Ports und Port-Scans: Erste Verteidigungslinie gegen Netzwerkangriffe
Lesedauer ‘Ports und Port-Scans: Erste Verteidigungslinie gegen Netzwerkangriffe’ 6 Minuten
Ports sind ein Schlüsselelement jeglicher Netzwerkkommunikation. Sie ermöglichen die Verbindung verschiedener Anwendungen und Geräte und sind unentbehrlich für die Datenübertragung im Internet. Allerdings sind sie gleichzeitig attraktiver Angriffspunkt für Internetkriminelle. Vor diesem Hintergrund heißt es, das Sicherheitsniveau sowie den Schutzbedarf von Ports regelmäßig zu überprüfen und möglicherweise bedenkliche offene Ports zu schließen. Eine effektive Möglichkeit dafür ist das regelmäßige Durchführen von Port-Scans. Was das ist und wie dieses Vorgehen dazu beiträgt, Ihre Netzwerksicherheit zu steigern, lesen Sie im nachfolgenden Blogartikel.
Das unternehmerische Herz
Zuverlässige und sichere IT-Netzwerke sind das Herzstück moderner Unternehmen. Sie gewähren störungsfreie Kommunikation und somit Teamarbeit und den internen wie externen Austausch von Daten und Informationen. Letzten Endes tragen sie auf diese Weise zur Instandhaltung der Geschäftsabläufe sowie zum Erreichen der Geschäftsziele bei. Gerade in der heutigen Zeit, in der immer mehr Unternehmen auf Cloud Computing, Big Data und digitale, hybride Geschäftsmodelle bauen, ist die reibungslose Funktion wie auch die Integrität von IT-Netzwerken Dreh- und Angelpunkt für geschäftlichen Erfolg. Im Rahmen einer Studie sind 97 % aller IT-Verantwortlichen der Ansicht, dass das Unternehmensnetzwerk relevanter Faktor für das Unternehmenswachstum ist.
Deshalb ist es entscheidend, dass Firmen ihre IT-Netzwerke mit einer vielschichtigen Netzwerksicherheitsstrategie vor Internetangriffen schützen – unter anderem jenen gegen Standard- und Nicht-Standard-Ports. Praxistaugliche Sicherheitskonzepte beinhalten dabei – neben der Nutzung von Firewalls, Intrusion Detection- und Intrusion Prevention-Systemen – die kontinuierliche Überwachung des Netzwerkverkehrs sowie die Durchführung regelmäßiger Port-Scans.
Eine Einführung in die Welt der Portnummern und Ports
Aber was – im Kontext von IT-Netzwerken betrachtet – sind eigentlich Ports? Einfach gesagt ist ein Netzwerk-Port integraler Bestandteil einer Netzwerkadresse und stellt somit die zentrale Verbindung für die Interaktion zwischen netzwerkfähigen Endpunkten, Systemdiensten oder Programmen über das Web oder andere IT-Netzwerke bereit. Sie werden von den Netzwerkprotokollen TCP und UDP benötigt und ermöglichen es dem Betriebssystem, Verbindungen und Datenpakete an die richtige Anwendung oder den richtigen Dienst auf ein Zielsysteme weiterzuleiten. Durch die Verwendung von Ports ist es möglich, mehrere parallele Verbindungen zwischen Kommunikationspartnern aufrechtzuerhalten, ohne dass die Anwendungsbereiche sich untereinander beeinflussen. Hierzu wird jedem Port eine eindeutige Portnummer von 0 bis 65535 zugewiesen, wobei es drei Bereiche zu unterscheiden gilt:
1. Standard-Ports/Well Known Ports: Die Ports 0 bis 1023 zählen zu den standardisierten Ports, welchen die Internet Assigned Numbers Authority, kurz IANA, größtenteils feste Protokolle sowie Dienste zugeteilt hat.
2. Registered Ports: Der Bereich der Registered Ports umfasst die Portnummern 1024 bis 49151 und befasst sich mit der Registrierung verschiedener Anwendungen.
3. Dynamically Allocated Ports/Private Ports: Der Teilbereich der Dynamically Allocated Ports oder Private Ports umfasst die Portnummern von 49152 bis 65535 und wird durch Betriebssysteme flexibel an Client-Programme zugeteilt.
Welche Port-Zustände gibt es?
Je nach konkreter Gegebenheit einer IP-Verbindung und der jeweiligen Anwendung können Netzwerk-Ports unterschiedliche Zustände annehmen. Der Port-Zustand bestimmt, ob und in welchem Maße die Verbindung mit der verknüpften Anwendung gewährleistet ist. Die drei wichtigsten Zustände, die ein Netzwerk-Port annehmen kann, sind ‘Offen‘, ‘Geschlossen‘ und ‘Gefiltert‘.
Ein Netzwerk-Port im Status ‘Offen’ ist prinzipiell dazu bereit, Verbindungen entgegenzunehmen. Ist der Port ‘Geschlossen’, ist gar keine Anwendung über diesen erreichbar – er verweigert Verbindungsversuche aktiv. Der Zustand ‘Gefiltert’ weist darauf hin, dass eine Firewall den Netzwerk-Port schützt.
Was versteht man unter Port-Scans?
Da offene Ports ein potenzielles Sicherheitsrisiko für das IT-Netzwerk darstellt, ist es relevant, diese Ports genau im Blick zu haben. Eine Option ist die Durchführung von Port-Scans unter Einsatz sog. Port-Scanner.
Port-Scanner sind Werkzeuge, welche offene Ports in IT-Netzwerken ausfindig machen. Hierzu schicken die Scanner Anfragen an unterschiedliche Ports auf einem Zielhost und werten die Antworten aus. Je nach Art des Scanners sendet dieser unterschiedliche Arten von Anfragen und nutzt unterschiedliche Verfahren zur Interpretation der Antworten. Als Ergebnis steht fest, welche Ports offen sind und welche Services auf diesen Ports ausgeführt werden.
Welche Arten von Port-Scans gibt es?
Zur Identifizierung potenzieller Gefahrenherde gibt es mehrere Arten von Port-Scans. Die Wahl der geeigneten Methode hängt hierbei von den Erwartungen und Zielen des jeweiligen Unternehmens ab. Im Folgenden werden einige Verfahren und ihre Funktionsweise aufgeführt:
TCP-Scan: Der TCP-Scan ermöglicht die Überprüfung der Nutzbarkeit von TCP-Ports auf dem Zielhost. Durchgeführt wird dieser über den sog. TCP-Handshake-Prozess. Ein zustande gekommener Handshake zeigt an, dass ein Port offen ist, während eine fehlerhafte Rückmeldung gleichbedeutend mit einem geschlossenen Port ist. Es gibt unterschiedliche Arten von TCP-Scans, etwa TCP-Connect- und TCP-SYN-Scan.
UDP-Scan: Ein UDP-Scan sendet Anfragen an alle verfügbaren UDP-Ports auf einem Zielhost und untersucht die Antworten, um zu ermitteln, welche Ports offen und welche geschlossen sind. Dieser Scan kann genutzt werden, um potenziell verwundbare Dienste auf einem Zielhost zu erkennen, die über das User Datagram Protocol übertragen werden.
SYN-Scan: Ohne eine vollständige Verbindung aufzubauen, sendet ein SYN-Scan (alternativ: Half-Open-Scan) eine SYN-Anforderung an den Ziel-Port, um herauszufinden, ob dieser offen ist. Indem es das Transmission Control Protocol nutzt, wird diese Scan-Methode dazu verwendet, um potenziell verwundbare Dienste auf dem Zielhost zu identifizieren.
Ping-Scan: Ein Ping-Scan schickt ICMP-Echo-Anfragen an den Zielhost. Dieser Scan wird dazu verwendet um herauszufinden, ob ein spezieller Host oder eine bestimmte IP-Adresse reagiert (und somit erreichbar ist). Er wird häufig von Administratoren genutzt, um Komplikationen im Netzwerk frühzeitig zu ermitteln.
Stealth-Scan: Stealth-Scans versuchen, die Erkennung durch Sicherheits-Werkzeuge zu umgehen, indem sie die Verbindungsaufbau-Methoden kontinuierlich verändern. Diese Scan-Variante sendet keine regulären SYN-Pakete an den Ziel-Port, sondern verwendet stattdessen spezielle Flags oder außergewöhnliche Pakete, um eine Antwort vom Ziel-Port zu erhalten. Der Zweck dieses Scans ist es, potenziell gefährliche offene Ports zu ermitteln, ohne von Firewalls oder Intrusion Detection-Systemen erkannt zu werden.
Verbesserte Netzwerksicherheit und hoher Datenschutz
Port-Scans sind ein wichtiges Instrument für hohe Netzwerksicherheit. Sie ermöglichen Unternehmen, potenziell gefährliche offene Ports in ihrem Netzwerk zu entdecken und zu schließen, ehe sie von Angreifern ausgenutzt werden. Zudem helfen kontinuierliche Port-Scans Firmen bei der Leistungsoptimierung von IT-Netzwerken, indem sie überflüssige Verbindungen und Dienste entfernen (und so Netzwerkressourcen freisetzen). Zu guter Letzt tragen kontinuierliche Port-Scans dazu bei, die Einhaltung von Datenschutzvorschriften und Compliance-Anforderungen sicherzustellen.
Regelmäßige Port-Scans sind der Schlüssel zu hoher Netzwerksicherheit
Offene Netzwerk-Ports sind eine willkommene Einladung für Bedrohungsakteure. Es ist daher wichtig, dass Unternehmen ihre IT-Netzwerke mit einer mehrschichtigen Netzwerksicherheitsstrategie vor portbasierten Internetangriffen schützen. Diese sollte zusätzlich zur Nutzung von Firewalls, Intrusion Detection- und Intrusion Prevention-Systemen die Beaufsichtigung des Netzwerkverkehrs und die Ausführung kontinuierlicher Port-Scans beinhalten.
Wollen auch Sie Ihre IT-Netzwerke mit Port-Scans sicherer machen? Haben Sie Fragen zu diesem oder anderen IT-Sicherheitsthemen? Wir helfen Ihnen gerne weiter! Sie erreichen uns unter der kostenfreien Nummer 0800 4883 338!
Weiterführende Infos: IT-Infrastrukturanalysen mit ITQ | IT-Sicherheitsanalysen aus Angreifersicht
Foto © Artem Podrez @ Pexels
