Ein Port-Scan ist ein bisschen wie das Wackeln einer Reihe von Türklinken, um festzustellen, welche Türen verschlossen sind. Der Scanner erkennt, welche Ports an einem Router oder einer Firewall geöffnet sind, und kann anhand dieser Informationen die potenziellen Schwachstellen eines Computersystems ermitteln.
Was ist ein Hafen?
Wenn ein Gerät über ein Netzwerk eine Verbindung zu einem anderen Gerät herstellt, gibt es a an TCP oder UDP Portnummer von 0 bis 65535. Einige Ports werden jedoch häufiger verwendet. Die TCP-Ports 0 bis 1023 sind „bekannte Ports“, die Systemdienste bereitstellen. Zum Beispiel ist Port 20 FTP-Dateiübertragung, Port 22 ist Secure Shell (SSH) Terminalverbindungen, Port 80 ist Standard-HTTP-Webverkehr und Port 443 ist verschlüsselt HTTPS . Wenn Sie also eine Verbindung zu einer sicheren Website herstellen, spricht Ihr Webbrowser mit dem Webserver, der Port 443 dieses Servers überwacht.
Dienste müssen nicht immer an diesen bestimmten Ports ausgeführt werden. Sie können beispielsweise einen HTTPS-Webserver an Port 32342 oder einen Secure Shell-Server an Port 65001 ausführen, wenn Sie möchten. Dies sind nur die Standardeinstellungen.
Was ist ein Port-Scan?
Bei einem Port-Scan werden alle Ports an einer IP-Adresse überprüft, um festzustellen, ob sie geöffnet oder geschlossen sind. Die Port-Scan-Software überprüft Port 0, Port 1, Port 2 und bis hin zu Port 65535. Dazu sendet sie einfach eine Anfrage an jeden Port und fordert eine Antwort an. In ihrer einfachsten Form fragt die Port-Scan-Software nach jedem Port nacheinander. Das Remote-System antwortet und sagt, ob ein Port offen oder geschlossen ist. Die Person, die den Port-Scan ausführt, weiß dann, welche Ports geöffnet sind.
Beliebiges Netzwerk firewalls Auf diese Weise kann der Datenverkehr blockiert oder auf andere Weise unterbrochen werden. Daher ist ein Port-Scan auch eine Methode, um festzustellen, welche Ports auf diesem Remote-System erreichbar oder dem Netzwerk ausgesetzt sind.
Das nmap-Tool ist eine häufige Netzwerkdienstprogramm Wird für das Port-Scannen verwendet, es gibt jedoch viele andere Port-Scan-Tools.
Warum führen Leute Port-Scans durch?
Port-Scans sind nützlich, um die Schwachstellen eines Systems zu ermitteln. Ein Port-Scan würde einem Angreifer mitteilen, welche Ports auf dem System geöffnet sind, und dies würde ihm helfen, einen Angriffsplan zu formulieren. Wenn beispielsweise festgestellt wurde, dass ein SSH-Server (Secure Shell) Port 22 überwacht, kann der Angreifer versuchen, eine Verbindung herzustellen und nach schwachen Kennwörtern zu suchen. Wenn ein anderer Servertyp einen anderen Port überwacht, kann der Angreifer darauf zugreifen und prüfen, ob ein Fehler vorliegt, der ausgenutzt werden kann. Möglicherweise wird eine alte Version der Software ausgeführt, und es ist eine Sicherheitslücke bekannt.
Diese Arten von Scans können auch dazu beitragen, Dienste zu erkennen, die an nicht standardmäßigen Ports ausgeführt werden. Wenn Sie also einen SSH-Server auf Port 65001 anstelle von Port 22 ausführen, wird dies beim Port-Scan angezeigt, und der Angreifer kann versuchen, eine Verbindung zu Ihrem SSH-Server an diesem Port herzustellen. Sie können einen Server nicht einfach an einem nicht standardmäßigen Port verstecken, um Ihr System zu sichern, obwohl dies das Auffinden des Servers erschwert.
Port-Scans werden nicht nur von Angreifern verwendet. Port-Scans sind nützlich für defensive Penetrationstests. Ein Unternehmen kann seine eigenen Systeme scannen, um festzustellen, welche Dienste dem Netzwerk ausgesetzt sind, und um sicherzustellen, dass sie sicher konfiguriert sind.
Wie gefährlich sind Port-Scans?
Ein Port-Scan kann einem Angreifer helfen, eine Schwachstelle zu finden, an der er angreifen und in ein Computersystem eindringen kann. Dies ist jedoch nur der erste Schritt. Nur weil Sie einen offenen Port gefunden haben, heißt das nicht, dass Sie ihn angreifen können. Sobald Sie jedoch einen offenen Port gefunden haben, auf dem ein Überwachungsdienst ausgeführt wird, können Sie ihn auf Schwachstellen prüfen. Das ist die wahre Gefahr.
In Ihrem Heimnetzwerk befindet sich mit ziemlicher Sicherheit ein Router zwischen Ihnen und dem Internet. Jemand im Internet kann Ihren Router nur port-scannen und findet außer potenziellen Diensten auf dem Router selbst nichts. Dieser Router fungiert als Firewall - es sei denn, Sie haben einzelne Ports von Ihrem Router weitergeleitet In diesem Fall sind diese spezifischen Ports dem Internet ausgesetzt.
Für Computerserver und Unternehmensnetzwerke können Firewalls so konfiguriert werden, dass Port-Scans erkannt und der Datenverkehr von der gescannten Adresse blockiert wird. Wenn alle Dienste, die dem Internet ausgesetzt sind, sicher konfiguriert sind und keine bekannten Sicherheitslücken aufweisen, sollten Port-Scans nicht einmal zu beängstigend sein.
Arten von Port-Scans
Bei einem Port-Scan "TCP-Vollverbindung" sendet der Scanner eine SYN-Nachricht (Verbindungsanforderung) an einen Port. Wenn der Port geöffnet ist, antwortet das Remote-System mit einer SYN-ACK-Nachricht (Acknowledgement). Der Scanner antwortet dann mit einer eigenen ACK-Nachricht (Bestätigungsnachricht). Das ist voll Handshake der TCP-Verbindung und der Scanner weiß, dass das System Verbindungen an einem Port akzeptiert, wenn dieser Vorgang stattfindet.
Wenn der Port geschlossen ist, antwortet das Remote-System mit einer RST-Nachricht (Reset). Wenn das Remote-System im Netzwerk nicht vorhanden ist, erfolgt keine Antwort.
Einige Scanner führen einen "TCP Half-Open" -Scan durch. Anstatt einen vollständigen SYN-, SYN-ACK- und dann ACK-Zyklus zu durchlaufen, senden sie einfach einen SYN und warten auf eine SYN-ACK- oder RST-Nachricht als Antwort. Es ist nicht erforderlich, eine endgültige Bestätigung zu senden, um die Verbindung herzustellen, da die SYN-Bestätigung dem Scanner alles mitteilen würde, was er wissen muss. Es ist schneller, weil weniger Pakete gesendet werden müssen.
Bei anderen Arten von Scans werden fremde, fehlerhafte Pakettypen gesendet und darauf gewartet, ob das Remote-System ein RST-Paket zurückgibt, das die Verbindung schließt. In diesem Fall weiß der Scanner, dass sich an diesem Standort ein Remote-System befindet und dass ein bestimmter Port daran geschlossen ist. Wenn kein Paket empfangen wird, weiß der Scanner, dass der Port offen sein muss.
Ein einfacher Port-Scan, bei dem die Software nacheinander Informationen zu jedem Port anfordert, ist leicht zu erkennen. Netzwerk-Firewalls können einfach konfiguriert werden, um dieses Verhalten zu erkennen und zu stoppen.
Aus diesem Grund funktionieren einige Port-Scan-Techniken anders. Beispielsweise könnte ein Port-Scan einen kleineren Bereich von Ports scannen oder den gesamten Bereich von Ports über einen viel längeren Zeitraum scannen, so dass es schwieriger wäre, ihn zu erkennen.
Port-Scans sind ein grundlegendes Sicherheitstool, wenn es darum geht, Computersysteme zu durchdringen (und zu sichern). Sie sind jedoch nur ein Tool, mit dem Angreifer Ports finden können, die für Angriffe anfällig sind. Sie gewähren einem Angreifer keinen Zugriff auf ein System, und ein sicher konfiguriertes System kann einem vollständigen Port-Scan ohne Schaden standhalten.
Bildnachweis: xfilephotos /Shutterstock.com, Casezy Idee /Shutterstock.com.
