Mit einem Portscan suchen Cyberkriminelle nach Schwachstellen
Auf der Suche nach potenziellen Schwachstellen eines Webauftritts oder PCs identifizieren Cyberkriminelle mit einem Portscan laufende Netzwerk-Dienste, offene Ports und verbundene Geräte. Auf der anderen Seite testen Administratoren mit der Software Internetseiten darauf, welche Dienste von außen erreichbar sind, um diese rechtzeitig zu schließen.
Was ist ein Port und Portscan?
Für das Senden von Daten über das Internet verwenden Programme sogenannte Ports. Ist ein Port offen, ist der dazugehörige Dienst von außen erreichbar. Ein offener TCP-Port bearbeitet die gestellten Anfragen und kann ein Loch in der Firewall darstellen. Bei einem Portscan durchsucht in der Regel ein automatisiertes Softwareprogramm einen Server nach offenen Netzwerk-Ports. Das Verfahren selbst stellt keinen Angriff dar, das Tool ist kein Einbruchswerkzeug. Es liefert Cyberkriminellen jedoch für folgende Angriffe wichtige Informationen über Schwachstellen. Portscanner informieren unter anderem darüber,
* welche Ports offen und geschlossen sind,
* welche Server-Programme laufen,
* welches Betriebssystem verwendet wird und
* wie lange der Server bereits aktiv ist.
Systemverwalter nutzen Portscans zur Kontrolle ihrer Netzwerke und schließen unerwünscht offene Ports.
Wie ist die Vorgehensweise der Cyberkriminellen und Systemverwalter?
Offene Ports stellen eine potenzielle Gefahr dar, da die dahinterliegenden Programme entweder durch Eingabe von Benutzername und Passwort direkt zugänglich sind oder angreifbare Programmierfehler enthalten können.
Daher gilt: Es sollten nie mehr Ports offen sein als notwendig.
Portscanner sind als kostenlose Tools erhältlich und testen die Erreichbarkeit der Ports vom eigenen Netzwerk (durch Systemverwalter) oder fremden Netzwerken (durch Angreifer). Angreifer nutzen die Infos, um sich Zugang zu den Daten zu verschaffen oder diese zu manipulieren. Systemadmins finden unnötig geöffnete Ports und schließen diese zur Sicherheit.
Risiko Dateifreigabe im Firmennetzwerk
Zu den Diensten und Freigaben, die auf jedem Rechner laufen, gehört zum Beispiel die Dateifreigabe unter Windows. Dabei ist der Zugriff auf einen Teil der Festplatte zum Lesen und Schreiben geöffnet. Ein zu Windows gehörender Server ist für die Arbeit zuständig. Für kleine Netzwerke im Büro ist diese Art der Dateifreigabe ein praktisches Mittel zur Zusammenarbeit. Bei falscher Konfiguration kann der Zugriff auf alle Daten des Computers von außen möglich sein und der Angreifer kann sich über den Windows-Explorer mit dem Ziel verbinden. Im nächsten Schritt versteckt dieser zum Beispiel ein schädliches Programm in einer Bilddatei, das beim Öffnen durch den Anwender ausgeführt wird. Solche Risiken gilt es zu vermeiden.
Wie wird ein Port getestet?
Ein Port wird über die Port-Zahl nach dem Doppelpunkt einer IP-Adresse angesprochen. In der Regel erfolgt ein Portscan mit einem Softwareprogramm, das automatisch zahlreiche Ports auf Erreichbarkeit prüft. Einige Funktionen eines Portscanners lassen sich auch manuell durchführen. Zum Testen der Erreichbarkeit eines MySQL-Servers, der unter anderem bei WordPress- und Joomla-Webseiten häufig zum Einsatz kommt, wird im Browser der Befehl `http://meine-Webseite:3306` eingeben, der Port 3306 ist dabei der Standardport für MySQL-Server.
Wichtiger Hinweis: Ein Portscan lässt sich im Serverprotokoll leicht nachverfolgen, teilweise sehen Juristen die Verwendung als ersten Schritt eines Einbruchsversuchs an. Daher sollten Portscans nur auf eigenen Systemen durchgeführt werden, das Scannen fremder Netze kann in Deutschland nach § 303b StGB (Computersagotage) geahndet werden. Zum Ausprobieren der Portscanner sollte man immer nur den eigenen Rechner oder das private Netzwerk testen.
Die Firewall regelt den Zugriff
Eine Firewall überprüft alle Nachrichten auf Gültigkeit und fängt als verboten eingestufte Anfragen ab. Welche Nachrichtentypen erlaubt sind, wird mithilfe von Regeln festgelegt. Zur Abwehr von Angriffen über offene Ports ist eine Firewall jedoch nur begrenzt fähig, weshalb regelmäßige Updates und Viren-Scanner ebenfalls wichtig sind.
Praxisbeispiel: Erreichbarkeit von Ports selbst testen
Für einen Portscan eignet sich die unter NMAP.org erhältliche Software für Linux und Windows. Zum Testen des eigenen Servers sollte das Programm auf einem PC im Unternehmen oder zu Hause installiert werden und nicht auf dem Server selbst.
Unter Linux erfolgt der Aufruf über die Kommandozeile:
`sudo nmap -v <Adresse des zu testenden Servers eingeben>`
Anschließend zeigt das Programm die erreichbaren „open“ Ports und die erreichbaren aber vom Server abgelehnten „filtered“ Ports an.
Unter Windows integriert die Software eine komfortable Benutzeroberfläche zur Eingabe der IP-Adresse.
Offene Ports ohne benötigten Dienst sollten geschlossen werden. Wichtige und notwendige Ports für notwendige Dienste sind unter anderem Port 21 (FTP), Port 22 (SSH), Port 80 (HTTP) und Port 443 (SSL/HTTPS). Ports wie Port 25 (SMTP für Mailversand) sollten nicht offen sein, um die missbräuchliche Verwendung zu unterbinden. Beliebtes Angriffsziel ist zum Beispiel Port 3306 für die Kommunikation mit einem MySQL-Server. Da einige Ports für die Funktion von Servern und Rechnern offen sein müssen, ist für maximale Sicherheit stets auf ein aktuelles System zu achten.