Sergey Nivens - stock.adobe.com
Was ist eigentlich ein Port-Scan-Angriff?
Die Suche nach offenen Ports in fremden Netzen und Systemen ist fast so alt wie das Internet selbst. Wie gefährlich sind Port-Scan-Attacken und wie lassen sie sich stoppen?
Meine Sicherheits-Appliance warnt mich immer wieder vor Port-Scan-Angriffen, obwohl mein LAN durch eine Firewall geschützt wird. Was ist so ein Port-Scan-Angriff und wie kann ich mich dagegen schützen?
Ein sogenannter Port ist wie eine kleine Tür zu unserem System. Die meisten Pakete, die Ihren Rechner verlassen, gehen dabei durch eine bestimmte „Tür“. Sie sind wiederum für eine andere „Tür“ auf einem anderen System bestimmt.
Transportprotokolle wie das Transmission Control Protocol (TCP), das User Datagram Protocol (UDP) und das Stream Control Transmission Protocol (SCTP) verwenden Ports, um Pakete zuzustellen. Zusammen mit der IP-Adresse werden sie genutzt, um einen bestimmten Prozess zu identifizieren, der auf einem mit einem Netzwerk verbundenen Host läuft und zu dem ein Paket gesendet werden soll.
Die Transportprotokolle aus dem TCP/IP-Stack können dabei im Prinzip einen beliebigen Port aus den bis zu 65.535 verfügbaren Schnittstellen nutzen, um auf Anfragen von entfernten Hosts zu warten und um auf sie reagieren zu können. Die Ports von 1 bis 1.023 sind die häufiger genutzten Ports, die als Standard für verschiedene Internetprotokolle verwendet werden. Nur Port 0 wurde reserviert und sollte deswegen nicht genutzt werden. Die Ports bis 1.023 erleichtern die Kontaktaufnahme mit gängigen Internetanwendungen. Sie werden durch die Internet Assigned Numbers Authority (IANA) verwaltet.
Zum Beispiel lauschen die meisten Webserver auf dem TCP-Port 443 auf HTTPS-Anfragen und auf Port 80 auf HTTP-Anfragen, während Mail-Server auf Port 463 auf SMTPS-Pakete (Simple Mail Transfer Protocol Secure) warten. Diese Pakete werden mit dem TLS-Protokoll (Transport Layer Security) verschlüsselt. SMTPS-Server überwachen zudem meist auch den Port 587 auf Anfragen von anderen Mail-Servern.
Die Ports von 1.024 bis 49.151 wurden von der IANA ebenfalls meist für bestimmte Protokolle vorgesehen. Die Ports von 49.152 bis 65.535 können dagegen für dynamische Verbindungen genutzt werden, die nicht dauerhaft benötigt werden. So können etwa ein Server und ein Client eine Verbindung starten. Der Server könnte dann einen dieser vorübergehenden Ports nutzen, um Daten an den Client zu senden.
Wenn ein Angreifer einen Port-Scan startet, dann versucht er meist herauszufinden, welche Ports auf einem System offen sind. Für den Port-Scan-Angriff sendet er Datenpakete an die IP-Adresse des Ziels und wechselt dabei immer wieder den Port. So kann er herausfinden, welche Dienste auf dem System laufen. Es ist sogar möglich, daraus Rückschlüsse auf das verwendete Betriebssystem zu ziehen. Die meisten mit dem Internet verbundenen Systeme werden jeden Tag mindestens einmal durch einen Port-Scan attackiert. Das ist aber in der Regel kein Problem, wenn nur die wirklich benötigten Ports nach außen offen sind und das System durch eine moderne Firewall geschützt ist, die keine unerwünschten Anfragen durchlässt.
Angriffe durch Port-Scans sind fast so alt wie das Internet selbst. Aber auch wenn die verwendeten Protokolle und die Sicherheits-Tools und -Systeme sich seitdem deutlich verändert haben, sollten Port-Scan-Angriffe nicht vernachlässigt werden.
Warum Angreifer Port-Scans einsetzen
Port-Scans werden nicht nur zum Angriff, sondern auch zum Schutz von Netzwerken genutzt. So können sie etwa eingesetzt werden, um ein Netzwerk zu erkunden und um einzelne Systeme, Ports und eventuell auch Anwendungen zu identifizieren, die dort verwendet werden. Für dieses sogenannte Mapping stehen zahlreiche Tools zur Verfügung, die unterschiedliche Geschwindigkeiten unterstützen. Durch einen langsamen Scan kann ein Angreifer das Risiko reduzieren, entdeckt zu werden.
Auch legitime Software verwendet Port-Scans, um etwa einen über das Netzwerk verfügbaren Drucker oder eine andere Ressource zu identifizieren. Ein solcher Scan kann wie ein Port-Scan-Angriff wirken. Der Großteil des frei zugänglichen Internets wurde bereits durch legitime Dienste wie Shodan gemappt. Es ist also nicht nötig, selbst einen Port-Scan des Internets zu versuchen. Allerdings haben auch weniger seriöse Projekte diese Aufgabe bereits erledigt. Unternehmen sollten allerdings ihre internen Netzwerke auf offene Ports scannen.
Die bei einem Port-Scan gewonnenen Daten können sowohl für Angriffe als auch für Gegenmaßnahmen genutzt werden. Ein Angreifer kann die dabei gewonnenen Daten zum Beispiel nutzen, um durch Schwachstellen gefährdete Systeme zu finden, in die er dann später eindringen kann.
Verteidiger nutzen dieselben Daten und vergleichbare Methoden. Sie haben dabei jedoch das Ziel, die identifizierten Systeme vor weiteren Angriffen zu schützen. Die bei ihren Scans gesammelten Daten können mit Informationen aus Tools zum Management von Endpoints oder Schwachstellen korreliert werden, um Systeme zu identifizieren, die gehärtet werden müssen. Diese Scans dienen auch dazu, neue Systeme im Netzwerk zu erkennen, die geschützt werden müssen. Unternehmen können zusätzlich Daten von legitimen Port-Scan-/Mapping-Datenbanken verwenden, um fehlerhafte Konfigurationen ihrer Systeme oder Netzwerke schneller zu erkennen.
Die unterschiedlichen Arten von Port-Scans
Die simpelste Methode, um einen Port-Scan durchzuführen, sind kontinuierlich gesendete Daten an einen bestimmten Host. Jedes der aufeinander folgenden Pakete wird dabei mit einer aufsteigenden Port-Nummer nacheinander an die IP-Adresse des Hosts geschickt. Wenn eines dieser Pakete einen offenen Port erreicht, antwortet das Zielsystem auf die Anfrage mit einer passenden Antwort. So erfährt der Angreifer, dass dieser Port offen ist.
Meist werden für diese Art von Port-Scan-Angriffen sogenannte TCP-SYN-Pakete verwendet. Sie dienen dazu, neue TCP-Verbindungen zu öffnen. Andere Attacken nutzen dagegen ACK-FIN- oder ACK-RST-Pakete, die ebenfalls zuverlässig für Antworten von offenen Ports sorgen. TCP-Port-Scanning ist die am häufigsten verwendete Methode, wenn ein Port-Scan-Angriff durchgeführt wird. Das liegt daran, dass das TCP-Protokoll vorsieht, dass ein Zielsystem auf eingehende Pakete zu antworten hat, wenn es ihm möglich ist.
Darüber hinaus gibt es eine weitere Möglichkeit, um Port-Scans zu kategorisieren. So spricht man von vertikalen Scans, wenn mehrere Ports nacheinander an einer einzigen IP-Adresse versucht werden, und von horizontalen Scans, wenn ein bestimmter Port an mehreren unterschiedlichen IP-Adressen geprüft wird.
Wie sich Port-Scan-Angriffe erkennen lassen
Unternehmen sollten aggressive Port-Scans unterbinden, wenn sie zu Störungen an ihrem Netzwerk-Perimeter führen. Wenn das jedoch nicht der Fall ist, können sie auch einfach ignoriert werden. Stattdessen sollten sich ihre Security-Spezialisten lieber auf gefährlichere Gebiete konzentrieren.
Aber bevor ein Port-Scan überhaupt erst einmal gestoppt werden kann, muss er erkannt werden. Wenn sie richtig installiert und konfiguriert wurden, dann sind moderne Security-Appliances sehr effektiv, wenn es um das Entdecken von Port-Scans geht. Dazu überwachen sie alle Verbindungsversuche zu den internen Systemen in einem Netzwerk.
Die meisten Security-Appliances erkennen wiederkehrende Port-Scans von ein und derselben Quelle, gleichgültig ob dabei einzelne oder mehrere Hosts im Fokus stehen. Um möglichst effektiv zu sein, werden bei den meisten Port-Scans viele unterschiedliche Ports an vielen unterschiedlichen Systemen in einer relativ kurzen Zeitspanne getestet. Dieses Vorgehen erleichtert es, solche Port-Scans zu erkennen.
Andere, vorsichtiger vorgehende Angreifer ziehen es aber vor, über einen deutlich längeren Zeitraum nach offenen Ports zu suchen. In diesem Fall ist es erheblich schwieriger, einen Port-Scan-Angriff zu erkennen. Ein Nachteil für diese Angreifer ist allerdings, dass es Stunden, Tage oder sogar noch länger dauert, bis sie ein verwundbares System gefunden haben.
