Ports sind ein Schlüsselelement jeglicher Netzwerkkommunikation. Sie ermöglichen die Verknüpfung von verschiedenen Anwendungen und Geräten und sind unerlässlich für eine Datenübertragung im Internet. Zeitgleich sind sie ein attraktives Einfallstor für Internetganoven. Vor diesem Hintergrund heißt es, den Schutz von Ports in regelmäßigen Abständen zu prüfen sowie möglicherweise gefährliche offene Ports zuzumachen. Eine effektive Methode hierfür ist das regelmäßige Vornehmen von Port-Scans. Was dies ist und wie es hierzu beitragen kann, die Netzwerksicherheit zu steigern, lesen Sie in den folgenden Abschnitten.
Zuverlässige wie auch sichere IT-Netzwerke sind das Herzstück moderner Firmen. Sie gewähren die Kommunikation, die Zusammenarbeit sowie den Austausch von Daten und Informationen innerhalb und außerhalb des Unternehmens – und tragen so zur Instandhaltung von Geschäftsabläufen und zum Erreichen von Geschäftszielen bei. Gerade in der heutigen Zeit, in der Unternehmen immer mehr auf Cloud Computing, Big Data wie auch digitale sowie hybride Geschäftsmodelle bauen, ist die Verfügbarkeit und Integrität von IT-Netzwerken der Dreh- und Angelpunkt für den betrieblichen Erfolg.
Somit meinen 97 % sämtlicher IT-Verantwortlichen, dass ein Unternehmensnetzwerk ein relevanter Aspekt für das Unternehmenswachstum ist.
Deshalb ist es entscheidend, dass Unternehmen die IT-Netzwerke mit einer vielschichtigen Netzwerksicherheitsstrategie vor gefährlichen Internetangriffen schützen – allen voran Angriffe gegen Standard-Ports und Nicht-Standard-Ports. Im Zuge dessen sollte die Netzwerksicherheitsstrategie neben der Verwendung von Firewalls, Intrusion Detection Systemen und Intrusion Prevention Systemen auch eine Überwachung des Netzwerkverkehrs wie auch die Ausführung regelmäßiger Port-Scans inkludieren.
Aber was sind eigentlich Ports im Rahmen von IT-Netzwerken?Was sind Ports und Portnummern?
Simpel gesagt ist ein Netzwerk-Port ein integraler Bestandteil einer Netzwerkadresse sowie die zentrale Schnittstelle für die Kommunikation zwischen netzwerkfähigen Endpunkten sowie Systemdiensten oder Programmen über das Web oder andere IT-Netzwerke. Jene werden von den Netzwerkprotokollen TCP wie auch UDP verwendet und ermöglichen es dem Betriebssystem, Verbindungen und Datenpakete an die geeignete Anwendung oder den passenden Dienst auf ein Zielsystem oder Absendersystem weiterzuleiten. Durch die Inanspruchnahme von Ports ist es machbar, mehrere parallele Verbindungen zwischen Kommunikationspartnern aufrechtzuerhalten, ohne dass die Anwendungen sich untereinander beeinflussen. Dafür wird einem jeden Port eine signifikante Portnummer von 0 bis 65535 zugewiesen, wobei es drei Teilbereiche zu unterteilen gilt:
- Standard-Ports/Well Known Ports: Die Ports 0 bis 1023 sind standardisierte Ports, denen die Internet Assigned Numbers Authority, knapp IANA, in der Regel feste Protokolle und Dienste zugewiesen hat.
- Registered Ports: Der Bereich der Registered Ports inkludiert die Port-Nummern 1024 bis 49151 und kann für die Registrierung unterschiedlicher Anwendungen genutzt werden.
- Dynamically Allocated Ports/ Private Ports: Der Bereich der Dynamically Allocated Ports oder Private Ports enthält die Portnummern von 49152 bis 65535 und kann durch Betriebssysteme dynamisch an Client-Programme zugeteilt werden.
Die verschiedenen Portzustände!
Je nach Gegebenheit einer IP-Verbindung sowie der jeweiligen Anwendung können Netzwerk-Ports unterschiedliche Zustände annehmen. Über den Zustand ist bestimmt, ob die Kommunikation mit der verknüpften Anwendung machbar ist. Die drei wesentlichsten Zustände, welche ein Netzwerk-Port annehmen kann, sind: offen, geschlossen und gefiltert.
Ist ein Netzwerk-Port „offen“, so ist die Benutzung hinter diesem Port dazu bereit, Verbindungen anzunehmen. Ein „geschlossener“ Netzwerk-Port heißt, dass es gar keine Anwendung gibt, die über den Netzwerk-Port zugänglich ist. Verbindungsaufbauwünsche zu diesem Port werden aktiv abgelehnt. Auch durch eine Firewall geschützte Ports können den Zustand „geschlossen“ haben.
In diesem Fall ist die dahinterliegende Anwendung genauso unzugänglich. Der Zustand „gefiltert“ weist andererseits darauf hin, dass eine Firewall den Netzwerk-Port sichert. Jener ist weder offen noch geschlossen, ermöglicht aber ebenfalls keinerlei Verbindungsaufbau.
Port Scans: Was ist das und wie funktioniert es?
Zumal eine hohe Zahl offener Ports ein mögliches Sicherheitsrisiko für das IT-Netzwerk verkörpert, ist es relevant, die offenen Ports in dem IT-Netzwerk im Auge zu behalten. Eine Option ist der Einsatz von sogenannten Port-Scannern.
Port-Scanner sind Tools, die verwendet werden, um die offenen Ports eines IT-Netzwerks zu ermitteln. Diese schicken dafür Anfragen an unterschiedliche Ports auf einem Zielhost und untersuchen die Antworten, um festzustellen, welche Ports offen sind und welche Services auf diesen Ports durchgeführt werden. Je nach Art und Weise des Scanners werden dabei verschiedene Arten von Anfragen gesendet sowie unterschiedliche Verfahren eingesetzt, um die Antworten zu interpretieren.
Welche Arten von Port-Scans gibt es?
Es gibt mehrere Arten von Port-Scans, welche verwendet werden können, um unter Umständen gefährliche offene Ports zu identifizieren. Dabei hängt die Wahl der richtigen Port-Scan-Technik von den Erwartungen und Zielen des jeweiligen Unternehmens ab.
Nachfolgend werden einige Verfahren sowie ihre Funktionsweise aufgezeigt:
• TCP-Scan: Der TCP-Scan ermöglicht es, die Nutzbarkeit von TCP-Ports auf einem Zielhost zu überprüfen, auf die Weise, dass ein TCP-Handshake-Prozess gemacht wird. Ein zustande gekommener Handshake zeigt an, dass ein Port offen ist, während eine fehlerhafte Rückmeldung den geschlossenen Status des Ports anzeigt. Es gibt unterschiedliche Arten von TCP-Scans, wie zum Beispiel TCP-Connect-Scan und TCP-SYN-Scan.
• UDP-Scan: Ein UDP-Scan schickt Anfragen an alle zur Verfügung stehenden UDP-Ports auf einem Zielhost und untersucht die Antworten, um zu ermitteln, welche Ports offen und welche geschlossen sind. Jener Scan kann verwendet werden, um möglicherweise verwundbare Dienste auf dem Zielhost zu identifizieren, welche über das User Datagram Protocol übermittelt werden.
• SYN-Scan: Ein SYN-Scan, gleichfalls als Half-Open-Scan bekannt, sendet lediglich eine SYN-Anforderung an den Ziel-Port, um herauszufinden, ob der Port offen ist, ohne eine vollständige Verbindung zu erstellen. Dieser Scan kann gebraucht werden, um potenziell verwundbare Dienste auf einem Zielhost zu ermitteln, indem es das Transmission Control Protocol verwendet.
• Ping-Scan: Ein Ping-Scan sendet ICMP-Echo-Anfragen an einen Zielhost, mit dem Ziel, die Erreichbarkeit zu überprüfen. Dieser Scan wird genutzt, um herauszufinden, ob ein spezieller Host oder eine bestimmte IP-Adresse zu erreichen ist. Der Scan sendet Ping-Anfragen an einen Zielhost und erwartet die Antwort. Wenn eine Antwort entgegengenommen wird, heißt dies, dass der Host erreichbar ist, andernfalls ist er nicht erreichbar. Jener Scan ist eine unkomplizierte Methode, um die Erreichbarkeit von Hosts im Netzwerk zu prüfen und kann sehr oft von Administratoren verwendet werden, um Komplikationen im Netzwerk zu ermitteln.
• Stealth-Scan: Ein Stealth-Scan probiert, eine Erkennung durch Sicherheits-Werkzeuge zu umgehen, indem es die Verbindungsaufbau-Methoden abändert. Dieser Scan sendet keine regulären SYN-Pakete an den Ziel-Port, sondern benutzt stattdessen spezielle Flags oder aber ungewöhnliche Pakete, um eine Antwort des Ziel-Ports zu bekommen. Der Zweck jenes Scans ist es, möglicherweise gefährliche offene Ports zu ermitteln, ohne von Firewalls oder Intrusion Detection Systems, knapp IDS, erkannt zu werden.
Port-Scans: Die Vorteile auf einen Blick!
Port-Scans sind ein relevantes Instrument für eine Netzwerksicherheit, da sie es Firmen gewähren, mögliche gefährliche offene Ports in ihrem Netzwerk zu erkennen sowie zu beheben, bevor diese von Angreifern erkannt und ausgenutzt werden können. Ebenso können kontinuierliche Port-Scans Firmen dabei nützlich sein, die Leistung ihres IT-Netzwerks zu optimieren, indem jene überflüssige Verbindungen wie auch Dienste entfernt werden, die die Netzwerkressourcen blockieren.
Obendrein können Firmen durch die Identifizierung sowie Schließung von potenziell gefährlichen offenen Ports das Risiko von Angriffen minimieren und sich vor möglichen Schäden schützen.
Nicht zuletzt können regelmäßige Port-Scans dazu beitragen, die Einhaltung von Datenschutzvorschriften und anderen Compliance-Anforderungen sicherzustellen.
Fazit: Regelmäßige Port-Scans sind ein wichtiger Bestandteil der IT-Sicherheit!
Offene Netzwerk-Ports sind eine gewünschte Einladung für gefährliche Bedrohungsakteure.
Daher ist es wichtig, dass Firmen ihre IT-Netzwerke mit einer mehrschichtigen Netzwerksicherheitsstrategie vor portbasierten Internetangriffen absichern. Diese sollte neben der Verwendung von Firewalls, Intrusion Detection Systemen sowie Intrusion Prevention Systemen auch die Beaufsichtigung des Netzwerkverkehrs wie auch die Durchführung regelmäßiger Port-Scans inkludieren.
Sie ermöglichen es mögliche gefährliche offene Ports in ihrem IT-Netzwerk zu ermitteln wie auch zu beheben, ehe sie von Angreifern ausgenutzt werden können.