Was ist Port-Scannen? Es ist ähnlich wie bei einem Dieb, der durch Ihre Nachbarschaft geht und jede Tür und jedes Fenster in jedem Haus überprüft, um festzustellen, welche offen und welche verschlossen sind.
TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) sind zwei der Protokolle der TCP / IP-Protokollsuite, die universell für die Kommunikation im Internet verwendet wird. Für jeden dieser Ports stehen die Ports 0 bis 65535 zur Verfügung, sodass im Wesentlichen mehr als 65,000 Türen verriegelt werden müssen.
So funktioniert das Port-Scannen
Die Port-Scan-Software sendet im einfachsten Zustand nacheinander eine Anforderung zum Herstellen einer Verbindung mit dem Zielcomputer an jedem Port und notiert, welche Ports auf eine eingehendere Prüfung reagiert haben oder offen zu sein schienen.
Wenn der Port-Scan böswillig ist, würde der Eindringling es im Allgemeinen vorziehen, unentdeckt zu bleiben. Sie können Netzwerksicherheitsanwendungen so konfigurieren, dass Administratoren benachrichtigt werden, wenn sie Verbindungsanforderungen über einen breiten Bereich von Ports von einem einzelnen Host aus erkennen.
Um dies zu umgehen, kann der Eindringling den Port-Scan im Strobe- oder Stealth-Modus durchführen. Durch Stroboskopieren werden die Ports auf einen kleineren Zielsatz beschränkt, anstatt alle 65536-Ports pauschal zu scannen. Beim Stealth-Scannen werden Techniken wie das Verlangsamen des Scans verwendet. Indem Sie die Ports über einen längeren Zeitraum scannen, verringern Sie die Wahrscheinlichkeit, dass das Ziel eine Warnung auslöst.
Durch Setzen verschiedener TCP-Flags oder Senden verschiedener Arten von TCP-Paketen kann der Port-Scan unterschiedliche Ergebnisse generieren oder offene Ports auf unterschiedliche Weise lokalisieren. Ein SYN-Scan teilt dem Port-Scanner mit, welche Ports empfangsbereit sind und welche nicht von der Art der generierten Antwort abhängen. Ein FIN-Scan erzeugt eine Antwort von geschlossenen Ports, offene Ports und Abhören jedoch nicht, sodass der Port-Scanner feststellen kann, welche Ports offen sind und welche nicht.
Es gibt verschiedene Methoden, um die eigentlichen Port-Scans durchzuführen, sowie Tricks, um die Quelle eines Port-Scans auszublenden.
So überwachen Sie Port-Scans
Es ist möglich, Ihr Netzwerk auf Port-Scans zu überwachen. Der Trick besteht, wie bei den meisten Dingen der Informationssicherheit, darin, das richtige Gleichgewicht zwischen Netzwerkleistung und Netzwerksicherheit zu finden.
Sie können nach SYN-Scans suchen, indem Sie jeden Versuch protokollieren, ein SYN-Paket an einen Port zu senden, der nicht geöffnet ist oder nicht überwacht wird. Anstatt jedoch bei jedem einzelnen Versuch benachrichtigt zu werden, sollten Sie Schwellenwerte festlegen, um die Warnung auszulösen. Sie können beispielsweise sagen, dass eine Warnung ausgelöst werden soll, wenn in einer bestimmten Minute mehr als 10 SYN-Paketversuche zu nicht empfangenden Ports ausgeführt werden.
Sie können Filter und Traps entwerfen, um eine Vielzahl von Port-Scan-Methoden zu erkennen und nach einem Anstieg der FIN-Pakete oder nur einer ungewöhnlichen Anzahl von Verbindungsversuchen zu einem Bereich von Ports oder IP-Adressen von einer einzelnen IP-Quelle zu suchen.
Um sicherzustellen, dass Ihr Netzwerk geschützt und sicher ist, möchten Sie möglicherweise Ihre eigenen Port-Scans durchführen. Eine wichtige Einschränkung besteht darin, sicherzustellen, dass Sie die Zustimmung aller Befugnisse haben, die vor Beginn dieses Projekts vorhanden sind, damit Sie sich nicht auf der falschen Seite des Gesetzes befinden.
Um die genauesten Ergebnisse zu erhalten, führen Sie den Port-Scan von einem entfernten Standort aus mit Geräten anderer Hersteller und einem anderen ISP durch. Mit Software wie Nmap können Sie eine Reihe von IP-Adressen und Ports scannen und herausfinden, was ein Angreifer sehen würde, wenn er Ihr Netzwerk portieren würde. Insbesondere mit NMap können Sie nahezu jeden Aspekt des Scans steuern und verschiedene Arten von Port-Scans durchführen, um Ihren Anforderungen gerecht zu werden.
Sobald Sie herausgefunden haben, welche Ports durch Port-Scannen Ihres Netzwerks als offen reagieren, können Sie damit beginnen, festzustellen, ob auf diese Ports von außerhalb Ihres Netzwerks zugegriffen werden muss. Wenn sie nicht benötigt werden, sollten Sie sie herunterfahren oder blockieren. Wenn sie benötigt werden, können Sie untersuchen, für welche Arten von Schwachstellen und Exploits Ihr Netzwerk offen ist, indem Sie auf diese Ports zugreifen und die entsprechenden Patches oder Schadensbegrenzungen anwenden, um Ihr Netzwerk so gut wie möglich zu schützen.