Das Port-Scanning ist ein Verfahren, mit dem festgelegt wird, welche Ports in einem Netzwerk geöffnet sind und Daten empfangen bzw. senden könnten. Es ist auch ein Prozess, bei dem Pakete an bestimmte Ports auf einem Host gesendet und Antworten analysiert werden, um Schwachstellen zu ermitteln.
Bevor dieses Scanning durchgeführt werden kann, muss erst eine Liste aktiver Hosts ermittelt werden und diese Hosts müssen ihren IP-Adressen zugeordnet werden. Dieser Vorgang, genannt Hosterkennung, beginnt mit einem Netzwerk-Scan.
Das Ziel von Port- und Netzwerk-Scans ist es, zu identifizieren, wie IP-Adressen, Hosts und Ports organisiert sind, um offene oder verwundbare Server zu erkennen und Sicherheitsstufen zu diagnostizieren. Port- und Netzwerk-Scans zeigen auf, ob Sicherheitsvorkehrungen, wie beispielsweise Firewalls zwischen den Servern und den Benutzergeräten, vorhanden sind.
Nachdem ein gründlicher Netzwerk-Scan durchgeführt und eine Liste von aktiven Hosts erstellt wurde, kann das Port-Scanning starten. Hierbei werden offene Ports im Netzwerk identifiziert, die unerlaubte Zugriffe gestatten könnten.
Wichtig zu wissen ist, dass Netzwerk- und Port-Scans nicht nur von IT-Spezialisten, sondern auch von Hackern benutzt werden, um die Sicherheitsrichtlinien eines Netzwerks zu überprüfen und Sicherheitslücken zu erkennen – und im Falle der Angreifer, um potentielle Schwachstellen auszunutzen. Tatsächlich nutzen Angreifer oft als erstes die im Rahmen des Netzwerk-Scans ablaufende, Hosterkennung, bevor sie das System attackieren.
Da beide Scanvorgänge weiterhin von Angreifern als Haupttools benutzt werden, können die Ergebnisse von Netzwerk- und Port-Scans den Administratoren, die Netzwerke vor Attacken schützen, wichtige Informationen über die Netzwerksicherheitsebenen liefern.
Was sind Ports und Portnummern?
Ports bilden am Computer die zentrale Andockstelle für den Informationsfluss von einem Programm oder dem Internet zu einem Gerät oder einem anderen Computer im Netzwerk und umgekehrt. Ein Port ist sozusagen der Parkplatz für den Datenaustausch über elektronische, software- oder programmbezogene Mechanismen.
Portnummern werden für Konsistenzzwecke und in der Programmierung verwendet. Die Portnummer in Kombination mit einer IP-Adresse stellen die wichtigen Informationen dar, die von jedem Internetdienstanbieter zur Erfüllung von Anfragen gespeichert werden. Ports reichen von 0 bis 65.536 und sind im Wesentlichen nach ihrer Popularität geordnet.
Die Ports 0 bis 1023 sind bekannte Portnummern, die für die Internetnutzung konzipiert sind, obwohl sie auch spezielleren Zwecken dienen können. Sie werden von der Internet Assigned Numbers Authority (IANA) verwaltet. Diese Ports werden von führenden Unternehmen wie Apple QuickTime, MSN, SQL-Diensten und anderen namhaften Unternehmen geführt. Sie erkennen vielleicht einige der bekanntesten Ports und die ihnen zugeordneten Dienste:
- Port 20 (UDP) enthält das File Transfer Protocol (FTP) für den Datentransfer.
- Port 22 (TCP) enthält das Secure Shell (SSH)-Protokoll für sichere Anmeldungen, FTP und Portweiterleitung.
- Port 53 (UDP) ist das Domain Name System (DNS), welches Namen in IP-Adressen übersetzt
- Port 80 (TCP) ist das World Wide Web HTTP
Die Nummern 1024 bis 49151 gelten als „registrierte Ports“, d.h. sie werden von Softwareunternehmen registriert. Die Ports 49.151 bis 65.536 sind dynamische und private Ports - und können von fast jedem genutzt werden.
Welche Protokolle werden beim Port-Scanning benutzt?
Im Allgemeinen werden für das Port-Scanning die Protokolle TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) verwendet. Bei beiden handelt es sich Datenübertragungsmethoden für das Internet, doch sie nutzen unterschiedlichen Mechanismen.
Während TCP eine zuverlässige, auf einer Zweiwege-Verbindung basierende Datenübertragung ist, die zur erfolgreichen Durchführung eines Sendevorgangs den Status des Empfängers abfragt, ist UDP verbindungslos und unzuverlässig. Daten, die über das UDP-Protokoll gesendet werden, werden ohne Rücksicht auf das Ziel verschickt, daher ist aber nicht garantiert, dass die Übertragung tatsächlich erfolgreich verläuft.
Bei der Verwendung von diesen beiden Protokollen gibt es unterschiedliche Techniken zur Ausführung von Port-Scans.
Welche unterschiedlichen Port-Scanning-Techniken gibt es?
Je nach Zweck gibt es verschiedene Port-Scanning-Techniken. Auch Cyberkriminelle wählen, basierend auf ihren jeweiligen Zielen oder Angriffsstrategien, bestimmte Port-Scanning-Techniken.
Nachfolgend werden einige Verfahren und ihre Funktionsweise aufgeführt:
- Ping-Scans: Die einfachsten Port-Scans nennt man Ping-Scans. Mit Hilfe eines Pings wird innerhalb eines Netzwerks überprüft, ob ein Datenpaket fehlerfrei an eine IP-Adresse gesendet werden kann oder nicht. Ping-Scans sind Internet Control Message Protocol Requests (ICMP), die massenhaft automatische ICMP-Requests an unterschiedliche Server absetzen, um Antworten zu ködern. Mithilfe dieses Verfahrens können Administratoren Probleme beheben oder den Ping-Scan über eine Firewall deaktivieren — was es Angreifern unmöglich macht, das Netzwerk über Pings zu finden.
- Halb offene oder SYN-Scans: Ein Halb-offener- bzw. SYN-Scan (kurz für „synchronisieren“) ist eine Taktik, die Angreifer benutzen, um den Status eines Ports herauszufinden, ohne eine vollständige Verbindung herzustellen. Bei diesem Scan wird einfach eine SYN-Nachricht gesendet und die Verbindung nicht vollständig aufgebaut – das Ziel wird also hängen gelassen. Es ist eine schnelle und raffinierte Methode, die darauf abzielt, potenzielle offene Ports auf Zielgeräten zu finden.
- XMAS-Scans: XMAS-Scans sind noch unauffälliger und bleiben von Firewalls häufig unbemerkt. Zum Beispiel werden FIN-Pakete in der Regel von einem Server oder Client gesendet, um eine Verbindung zu beenden, nachdem sie einen TCP 3-Wege-Handshake aufgebaut und Daten erfolgreich übertragen haben. Dies wird durch die Nachricht „keine Daten vom Absender mehr verfügbar“ angezeigt. Da Firewalls hauptsächlich auf SYN-Pakete achten, bleiben FIN-Pakete oft unbemerkt. Aus diesem Grund scannt XMAS gesendete Pakete mit allen Flags, einschließlich FIN, und erwartet keine Antwort. Keine Antwort bedeutet dabei, dass der Port offen ist. Wenn der Port geschlossen wäre, würden Sie eine RST-Rückmeldung erhalten. XMAS-Scans tauchen selten in Protokolldateien auf und sind daher eine raffiniertere Methode, um mehr über den Schutz und die Firewall eines Netzwerks herauszufinden.
Welche Arten von Ergebnissen können Sie von einem Port-Scan erwarten?
Die Ergebnisse eines Port-Scans legen den Status eines Netzwerks oder Servers offen und werden in drei Kategorien unterschieden: offen, geschlossen oder gefiltert.
- Offene Ports: Offene Ports zeigen an, dass der Zielserver oder das Zielnetzwerk aktiv Verbindungen oder Datagramme akzeptiert und mit einem Paket geantwortet hat, das Empfangsbereitschaft signalisiert. Sie zeigen auch an, dass der für den Scan verwendete Dienst (normalerweise TCP oder UDP) ebenfalls verwendet wird.
Das Ermitteln offener Ports zählt normalerweise zu den übergeordneten Zielen des Port-Scans und zu den Glücksmomenten eines Cyberkriminellen, der nach einem Angriffsweg sucht. Die nicht ganz leichte Aufgabe von Administratoren ist es, offene Ports zu sperren, indem sie zu deren Schutz Firewalls installieren, ohne den Zugang für legitime Benutzer einzuschränken.
- Geschlossene Ports: Geschlossene Ports zeigen an, dass der Server oder das Netzwerk die Anfrage erhalten hat, aber dass es auf diesem Port keinen Empfangsdienst gibt. Ein geschlossener Port ist weiterhin zugänglich und kann nützlich sein, um anzuzeigen, dass sich ein Host auf einer IP-Adresse befindet. Administratoren sollten geschlossene Ports trotzdem überwachen, da sich ihr Status zu „offen“ ändern kann und sie dann ein Sicherheitsrisiko darstellen können. Administratoren haben die Möglichkeit, geschlossene Ports durch eine Firewall zu blockieren. Damit werden diese Ports zu „gefilterten“ Ports.
- Gefilterte Ports: Gefilterte Ports zeigen an, dass ein Anfragepaket gesendet wurde, aber der Host nicht geantwortet hat und nichts empfängt. Dies bedeutet in der Regel, dass ein Anfragepaket von einer Firewall herausgefiltert und/oder blockiert wurde. Wenn Pakete ihren Zielort nicht erreichen, erhalten Angreifer keine weiteren Informationen. Gefilterte Ports reagieren oft mit Fehlermeldungen wie „Ziel unerreichbar“ oder „Kommunikation unzulässig“.
Wie können Cyberkriminelle das Port-Scanning für einen Angriff nutzen?
Laut dem SANS-Institut ist das Port-Scanning eine der beliebtesten Stategien von Angreifern, um nach anfälligen und angreifbaren Servern zu suchen.
Wenn diese Cyberkriminellen Netzwerke ins Visier nehmen, nutzen sie im ersten Schritt häufig Port-Scans. Sie verwenden den Port-Scan, um die Sicherheitsebenen verschiedener Unternehmen zu ermitteln und festzustellen, wer eine wirksame Firewall betreibt und wessen Server oder Netzwerk eher anfällig ist. Eine Reihe von TCP-Protokolltechniken ermöglichen es Angreifern tatsächlich, ihren Netzwerkstandort zu verbergen und mit Hilfe von „Decoy-Traffic“ Port-Scans durchzuführen, ohne dem Ziel eine Netzwerkadresse preiszugeben.
Angreifer untersuchen Netzwerke und Systeme, um zu sehen, wie jeder Port reagiert — ob er offen, geschlossen oder gefiltert ist.
Zum Beispiel signalisieren offene und geschlossene Antworten Hackern, dass sich Ihr Netzwerk tatsächlich auf der Empfängerseite des Scans befindet. Diese Cyberkriminellen können dann herausfinden, welches Betriebssystem und welche Sicherheitsebene Sie verwenden.
Port-Scanning ist ein älteres Verfahren, das Sicherheitsanpassungen und aktuelle Informationen über Bedrohungen erfordert, da sich die jeweiligen Protokolle und Sicherheitstools täglich weiterentwickeln. Deswegen ist es wichtig, Port-Scan-Warnungen und Firewalls zu benutzen, um den Datenverkehr zu Ihren Ports zu überwachen und um sicherzustellen, dass böswillige Angreifer keine potentiellen Wege sehen, sich unerlaubten Zugang zu Ihrem Netzwerk zu verschaffen.
© 2024 Gen Digital Inc.