Port-Scans: Ein wichtiger Bestandteil der Netzwerksicherheit!

Ports sind ein Schlüsselelement jeglicher Netzwerkkommunikation. Jene ermöglichen die Verbindung von unterschiedlichen Anwendungen wie auch Geräten und sind unentbehrlich für die Datenübertragung im Internet. Gleichzeitig sind sie ein beliebtes Portal für Internetganoven. Vor diesem Hintergrund gilt es, den Schutz von Ports in regelmäßigen Abständen zu prüfen sowie potenziell gefährliche offene Ports zuzumachen. Eine effiziente Möglichkeit dafür ist das periodische Durchführen von Port-Scans. Was das ist und wie es dazu beitragen kann, die Netzwerksicherheit zu steigern, erfahren Sie in den nachfolgenden Abschnitten.

Qualifizierte und sichere IT-Netzwerke sind das A und O zeitgemäßer Firmen. Sie ermöglichen die Verständigung, die Zusammenarbeit sowie den Austausch von Daten oder Informationen in und außerhalb der Firma – und tragen so zur Instandhaltung von Geschäftsabläufen und zum Umsetzen von Geschäftszielen bei. Vor allem in der heutigen Zeit, in der Unternehmen generell mehr auf Cloud Computing, Big Data und digitale sowie hybride Geschäftsmodelle bauen, ist die Verfügbarkeit wie auch Integrität von IT-Netzwerken der Dreh- und Angelpunkt für den geschäftlichen Erfolg.

So glauben 97 % aller IT-Verantwortlichen, dass ein Unternehmensnetzwerk ein entscheidender Aspekt für ein Unternehmenswachstum ist.

Deshalb ist es wichtig, dass Firmen ihre IT-Netzwerke mit einer mehrschichtigen Netzwerksicherheitsstrategie vor risikoreichen Internetangriffen schützen – allen voran Angriffe gegen Standard-Ports und Nicht-Standard-Ports. Dabei sollte die Netzwerksicherheitsstrategie neben der Anwendung von Firewalls, Intrusion Detection Systemen sowie Intrusion Prevention Systemen auch eine Überwachung des Netzwerkverkehrs wie auch die Ausführung regelmäßiger Port-Scans inkludieren.

Doch was sind genau genommen Ports im Kontext von IT-Netzwerken?

 

Wissenswertes über Ports

Einfach formuliert ist ein Netzwerk-Port ein integraler Teil einer Netzwerkadresse und die zentrale Schnittstelle für die Interaktion zwischen netzwerkfähigen Endpunkten und Systemdiensten oder Programmen über das Internet oder anderweitige IT-Netzwerke. Sie werden von den Netzwerkprotokollen TCP und UDP verwendet und gewähren es dem Betriebssystem, Verbindungen und Datenpakete an die geeignete Anwendung oder aber den richtigen Dienst auf ein Zielsystem oder Absendersystem weiterzuleiten. Durch die Inanspruchnahme von Ports ist es machbar, mehrere parallele Verbindungen zwischen Kommunikationspartnern aufrechtzuerhalten, ohne dass die Anwendungen sich gegenseitig tangieren. Hierzu wird einem jeden Port eine signifikante Portnummer von 0 bis 65535 zugewiesen, wobei es drei Teilbereiche zu unterscheiden gilt:

• Standard-Ports/Well Known Ports: Die Ports 0 bis 1023 zählen als standardisierte Ports, welchen die Internet Assigned Numbers Authority, knapp IANA, in der Regel feste Protokolle und Dienste zugewiesen hat.
• Registered Ports: Der Bereich der Registered Ports inkludiert die Port-Nummern 1024 bis 49151 und kann für die Registrierung verschiedener Anwendungen verwendet werden.
• Dynamically Allocated Ports/ Private Ports: Der Teilbereich der Dynamically Allocated Ports oder Private Ports enthält die Portnummern von 49152 bis 65535 und kann durch Betriebssysteme flexibel an Client-Programme zugeteilt werden.

 

Die verschiedenen Portzustände!

Je nach Status einer IP-Verbindung sowie der entsprechenden Anwendung können Netzwerk-Ports unterschiedliche Zustände annehmen. Über den Portzustand ist definiert, ob die Kommunikation mit der verknüpften Anwendung möglich ist. Die drei wichtigsten Zustände, welche ein Netzwerk-Port annehmen kann, sind: offen, geschlossen sowie gefiltert.

Ist ein Netzwerk-Port „offen“, so ist die Benutzung hinter dem Port dazu in der Lage, Verbindungen anzunehmen. Ein „geschlossener“ Netzwerk-Port bedeutet, dass es gar keine Anwendung gibt, welche über den Netzwerk-Port zugänglich ist. Verbindungsaufbauwünsche zu diesem Port werden aktiv abgelehnt. Auch durch eine Firewall gesicherte Ports können den Zustand „geschlossen“ haben.

In jenem Fall ist die dahinterliegende Anwendung ebenfalls unzugänglich. Der Zustand „gefiltert“ weist andererseits darauf hin, dass eine Firewall den Netzwerk-Port schützt. Jener ist weder offen noch geschlossen, gewährt aber ebenso keinen Verbindungsaufbau.

 

Was versteht man unter Port-Scans?

Da eine große Anzahl offener Ports ein potenzielles Sicherheitsrisiko für das IT-Netzwerk darstellt, ist es relevant, die offenen Ports in dem IT-Netzwerk im Blick zu haben. Eine Option ist der Einsatz von sogenannten Port-Scannern.

Port-Scanner sind Werkzeuge, welche herangezogen werden, um die offenen Ports eines IT-Netzwerks zu ermitteln. Diese senden dafür Anfragen an unterschiedliche Ports auf einem Zielhost und untersuchen die Antworten, um herauszufinden, welche Ports offen sind und welche Services auf diesen Ports durchgeführt werden. Je nach Art und Weise des Scanners werden hierbei unterschiedliche Arten von Anfragen gesendet sowie unterschiedliche Verfahren verwendet, um die Antworten zu interpretieren.

 

Welche Arten von Port-Scans gibt es?

Es gibt mehrere Arten von Port-Scans, welche verwendet werden können, um unter Umständen gefährliche offene Ports zu identifizieren. Hier hängt die Wahl der richtigen Port-Scan-Technik von den Bedürfnissen wie auch Zielen des jeweiligen Unternehmens ab.

Nachfolgend werden mehrere Verfahren sowie ihre Funktionsweise aufgezeigt:

• TCP-Scan: Der TCP-Scan ermöglicht es, die Verfügbarkeit von TCP-Ports auf dem Zielhost zu überprüfen, auf die Weise, dass ein TCP-Handshake-Prozess gemacht wird. Ein zustande gekommener Handshake zeigt an, dass ein Port offen ist, während eine fehlerhafte Resonanz den geschlossenen Zustand des Ports anzeigt. Es gibt unterschiedliche Arten von TCP-Scans, etwa TCP-Connect-Scan und TCP-SYN-Scan.
• UDP-Scan: Ein UDP-Scan schickt Anfragen an alle verfügbaren UDP-Ports auf dem Zielhost und untersucht die Antworten, um zu ermitteln, welche Ports offen und welche geschlossen sind. Jener Scan kann genutzt werden, um möglicherweise verwundbare Dienste auf dem Zielhost zu erkennen, welche über das User Datagram Protocol übertragen werden.
• SYN-Scan: Ein SYN-Scan, auch als Half-Open-Scan bekannt, schickt bloß eine SYN-Anforderung an den Ziel-Port, um herauszufinden, ob ein Port offen ist, komplett ohne eine komplette Verbindung zu erstellen. Jener Scan kann verwendet werden, um möglicherweise verwundbare Dienste auf dem Zielhost zu identifizieren, auf die Weise, dass es das Transmission Control Protocol nutzt.
• Ping-Scan: Ein Ping-Scan schickt ICMP-Echo-Anfragen an den Zielhost, mit dem Ziel, die Erreichbarkeit zu prüfen. Dieser Scan wird genutzt, um festzustellen, ob ein bestimmter Host oder eine spezielle IP-Adresse zu erreichen ist. Der Scan schickt Ping-Anfragen an den Zielhost und wartet auf eine Antwort. Wenn eine Antwort entgegengenommen wird, heißt das, dass der Host erreichbar ist, andernfalls ist er nicht erreichbar. Dieser Scan ist eine unkomplizierte Vorgehensweise, um die Erreichbarkeit von Hosts im Netzwerk zu überprüfen und kann häufig von Administratoren genutzt werden, um Komplikationen im Netzwerk zu ermitteln.
• Stealth-Scan: Ein Stealth-Scan versucht, die Erkennung durch Sicherheits-Werkzeuge zu umgehen, auf die Weise, dass es die Verbindungsaufbau-Methoden abändert. Jener Scan sendet keine regulären SYN-Pakete an den Ziel-Port, sondern verwendet stattdessen spezielle Flags oder aber außergewöhnliche Pakete, um eine Antwort des Ziel-Ports zu erhalten. Der Sinn dieses Scans ist es, möglicherweise gefährliche offene Ports zu identifizieren, ohne von Firewalls sowie Intrusion Detection Systems, kurz IDS, identifiziert zu werden.

 

Welche Vorteile bringen Port-Scans!

Port-Scans sind ein relevantes Instrument für die Netzwerksicherheit, da jene es Firmen ermöglichen, mögliche gefährliche offene Ports in ihrem Netzwerk zu erkennen und zu beheben, ehe diese von Angreifern erkannt und ausgenutzt werden können. Ebenso können kontinuierliche Port-Scans Firmen dabei helfen, die Leistung des IT-Netzwerks zu optimieren, indem jene überflüssige Verbindungen und Dienste entfernt werden, welche die Netzwerkressourcen blockieren.

Ferner können Firmen durch die Identifikation und Schließung von potenziell gefährlichen offenen Ports die Gefahr von Angriffen minimieren und sich vor möglichen Schäden schützen. Darüber hinaus können kontinuierliche Port-Scans dazu führen, die Einhaltung von Datenschutzvorschriften und anderweitigen Compliance-Anforderungen sicherzustellen.

Fazit: Regelmäßige Port-Scans sind der Schlüssel zur Netzwerksicherheit!

Offene Netzwerk-Ports sind eine gewünschte Einladung für böswillige Bedrohungsakteure. Daher ist es relevant, dass Firmen die IT-Netzwerke mit einer mehrschichtigen Netzwerksicherheitsstrategie vor portbasierten Internetangriffen absichern. Diese sollte zusätzlich zu der Verwendung von Firewalls, Intrusion Detection Systemen und Intrusion Prevention Systemen auch die Überwachung des Netzwerkverkehrs und die Ausführung regelmäßiger Port-Scans inkludieren. Sie ermöglichen es mögliche gefährliche offene Ports in ihrem IT-Netzwerk zu ermitteln und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

Möchten auch Sie Ihre IT-Netzwerke mit wirksamen Port-Scanner-Tools vor potenziell gefährlichen offenen Ports und zielgerichteten portbasierten Internetangriffen schützen? Oder haben Sie noch Fragen zum Inhalt? Wir helfen Ihnen gerne weiter. Für mehr Informationen klicken Sie hier.