Cybersecurity für den Mittelstand: Jeden Mittwoch, 16 Uhr

IT-Security wissen by enginsight

Port-Scan: Die Suche nach der offenen Tür

Inhalt

Ein Einbrecher läuft von Haus zu Haus und wartet auf eine gute Gelegenheit – einen unabgeschlossenen Keller, ein spaltbreit geöffnetes Fenster, eine offene Tür. Je geringer der Aufwand für das Eindringen ist, desto wahrscheinlicher schlägt er zu. Bei der Infiltration von Netzwerken läuft ein solches Ausspähen nach günstigen Gelegenheiten am einfachsten mit dem Port-Scan. Die Software erledigt den Vorgang automatisiert und liefert ihre Ergebnisse auf einen Blick.

Der Port-Scan ist ein Werkzeug zur Statusabfrage von Ports und den dahinter liegenden Anwendungen. Es stellt außerdem noch Informationen zu Serverprogrammen, Betriebssystem und Aktivitätszeit eines Servers bereit. Dadurch ist es sowohl für Systemadministratoren oder andere Anwender – Hacker beispielsweise – nützlich. Ob ein Port-Scan legal oder illegal ist, liegt am Verwender und Einsatzort.

Port-Scan – das steckt dahinter

Datensicherheit spielt nicht erst seit der Ära Smartphone eine entscheidende Rolle. Einzelne Schutzmaßnahmen wie Firewalls für jeden Arbeitsrechner oder die Implementierung eines Information Security Management System (ISMS) sind nicht nur sinnvoll, sondern zwingend notwendig, um die Sicherheit von betriebsinternen Daten gewährleisten zu können.

Systemadministratoren und Betreiber haben mit einem Port-Scan ein Werkzeug zur Hand, mit dem Schwachstellen in Form von ungeschützten oder offenen Ports sowie deren Anwendungen ausfindig gemacht werden können. Die Software klopft dabei alle Schnittstellen zwischen Server und Client ab – führt einen Scan durch – und liefert Auskünfte über den Status von Netzports und der dahinter befindlichen Anwendung.

Grundlegendes zum Thema IP Port-Scanner

Das Internet ist auf Basis von IPs (Internet Protocols) aufgebaut. Als weltweit standardisiertes Netzwerkprotokoll ermöglichen es die Verbindung von Clients und Servern. Ports sind ein fester Bestandteil des Netzwerkprotokolls. Sie dienen zwei Zwecken:

  • Unterscheidung von verschiedenen Verbindungen zwischen zwei Endpunkten
  • Identifikation von Netzwerkprotokollen und -diensten 

Beispielsweise startet ein Mitarbeiter den Download einer Datei von einer Website über seinen Browser. Dieser Vorgang kann zeitgleich mehrmals vollzogen werden, weil der Browser weitere Verbindungen zum gleichen Port 80 der Website bzw. deren Server aufbaut. Die Kommunikation innerhalb der Netzvorgänge (die sich an den browserseitig verschiedenen Portnummern unterscheiden) findet dabei parallel statt.

In der Internetprotokollfamilie befinden sich außerdem noch TCP und UDP (Transmission Control Protocol und User Datagram Protocol). Ersteres legt fest, wie zwei Netzwerkteilnehmer miteinander Daten austauschen können. Letzteres ermöglicht das Versenden von Datagrammen – geschlossenen Datei-Einheiten. Ein Port ist dabei immer notwendig, um den Datenfluss aufrecht erhalten zu können.

Zustände von Ports

Grundsätzlich kann ein Scan für einen einzelnen Port einen von drei Aggregatszuständen als Ergebnis hervorbringen.

  • CLOSED
  • OPEN
  • FILTERED / BLOCKED 

Das Ergebnis CLOSED sagt aus, dass der Verbindungsversuch abgelehnt wurde und keine Anwendung hinter dem Zugang möglich ist. OPEN hingegen ist die Antwort: „Ja, ich bin verfügbar, du kannst dich verbinden“. FILTERED / BLOCKED sind Nichtreaktionen. Die Verbindungsanfrage ist dann beispielsweise durch eine Firewall blockiert oder durch einen Portfilter behindert worden.

Verfügbare Ports und ihre Kategorien

Die maximal existierende Portzahl ist von 0 bis 65.535 festgelegt. In der IP-Adresse ist die Portnummer hinter dem Doppelpunkt zu finden. Zur groben Unterscheidung sind sie in drei Kategorien eingeordnet. Systemports sind bis zur Nummer 1023 vergeben. Dazu gehören:

SystemportsZugewiesene Nummer  
FTP – beidseitiger Datenaustausch zwischen Server und Anfrager21, 22  
SMTIP – E-Mail-Versand zwischen Mailservern25  
HTTP – Download von Dateien eines Webservers80  
HTTPS – HTTP-Variante mit verschlüsseltem Kanal443  
IPP – zum Drucken über ein Netzwerk631   

Benutzerports sind mit den Zahlen 1024 bis 49.151 vergeben. Hier finden sich registrierte Dienste und Anwendungen, die abgefragt werden können. Führt man einen Scan der Portnummern 49152 bis 65.353 durch, werden dynamische Portzahlen abgefragt. Sie können durch das Betriebssystem ohne feste, allgemeingültige Zuordnung an Clientprogramme vergeben werden.

Wofür kann man Port-Scanner online und offline verwenden?

Der Scan wird verwendet, um den Status und den Aktivitätslevel von Ports sowie deren Anwendungen festzustellen. Dazu wird ein Datenpaket an das gewünschte Ziel gesendet. Die Datenverbindung wird bei erfolgreichem Erreichen direkt wieder beendet. Ein Ergebnis wird dabei immer geliefert, auch wenn ein Filter über das Ziel gelegt wurde oder eine Blockierung eingestellt ist. Dann kann aber abgeleitet werden, dass eine Schutzmaßnahme präsent ist, die von der Adminseite implementiert wurde.

Wer Maßnahmen zum Erhöhen der Netzwerksicherheit durchführen möchte, braucht einen Überblick über den Ist-Status – hier kommt der Port-Scan ins Spiel.

Anhand der vom Scan gesammelten Ergebnisse lassen sich mögliche Schwachstellen feststellen. An diesen Stellschrauben können IT-Experten ansetzen, um die Sicherheit zu erhöhen. Denn eine minimale Anzahl an ungeschützten Ports reicht für Angreifer aus, um Systeme tiefgreifend infiltrieren oder sogar verändern zu können.

Die rechtliche Lage zu Portscans

Ein Scan liefert wichtige Informationen, die angreifbare Stellen aufdecken. Auf rechtlicher Seite sind sie deshalb umstritten, da ein versuchtes Eindringen – und damit ein Einbruch – unterstellt werden kann. Führt man als Admin beziehungsweise Systemeigner einen Port-Scan des eigenen Systems durch, befindet sich das im legalen Rahmen. Als systemfremder Durchführer kann der Port-Scan als Vorbereitung für ein Eindringen behandelt werden. Das ist dem § 202c StGB, dem sogenannten Hackerparagraph, zu entnehmen.

Ein zusätzlich implementiertes Intrusion Detection System (IDS) hilft, einen eingehenden Scan und dessen Datenpakete zu erkennen, um im nächsten Schritt zielgerichtete Abwehrmaßnahmen sowie rechtliche Schritte einleiten zu können.

Verbindungsanfragen – die ein Port-Scan durchführt – können ein System zusammenbrechen lassen, wenn sie in sehr großer Zahl gleichzeitig stattfinden. Die Durchführung von vielen gleichzeitigen Portscans an einem Ziel kann deshalb als Angriff ausgelegt werden, was nach § 303b StGB unter Strafe steht.

Open Port Scans – Nützliches Werkzeug zur Bestandsaufnahme

Wer einen Port-Scan bei einem fremden System durchführt, muss sich den Konsequenzen bewusst sein – oder die Berechtigung dazu haben. Im besten Fall können durch den Scan gewisse Problemstellen im System aufgedeckt werden, um sie schnellstmöglich zu beheben. Grundsätzlich sind Portscans deshalb ein praktisches Werkzeug, das trotz seiner simplen Funktion aussagekräftige Werte auswirft, um nötige Sicherheitsmaßnahmen umsetzen zu können.

« Zurück zur Glossar-Übersicht
Share on linkedin
Share on twitter
Share on facebook

Sie haben Fragen?

Gerne können Sie mir uns zum Thema IT-Sicherheit und Enginsight kontaktieren.

hello@enginsight.com
+49 (0)3641 2714966

Enginsight Logo