet), è importante controllare porte aperte sul router e sull'IP pubblico.

Se si configura un server web sulla propria macchina è normale che esso debba accettare il traffico di rete in arrivo sulla porta 80. L'importante è che le richieste siano gestite correttamente e che il server non abbia vulnerabilità intrinseche che debbono essere sempre tempestivamente mediante l'applicazione delle patch di sicurezza rilasciate dai vari produttori software.


Quando si installa un componente server che deve restare in ascolto (“listening”) delle richieste di connessione in ingresso, è necessario effettuare sul router il cosiddetto inoltro delle porte o port forwarding. È in altre parole necessario che il router inoltri tutto il traffico pervenuto su una determinata porta, sull'interfaccia associata all'IP pubblico, verso il sistema connesso in rete locale ove è in esecuzione il componente server.
Attivando il port forwarding sul router, quindi, il componente server installato sulla macchina connessa in rete locale non risponderà più solamente alle richieste di collegamento provenienti dalla LAN ma anche a quelle in arrivo dal “mondo esterno” (rete Internet).

Nell'articolo Aprire porte sul router e chiuderle quando non più necessario, abbiamo visto come aprire le porte sul router, effettuare l'inoltro dei pacchetti dati e chiudere le porte non più necessarie.

Quante sono le porte e come controllare le porte aperte su router e IP pubblico

Abbiamo già evidenziato come le porte di comunicazione seguano una numerazione a 16 bit (sono complessivamente, cioè, 65.535 pari a 216-1).

Alle prime 1.024 porte (dette "well known ports") sono associati specifici servizi, alcuni dei quali ben conosciuti, previsti dalla IANA (Internet Assigned Numbers Authority), un organismo, dipartimento del noto ICANN, che ha responsabilità nell'assegnazione degli indirizzi IP.

Tra le prime 1.024 porte, quindi, basti ricordare che, per convenzione, le 20 e 21 sono utilizzate ad esempio dal protocollo FTP per il trasferimento di file; le 25 e 465 dal protocollo SMTP (la 465 su SSL); la 80 da HTTP; la 110 e 995 da POP3 (la 995 su SSL); la 443 da HTTPS; la 53 dal DNS; le 137-138-139 da NetBIOS e così via.
Un elenco completo è disponibile a questo indirizzo sul sito della IANA. Una lista “commentata” maggiormente leggibile è poi disponibile qui su Wikipedia.

A partire dal numero di porta in ascolto su di un sistema oppure aperta sull'IP pubblico sul quale è attestato il router, è quindi possibile sapere subito che tipo di servizio è in esecuzione.

Anche e soprattutto a titolo cautelativo, è quindi importante controllare le porte aperte su router e IP pubblico. Malintenzionati e criminali informatici sono spesso soliti, infatti, effettuare una scansione di vasti gruppi di indirizzi IP alla ricerca di porte aperte sulle quali siano attestati servizi vulnerabili.

Come spiegato nell'articolo Aprire porte sul router e chiuderle quando non più necessario, è possibile innanzi tutto ricorrere al famoso servizio gratuito di Steve Gibson Shields Up!.


GRC Shields Up!
Per utilizzare Shields Up! e controllare le porte aperte su router e IP pubblico, è possibile collegarsi con questa pagina quindi cliccare su Proceed.
Alla comparsa della pagina successiva, bisognerà fare clic su All service ports. In questo modo, il servizio controllerà sequenzialmente le prime 1.056 porte esaminando l'indirizzo IP pubblico col quale ci si è presentati.

Le porte "invisibili" (stealth) sono evidenziate con il colore verde, in rosso quelle "aperte" (quindi raggiungibili da remoto), in blu quelle visibili anche se chiuse.

Nel caso in cui si fossero attivate funzionalità server è quindi bene verificare che siano aperte solo le porte effettivamente associate a servizi che si vogliono davvero rendere accessibili dall'esterno. Nel caso di un router utilizzato in azienda o in ufficio, la porta 80 dovrebbe essere, ad esempio, normalmente chiusa (anzi, indicata come "invisibile"), a meno che non si fosse effettuato il port forwarding verso un sistema server, collegato in rete locale, al quale ci si deve poter connettere – previo inserimento delle credenziali d'accesso – dall'esterno.

Come controllare porte aperte su router e IP pubblico

Shields Up! consente di effettuare una scansione del solo proprio IP. In altre parole, non è possibile esaminare indirizzi IP remoti appartenenti a terzi.

YouGetSignal

Anche YouGetSignal permette, come Shields Up!, di controllare le porte aperte sul router o sull'IP pubblico. Puntando il browser su questa pagina, si può specificare quale porta deve essere controllata mentre cliccando sul link Scan all common ports, YouGetSignal verificherà le porte di utilizzo più comune.
Il servizio non fa differenza, diversamente da Shields Up!, tra porte chiuse e porte invisibili: le porte vengono indicate o come aperte o, semplicemente, come chiuse.
È comunque possibile effettuare anche una scansione di IP pubblici diversi da quello in uso anche se YouGetSignal consente di prendere in esame una porta alla volta.


T1 Shopper
Lo strumento gratuito per la scansione delle porte aperte accessibile da questa pagina consente invece di verificare le porte aperte su qualunque indirizzo IP, non soltanto sull'IP pubblico con cui ci si presenta.

Per default, nel campo Host name or IPv4 address appare l'indirizzo IP pubblico con cui si è al momento collegati alla Rete.

È comunque possibile modificare tale indirizzo specificando un qualunque altro indirizzo IP da esaminare.

Come controllare porte aperte su router e IP pubblico

Cliccando su Check all quindi sul pulsante Scan, si può limitare la scansione sulle 14 porte indicate.

Utilizzando le caselle Scan this list of ports numbers e Scan a range of ports, si può invece richiedere la scansione di un insieme di porte specifiche.

Il servizio provvederà ad effettuare la scansione in tempo reale indicando via a via quali porte risultano aperte, quali sono chiuse e quali non forniscono alcun tipo di risposta (la richiesta "cade nel vuoto").

Come controllare porte aperte su router e IP pubblico

MX Toolbox

Un ulteriore servizio alternativo è MX Toolbox. Collegandosi con questa pagina, possibile accedere ad una serie di strumenti che non soltanto permettono di verificare le porte aperte su qualunque IP pubblico ma anche controllare la configurazione dei server DNS, effettuare un WHOIS (per stabilire a chi è intestato un dominio; vedere anche Quanti e quali siti sono intestati alla stessa persona od azienda?), PING e Traceroute, controllare la reputazione di host e l'eventuale blacklisting, verificare gli eventuali record antispam SPF e molto altro ancora.

Come controllare porte aperte su router e IP pubblico

Per avviare una scansione delle porte, è sufficiente digitare scan: nel campo Look anything, seguito dall'IP che deve oggetto dell'operazione di scansione. MX Toolbox, comunque, limita la scansione alle porte di utilizzo più comune.


  1. Avatar
    Claudio Congia
    20/07/2016 23:48:00
    Buongiorno, vorrei verificare le porte aperte tcp/udp che ho assegnato alla ps3 alla quale ho dato un indirizzo IP specifico. Sul router sono spuntate e risultano attive ma utilizzando i speed test non riesco ad inserire l'ip specifico del dispositivo. Come potrei fare? Grazie
Come controllare porte aperte su router e IP pubblico - IlSoftware.it