La rete di Internet può essere immaginata come una rete stradale, dove al posto degli indirizzi delle abitazioni avremo gli indirizzi IP (o Internet Protocoll Address) dei dispositivi che vi sono collegati, come ad esempio computer, smartphone o ancora stampanti Wi-Fi e smart TV. Tutto ciò che viene collegato alla rete, per poter comunicare e "percorrerla", sarà identificato attraverso il suo indirizzo IP. Una volta che il pacchetto di informazioni arriva sul dispositivo che corrisponde a un dato indirizzo IP, dovrà poi essere indirizzato verso la meta che potrà essere un servizio o l'esecuzione di un'applicazione, come ad esempio l'avvio di un client di posta elettronica oppure un messaggio in una chat o una videochiamata. Dopo essere passato dall'indirizzo IP le informazioni del traffico di rete devono passare anche attraverso una porta specifica per giungere alla destinazione designata, sia essa un programma, un'applicazione o un servizio.    Per comprendere meglio cosa sia una porta, si può immaginare di dover consegnare un pacco a un ospite che alloggia nella camera di un hotel. L'indirizzo IP corrisponde all'indirizzo stradale a cui si trova l'hotel, mentre la porta è il numero della stanza, e infine l'ospite è il servizio o l'applicazione a cui sono destinate le informazioni del pacchetto di rete, necessarie per il suo funzionamento.  

Porte e traffico Internet: le numerazioni della IANA

Quando si effettua una connessione, si verifica un collegamento tra la porta, che rappresenta l'estremità locale della rete e si trova nel computer, e l'estremità remota, che potrebbe essere un server web. Ad esempio, se ci si vuole connettere a un server web che utilizza l'HTTPS (Hypertext Transfer Protocol Secure), la porta remota nel dispositivo sarà la numero 443. Infatti, le porte hanno una numerazione sequenziale che va da 0 a 65535 e i numeri ad esse associati sono regolati dalla IANA (Internet Assigned Numbers Authority), che le classifica tra:

• porte conosciute (0-1023): i loro numeri sono noti e fissi, poiché sono assegnate univocamente a determinate tipologie di traffico, come servizi server standard, e utilizzate a livello di sistema operativo o processi di sistema. Ad esempio, sono porte conosciute le connessioni protette HTTPS sulla porta 443 e il traffico SMTP (Simple Mail Transfer Protocol, il sistema su cui si basa l'invio e la ricezione delle e-mail) che utilizza la porta 25
• porte registrate (1024 – 49151): anche se l'utilizzo è generalmente libero, le società di software o altre organizzazioni possono chiedere che la porta venga riservata alla propria applicazione. Queste porte vengono definite anche semi-riservate, perché sebbene siano riservate alla specifica applicazione, se la registrazione viene annullata la porta torna libera e può essere riutilizzata
• porte dinamiche o private (49152-65535): possono essere utilizzate da qualsiasi applicazione e quindi possono essere richieste, allocate, utilizzate per un certo periodo e poi liberate, come ad esempio un browser che utilizza la porta per visitare un determinato sito web e poi la libera quando finisce la propria sessione.

Porte e sicurezza: quali sono i rischi

La sicurezza di una porta dipende dal modo in cui viene gestita e dall'utilizzo che se ne fa. Nessuna porta quindi è completamente sicura: il protocollo utilizzato per comunicare attraverso una porta, così come il servizio e l'applicazione verso cui è diretto il traffico, devono essere costantemente aggiornati con patch di sicurezza così da risolvere bug e problemi in modo tempestivo. Le minacce sono molte: dalla diffusione di malware e virus, ad attacchi di vario tipo come buffer overflow o SQL injection. Ecco alcune delle porte che più facilmente potrebbero implicare dei rischi per la sicurezza:

• porta 21 – protocollo di trasferimento file: una porta non sicura che ospita un server FTP (File Transfer Protocol) è un grave rischio per la sicurezza, perché molti di questi server hanno vulnerabilità che consentono l'autenticazione anonima e pertanto è relativamente facile prenderne il controllo, motivo per cui spesso queste porte sono state utilizzate da programmi malware come Dark FTP, Rame e WinCrash
• porta 22 – account Secure Shell o SSH: questa tipologia di porte è associata ad account configurati con password poco sicure che possono essere facilmente trovate da malintenzionati, per questo sono soggette a molte vulnerabilità ed è necessario distribuire patch di sicurezza costantemente per eliminare i rischi
• porta 23 – Telnet: si tratta di un servizio di comunicazione remota ormai obsoleto, che invia le informazioni e le riceve senza utilizzare la crittografia, per questo motivo è molto esposto a qualsiasi tipo di minaccia
• porta 80 – protocollo di trasporto ipertestuale: questa porta viene utilizzata per il traffico Internet HTTP (non protetto, a differenza del sempre più utilizzato e più sicuro "fratello maggiore", l'HTTPS) e quindi potrebbe essere oggetto di attacchi di cross-site scripting, buffer overflow e SQL injection
• porta 1080 – proxy SOCKS: si tratta di un protocollo utilizzato dai proxy SOCKS per inoltrare pacchetti di informazione nella rete su connessioni TCP (Transmission Control Protocol) agli indirizzi IP ed è stata in passato utilizzata per diffondere malware come Mydoom e attacchi di worm e denial of service
• porta 4444 – protocollo di controllo del trasporto: è una porta utilizzata per intercettare traffico e comunicazioni, che espone a diverse minacce e cyber attacchi, ad esempio da malware come il worm Blaster
• porta 6660 – 6669 - Internet Relay Chat (IRC): dagli anni Ottanta a oggi sono tantissime le vulnerabilità scoperte e sfruttate su queste porte
• porta 53 – Domain Name Service (DNS): il traffico da DNS viene raramente monitorato e per questo la porta viene utilizzata per l'esfiltrazione di dati, che poi i malware utilizzeranno per attaccare il malcapitato

Infine si ricorda che gli sviluppatori di malware scelgono spesso sequenze di numeri che siano facili da ricordare o comunque numeri ripetuti da utilizzare come porte. Per questo motivo, porte come 234, 6789, 1111, 666 o 8888 sono spesso quelle scelte dai cyber criminali e dovrebbero richiedere maggiori controlli di sicurezza. Ad esempio, la porta 31337 è stata utilizzata negli anni da almeno 30 differenti varianti di malware.

Come proteggere le porte e navigare in sicurezza

La protezione del proprio dispositivo e la sicurezza della navigazione in rete passano anche da un utilizzo consapevole delle porte. Se si utilizza un servizio con password predefinite, sarà meglio cambiarle con altre che siano robuste, univoche e complesse. Meglio ancora utilizzare per i propri account l'autenticazione a due fattori, che non darà accesso ai malintenzionati.

Altro passaggio importante è controllare sempre che servizi, protocolli, firmware e applicazioni siano aggiornati, così da essere sicuri che le eventuali vulnerabilità individuate siano state di volta in volta risolte. Gli utenti possono poi monitorare le porte in uso sulla rete e agire se notano qualcosa di strano, come ad esempio l'utilizzo di una porta dalla numerazione ripetuta o sequenziale, oppure l'utilizzo della porta 23 del Telnet, che, essendo un servizio oramai praticamente in disuso, è meglio tenere sempre chiusa.

Per quanto riguarda le porte SSH, meglio controllare che siano protette con l'autenticazione con chiave pubblica e magari rafforzarla con quella a due fattori, così come nel caso delle porte IRC bisogna assicurarsi che insieme sia utilizzato un firewall e di accedervi solo tramite VPN (Virtual Private Network), sicura, escludendo il traffico esterno. Importante anche la protezione della porta 53, che richiede il monitoraggio e il "filtraggio" del traffico DNS. Un altro consiglio è la disattivazione dei proxy utilizzati in passato e che non servono più, così che nulla possa rimanere aperto ed esposto a eventuali minacce.