Ein Einbrecher läuft von Haus zu Haus und wartet auf eine gute Gelegenheit – einen unabgeschlossenen Keller, ein spaltbreit geöffnetes Fenster, eine offene Tür. Je geringer der Aufwand für das Eindringen ist, desto wahrscheinlicher schlägt er zu. Bei der Infiltration von Netzwerken läuft ein solches Ausspähen nach günstigen Gelegenheiten am einfachsten mit dem Port-Scan. Die Software erledigt den Vorgang automatisiert und liefert ihre Ergebnisse auf einen Blick.
Der Port-Scan ist ein Werkzeug zur Statusabfrage von Ports und den dahinter liegenden Anwendungen. Es stellt außerdem noch Informationen zu Serverprogrammen, Betriebssystem und Aktivitätszeit eines Servers bereit. Dadurch ist es sowohl für Systemadministratoren oder andere Anwender – Hacker beispielsweise – nützlich. Ob ein Port-Scan legal oder illegal ist, liegt am Verwender und Einsatzort.
Port-Scan – das steckt dahinter
Datensicherheit spielt nicht erst seit der Ära Smartphone eine entscheidende Rolle. Einzelne Schutzmaßnahmen wie Firewalls für jeden Arbeitsrechner oder die Implementierung eines Information Security Management System (ISMS) sind nicht nur sinnvoll, sondern zwingend notwendig, um die Sicherheit von betriebsinternen Daten gewährleisten zu können.
Systemadministratoren und Betreiber haben mit einem Port-Scan ein Werkzeug zur Hand, mit dem Schwachstellen in Form von ungeschützten oder offenen Ports sowie deren Anwendungen ausfindig gemacht werden können. Die Software klopft dabei alle Schnittstellen zwischen Server und Client ab – führt einen Scan durch – und liefert Auskünfte über den Status von Netzports und der dahinter befindlichen Anwendung.
Grundlegendes zum Thema IP Port-Scanner
Das Internet ist auf Basis von IPs (Internet Protocols) aufgebaut. Als weltweit standardisiertes Netzwerkprotokoll ermöglichen es die Verbindung von Clients und Servern. Ports sind ein fester Bestandteil des Netzwerkprotokolls. Sie dienen zwei Zwecken:
- Unterscheidung von verschiedenen Verbindungen zwischen zwei Endpunkten
- Identifikation von Netzwerkprotokollen und -diensten
Beispielsweise startet ein Mitarbeiter den Download einer Datei von einer Website über seinen Browser. Dieser Vorgang kann zeitgleich mehrmals vollzogen werden, weil der Browser weitere Verbindungen zum gleichen Port 80 der Website bzw. deren Server aufbaut. Die Kommunikation innerhalb der Netzvorgänge (die sich an den browserseitig verschiedenen Portnummern unterscheiden) findet dabei parallel statt.
In der Internetprotokollfamilie befinden sich außerdem noch TCP und UDP (Transmission Control Protocol und User Datagram Protocol). Ersteres legt fest, wie zwei Netzwerkteilnehmer miteinander Daten austauschen können. Letzteres ermöglicht das Versenden von Datagrammen – geschlossenen Datei-Einheiten. Ein Port ist dabei immer notwendig, um den Datenfluss aufrecht erhalten zu können.
Unser Expertenwissen hilft Ihnen Gefahren für Ihre IT-Infrastruktur besser zu erkennen.
Wie wäre es aber, dieses Wissen deutlich entspannter mit einem Lächeln und dem Gedanken:
„Spannend – aber auch dagegen bin ich abgesichert“ zu lesen?
P.S. Brillieren können Sie im Meeting mit dem neuen Wissen trotzdem!
Zustände von Ports
Grundsätzlich kann ein Scan für einen einzelnen Port einen von drei Aggregatszuständen als Ergebnis hervorbringen.
- CLOSED
- OPEN
- FILTERED / BLOCKED
Das Ergebnis CLOSED sagt aus, dass der Verbindungsversuch abgelehnt wurde und keine Anwendung hinter dem Zugang möglich ist. OPEN hingegen ist die Antwort: „Ja, ich bin verfügbar, du kannst dich verbinden“. FILTERED / BLOCKED sind Nichtreaktionen. Die Verbindungsanfrage ist dann beispielsweise durch eine Firewall blockiert oder durch einen Portfilter behindert worden.
Verfügbare Ports und ihre Kategorien
Die maximal existierende Portzahl ist von 0 bis 65.535 festgelegt. In der IP-Adresse ist die Portnummer hinter dem Doppelpunkt zu finden. Zur groben Unterscheidung sind sie in drei Kategorien eingeordnet. Systemports sind bis zur Nummer 1023 vergeben. Dazu gehören:
Systemports | Zugewiesene Nummer |
FTP – beidseitiger Datenaustausch zwischen Server und Anfrager | 21, 22 |
SMTIP – E-Mail-Versand zwischen Mailservern | 25 |
HTTP – Download von Dateien eines Webservers | 80 |
HTTPS – HTTP-Variante mit verschlüsseltem Kanal | 443 |
IPP – zum Drucken über ein Netzwerk | 631 |
Benutzerports sind mit den Zahlen 1024 bis 49.151 vergeben. Hier finden sich registrierte Dienste und Anwendungen, die abgefragt werden können. Führt man einen Scan der Portnummern 49152 bis 65.353 durch, werden dynamische Portzahlen abgefragt. Sie können durch das Betriebssystem ohne feste, allgemeingültige Zuordnung an Clientprogramme vergeben werden.
Wofür kann man Port-Scanner online und offline verwenden?
Der Scan wird verwendet, um den Status und den Aktivitätslevel von Ports sowie deren Anwendungen festzustellen. Dazu wird ein Datenpaket an das gewünschte Ziel gesendet. Die Datenverbindung wird bei erfolgreichem Erreichen direkt wieder beendet. Ein Ergebnis wird dabei immer geliefert, auch wenn ein Filter über das Ziel gelegt wurde oder eine Blockierung eingestellt ist. Dann kann aber abgeleitet werden, dass eine Schutzmaßnahme präsent ist, die von der Adminseite implementiert wurde.
Anhand der vom Scan gesammelten Ergebnisse lassen sich mögliche Schwachstellen feststellen. An diesen Stellschrauben können IT-Experten ansetzen, um die Sicherheit zu erhöhen. Denn eine minimale Anzahl an ungeschützten Ports reicht für Angreifer aus, um Systeme tiefgreifend infiltrieren oder sogar verändern zu können.
Die rechtliche Lage zu Portscans
Ein Scan liefert wichtige Informationen, die angreifbare Stellen aufdecken. Auf rechtlicher Seite sind sie deshalb umstritten, da ein versuchtes Eindringen – und damit ein Einbruch – unterstellt werden kann. Führt man als Admin beziehungsweise Systemeigner einen Port-Scan des eigenen Systems durch, befindet sich das im legalen Rahmen. Als systemfremder Durchführer kann der Port-Scan als Vorbereitung für ein Eindringen behandelt werden. Das ist dem § 202c StGB, dem sogenannten Hackerparagraph, zu entnehmen.
Verbindungsanfragen – die ein Port-Scan durchführt – können ein System zusammenbrechen lassen, wenn sie in sehr großer Zahl gleichzeitig stattfinden. Die Durchführung von vielen gleichzeitigen Portscans an einem Ziel kann deshalb als Angriff ausgelegt werden, was nach § 303b StGB unter Strafe steht.
Open Port Scans – Nützliches Werkzeug zur Bestandsaufnahme
Wer einen Port-Scan bei einem fremden System durchführt, muss sich den Konsequenzen bewusst sein – oder die Berechtigung dazu haben. Im besten Fall können durch den Scan gewisse Problemstellen im System aufgedeckt werden, um sie schnellstmöglich zu beheben. Grundsätzlich sind Portscans deshalb ein praktisches Werkzeug, das trotz seiner simplen Funktion aussagekräftige Werte auswirft, um nötige Sicherheitsmaßnahmen umsetzen zu können.
Das könnte Sie auch interessieren: In unserem Blogbeitrag „Was können automatisierte Pentests?“ erläutern wir ausführlich, wie Sie mit Enginsight automatisierte Penetrationstest durchführen können.
« Zurück zur Übersicht