Port-Scans: Ein wichtiger Bestandteil der Netzwerksicherheit!
Ports sind ein Schlüsselelement jeder Netzwerkkommunikation. Sie gewähren die Verknüpfung von unterschiedlichen Anwendungen wie auch Geräten und sind unerlässlich für die Datenübertragung im Internet. Zeitgleich sind sie ein attraktives Portal für Internetganoven. Vor diesem Hintergrund heißt es, die Sicherheit von Ports in regelmäßigen Abständen zu prüfen und potenziell bedenkliche offene Ports zu schließen. Eine effiziente Methode hierfür ist das periodische Vornehmen von Port-Scans. Was das ist und wie es hierzu beitragen kann, die Netzwerksicherheit zu steigern, lesen Sie in den nachfolgenden Abschnitten.
Zuverlässige wie auch risikolose IT-Netzwerke sind das Herzstück zeitgemäßer Unternehmen. Sie gewähren die Verständigung, die Teamarbeit sowie den Austausch von Daten und Informationen in und außerhalb des Unternehmens – und tragen auf diese Weise zur Instandhaltung von Geschäftsabläufen und zum Erreichen von Geschäftszielen bei. Gerade in der heutigen Zeit, in der Firmen generell mehr auf Cloud Computing, Big Data und digitale sowie hybride Geschäftsmodelle bauen, ist die Verfügbarkeit und Integrität von IT-Netzwerken der Dreh- und Angelpunkt für den geschäftlichen Erfolg.
Somit glauben 97 % sämtlicher IT-Verantwortlichen, dass das Unternehmensnetzwerk ein relevanter Aspekt für ein Unternehmenswachstum sei.
Deshalb ist es entscheidend, dass Unternehmen die IT-Netzwerke mit einer mehrschichtigen Netzwerksicherheitsstrategie vor gefährlichen Internetangriffen schützen – jeglichen voran Angriffe gegen Standard-Ports und Nicht-Standard-Ports. Dabei sollte eine Netzwerksicherheitsstrategie neben der Anwendung von Firewalls, Intrusion Detection Systemen sowie Intrusion Prevention Systemen auch eine Überwachung des Netzwerkverkehrs und die Durchführung kontinuierlicher Port-Scans beinhalten.
Doch was sind eigentlich Ports im Rahmen von IT-Netzwerken?
Simpel gesagt ist ein Netzwerk-Port ein integraler Teil einer Netzwerkadresse sowie die zentrale Verbindung für die Kommunikation zwischen netzwerkfähigen Endpunkten und Systemdiensten oder Programmen über das Internet oder andere IT-Netzwerke. Jene werden von den Netzwerkprotokollen TCP wie auch UDP verwendet und ermöglichen es dem Betriebssystem, Vernetzungen und Datenpakete an die geeignete Anwendung oder den richtigen Dienst auf ein Zielsystem oder Absendersystem weiterzuleiten. Durch die Inanspruchnahme von Ports ist es machbar, mehrere parallele Verbindungen zwischen Kommunikationspartnern aufrechtzuerhalten, ohne dass die Anwendungsbereiche sich gegenseitig tangieren. Dafür wird einem jeden Port eine eindeutige Portnummer von 0 bis 65535 zugeteilt, bei denen es drei Bereiche zu unterscheiden gilt:
1. Standard-Ports/Well Known Ports: Die Ports 0 bis 1023 sind standardisierte Ports, welchen die Internet Assigned Numbers Authority, kurz IANA, größtenteils feste Protokolle sowie Dienste zugewiesen hat.
2. Registered Ports: Der Bereich der Registered Ports umfasst die Port-Nummern 1024 bis 49151 und kann für eine Registrierung unterschiedlicher Anwendungen verwendet werden.
3. Dynamically Allocated Ports/ Private Ports: Der Teilbereich der Dynamically Allocated Ports oder Private Ports umfasst die Portnummern von 49152 bis 65535 und kann durch Betriebssysteme dynamisch an Client-Programme zugeteilt werden.
Welche Portzustände gibt es?
Je nach Status einer IP-Verbindung und der entsprechenden Anwendung können Netzwerk-Ports unterschiedliche Zustände annehmen. Über den Zustand ist bestimmt, ob die Kommunikation mit der verknüpften Anwendung möglich ist. Die drei wichtigsten Zustände, die ein Netzwerk-Port annehmen kann, sind: offen, geschlossen und gefiltert.
Ist ein Netzwerk-Port „offen“, ist die Anwendung hinter dem Port dazu in der Lage, Verbindungen entgegenzunehmen. Ein „geschlossener“ Netzwerk-Port heißt, dass es keine Anwendung gibt, die über den Netzwerk-Port erreichbar ist. Verbindungsaufbauwünsche zu diesem Port werden aktiv abgelehnt. Ebenso durch eine Firewall gesicherte Ports können den Zustand „geschlossen“ aufweisen.
In jenem Fall ist die dahinterliegende Anwendung genauso unerreichbar. Der Zustand „gefiltert“ weist andererseits darauf hin, dass eine Firewall den Netzwerk-Port schützt. Jener ist weder offen noch geschlossen, ermöglicht aber ebenfalls keinen Verbindungsaufbau.
Was versteht man unter Port-Scans?
Zumal eine hohe Anzahl offener Ports ein mögliches Sicherheitsrisiko für das IT-Netzwerk verkörpert, ist es wichtig, die offenen Ports in einem IT-Netzwerk im Blick zu behalten. Eine Option ist der Einsatz von sogenannten Port-Scannern.
Port-Scanner sind Tools, welche verwendet werden, um die offenen Ports eines IT-Netzwerks ausfindig zu machen. Sie senden hierzu Anfragen an verschiedene Ports auf einem Zielhost und untersuchen die Antworten, um herauszufinden, welche Ports offen sind sowie welche Services auf jenen Ports durchgeführt werden. Je nach Art des Scanners werden dabei verschiedene Arten von Anfragen gesendet und unterschiedlichste Verfahren verwendet, um die Antworten zu interpretieren.
Welche Arten von Port-Scans gibt es?
Es gibt verschiedene Arten von Port-Scans, die eingesetzt werden können, um potenziell gefährliche offene Ports zu identifizieren. Dabei hängt die Wahl der richtigen Port-Scan-Technik von den Bedürfnissen und Zielen des entsprechenden Unternehmens ab.
Nachfolgend werden mehrere Verfahren sowie ihre Funktionsweise aufgezeigt:
• TCP-Scan: Der TCP-Scan ermöglicht es, die Nutzbarkeit von TCP-Ports auf dem Zielhost zu überprüfen, auf die Weise, dass ein TCP-Handshake-Prozess gemacht wird. Ein erfolgreicher Handshake zeigt an, dass ein Port offen ist, während eine fehlerhafte Rückmeldung den geschlossenen Zustand des Ports anzeigt. Es gibt verschiedene Arten von TCP-Scans, wie zum Beispiel TCP-Connect-Scan oder TCP-SYN-Scan.
• UDP-Scan: Ein UDP-Scan schickt Anfragen an alle verfügbaren UDP-Ports auf dem Zielhost und analysiert die Antworten, um zu ermitteln, welche Ports offen und welche geschlossen sind. Jener Scan kann verwendet werden, um möglicherweise verwundbare Dienste auf einem Zielhost zu erkennen, welche über das User Datagram Protocol übermittelt werden.
• SYN-Scan: Ein SYN-Scan, gleichfalls als Half-Open-Scan namhaft, schickt bloß eine SYN-Anforderung an den Ziel-Port, um herauszufinden, ob ein Port offen ist, komplett ohne eine vollständige Verbindung aufzubauen. Jener Scan kann verwendet werden, um potenziell verwundbare Dienste auf einem Zielhost zu identifizieren, auf die Weise, dass es das Transmission Control Protocol verwendet.
• Ping-Scan: Ein Ping-Scan schickt ICMP-Echo-Anfragen an einen Zielhost, um die Erreichbarkeit zu überprüfen. Jener Scan wird genutzt, um herauszufinden, ob ein spezieller Host oder eine bestimmte IP-Adresse zu erreichen ist. Der Scan schickt Ping-Anfragen an einen Zielhost und wartet auf eine Antwort. Wenn eine Antwort entgegengenommen wird, heißt das, dass der Host zu erreichen ist, andernfalls ist er nicht erreichbar. Dieser Scan ist eine einfache Methode, um die Erreichbarkeit von Hosts im Netzwerk zu prüfen und kann häufig von Administratoren verwendet werden, um Komplikationen im Netzwerk zu diagnostizieren.
• Stealth-Scan: Ein Stealth-Scan probiert, die Erkennung durch Sicherheits-Tools zu umgehen, indem es die Verbindungsaufbau-Methoden verändert. Dieser Scan schickt keine regulären SYN-Pakete an den Ziel-Port, sondern verwendet dagegen spezielle Flags oder aber ungewöhnliche Pakete, um die Antwort des Ziel-Ports zu erhalten. Der Zweck jenes Scans ist es, potenziell gefährliche offene Ports zu identifizieren, ohne von Firewalls sowie Intrusion Detection Systems, knapp IDS, erkannt zu werden.
Port-Scans: Die Vorteile auf einen Blick!
Port-Scans sind ein wichtiges Instrument für eine Netzwerksicherheit, weil sie es Unternehmen gewähren, mögliche gefährliche offene Ports in ihrem Netzwerk zu entdecken sowie zu beheben, ehe sie von Angreifern entdeckt und ausgenutzt werden können. Außerdem können kontinuierliche Port-Scans Firmen dabei nützlich sein, die Leistungsfähigkeit ihres IT-Netzwerks zu optimieren, indem sie unnötige Verbindungen wie auch Dienste entfernt werden, welche die Netzwerkressourcen blockieren.
Ferner können Unternehmen durch die Identifikation und Schließung von potenziell gefährlichen offenen Ports die Gefahr von Angriffen verringern und sich vor potenziellen Schäden schützen.
Darüber hinaus können kontinuierliche Port-Scans dazu führen, die Befolgung von Datenschutzvorschriften und anderen Compliance-Anforderungen sicherzustellen.
Fazit: Regelmäßige Port-Scans sind der Schlüssel zur Netzwerksicherheit!
Offene Netzwerk-Ports sind eine willkommene Einladung für böswillige Bedrohungsakteure.
Daher ist es wichtig, dass Unternehmen die IT-Netzwerke mit einer vielschichtigen Netzwerksicherheitsstrategie vor portbasierten Internetangriffen absichern. Jene sollte neben der Verwendung von Firewalls, Intrusion Detection Systemen und Intrusion Prevention Systemen ebenso die Überwachung des Netzwerkverkehrs wie auch die Ausführung regelmäßiger Port-Scans beinhalten.
Diese ermöglichen es potenziell gefährliche offene Ports im IT-Netzwerk zu ermitteln und zu beseitigen, ehe sie von Angreifern genutzt werden können.
Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.
