Een poortscan lijkt een beetje op het schudden van een stel deurknoppen om te zien welke deuren op slot zijn. De scanner leert welke poorten op een router of firewall open zijn en kan deze informatie gebruiken om de mogelijke zwakke punten van een computersysteem te vinden.
Wat is een poort?
Wanneer een apparaat via een netwerk verbinding maakt met een ander apparaat, wordt een TCP of UDP poortnummer van 0 tot 65535. Sommige poorten worden echter vaker gebruikt. TCP-poorten 0 tot en met 1023 zijn "bekende poorten" die systeemservices bieden. Poort 20 is bijvoorbeeld FTP-bestandsoverdrachten, poort 22 is Beveiligde shell (SSH) terminalverbindingen, poort 80 is standaard HTTP-webverkeer en poort 443 is gecodeerd HTTPS . Dus wanneer u verbinding maakt met een beveiligde website, praat uw webbrowser met de webserver die luistert op poort 443 van die server.
Services hoeven niet altijd op deze specifieke poorten te worden uitgevoerd. U kunt bijvoorbeeld een HTTPS-webserver op poort 32342 of een Secure Shell-server op poort 65001 draaien, als u dat wilt. Dit zijn slechts de standaardinstellingen.
Wat is een poortscan?
Een poortscan is een proces waarbij alle poorten op een IP-adres worden gecontroleerd om te zien of ze open of gesloten zijn. De poortscansoftware controleert poort 0, poort 1, poort 2 en helemaal tot en met poort 65535. Het doet dit door simpelweg een verzoek naar elke poort te sturen en om een antwoord te vragen. In zijn eenvoudigste vorm vraagt de poortscansoftware één voor één naar elke poort. Het externe systeem zal reageren en zeggen of een poort open of gesloten is. De persoon die de poortscan uitvoert, weet dan welke poorten open zijn.
Elk netwerk firewalls in de weg kan het verkeer blokkeren of anderszins laten vallen, dus een poortscan is ook een methode om te achterhalen welke poorten bereikbaar zijn of worden blootgesteld aan het netwerk op dat externe systeem.
De nmap-tool komt veel voor netwerkhulpprogramma gebruikt voor het scannen van poorten, maar er zijn veel andere hulpprogramma's voor het scannen van poorten.
Waarom voeren mensen poortscans uit?
Poortscans zijn handig om de kwetsbaarheden van een systeem te bepalen. Een poortscan zou een aanvaller vertellen welke poorten open zijn op het systeem, en dat zou hem helpen een aanvalsplan te formuleren. Als bijvoorbeeld een Secure Shell-server (SSH) wordt gedetecteerd die luistert op poort 22, kan de aanvaller proberen verbinding te maken en te controleren op zwakke wachtwoorden. Als een ander type server op een andere poort luistert, kan de aanvaller ernaar porren en kijken of er een bug is die kan worden misbruikt. Misschien draait er een oude versie van de software en is er een bekend beveiligingslek.
Dit soort scans kan ook helpen bij het detecteren van services die op niet-standaardpoorten worden uitgevoerd. Dus als u een SSH-server op poort 65001 draait in plaats van poort 22, zou de poortscan dit onthullen en zou de aanvaller kunnen proberen verbinding te maken met uw SSH-server op die poort. Je kunt een server niet zomaar op een niet-standaardpoort verbergen om je systeem te beveiligen, hoewel het de server wel moeilijker te vinden maakt.
Poortscans worden niet alleen gebruikt door aanvallers. Poortscans zijn handig voor defensieve penetratietesten. Een organisatie kan zijn eigen systemen scannen om te bepalen welke services worden blootgesteld aan het netwerk en ervoor te zorgen dat ze veilig zijn geconfigureerd.
Hoe gevaarlijk zijn poortscans?
Een poortscan kan een aanvaller helpen een zwak punt te vinden om aan te vallen en in te breken in een computersysteem. Het is echter slechts de eerste stap. Alleen omdat je een open poort hebt gevonden, wil dat nog niet zeggen dat je deze kunt aanvallen. Maar als u eenmaal een open poort heeft gevonden met een luisterservice, kunt u deze scannen op kwetsbaarheden. Dat is het echte gevaar.
Op je thuisnetwerk heb je vrijwel zeker een router tussen jou en internet. Iemand op internet zou alleen uw router kunnen scannen via poorten, en ze zouden niets anders vinden dan mogelijke services op de router zelf. Die router fungeert als een firewall, tenzij u dat doet doorgestuurd individuele poorten van uw router naar een apparaat, in welk geval die specifieke poorten worden blootgesteld aan internet.
Voor computerservers en bedrijfsnetwerken kunnen firewalls worden geconfigureerd om poortscans te detecteren en verkeer van het adres dat wordt gescand, te blokkeren. Als alle services die op internet worden weergegeven, veilig zijn geconfigureerd en geen bekende beveiligingslekken hebben, zouden poortscans niet eens te eng moeten zijn.
Soorten poortscans
Bij een poortscan "TCP volledige verbinding" stuurt de scanner een SYN-bericht (verbindingsverzoek) naar een poort. Als de poort open is, antwoordt het systeem op afstand met een SYN-ACK-bericht (bevestigingsbericht). De scanner antwoordt dan met een eigen ACK (bevestigings) bericht. Dit is een volledige Handshake voor TCP-verbinding , en de scanner weet dat het systeem verbindingen op een poort accepteert als dit proces plaatsvindt.
Als de poort gesloten is, zal het systeem op afstand reageren met een RST (reset) bericht. Als het externe systeem gewoon niet aanwezig is op het netwerk, zal er geen reactie zijn.
Sommige scanners voeren een "halfopen TCP-scan" uit. In plaats van een volledige SYN-, SYN-ACK- en vervolgens ACK-cyclus te doorlopen, sturen ze gewoon een SYN en wachten ze op een SYN-ACK- of RST-bericht als antwoord. Het is niet nodig om een laatste ACK te verzenden om de verbinding te voltooien, aangezien de SYN-ACK de scanner alles vertelt wat hij moet weten. Het is sneller omdat er minder pakketten hoeven te worden verzonden.
Andere soorten scans zijn het verzenden van vreemde, misvormde soorten pakketten en wachten om te zien of het externe systeem een RST-pakket retourneert dat de verbinding verbreekt. Als dat het geval is, weet de scanner dat er op die locatie een systeem op afstand is en dat die ene specifieke poort erop is gesloten. Als er geen pakket wordt ontvangen, weet de scanner dat de poort open moet zijn.
Een eenvoudige poortscan waarbij de software één voor één informatie over elke poort opvraagt, is gemakkelijk te herkennen. Netwerkfirewalls kunnen eenvoudig worden geconfigureerd om dit gedrag te detecteren en te stoppen.
Daarom werken sommige technieken voor het scannen van poorten anders. Een poortscan zou bijvoorbeeld een kleiner bereik van poorten kunnen scannen, of zou het volledige bereik van poorten over een veel langere periode kunnen scannen, zodat het moeilijker te detecteren zou zijn.
Poortscans zijn een basisbeveiligingshulpmiddel als het gaat om het binnendringen (en beveiligen) van computersystemen. Maar ze zijn slechts een hulpmiddel waarmee aanvallers poorten kunnen vinden die mogelijk kwetsbaar zijn voor aanvallen. Ze geven een aanvaller geen toegang tot een systeem, en een veilig geconfigureerd systeem kan zeker een volledige poortscan zonder schade doorstaan.
Afbeelding tegoed: xfilephotos /Shutterstock.com, Casezy idee /Shutterstock.com.
