Sergey Nivens - stock.adobe.com
Wie kann man Port-Scan-Angriffe erkennen und stoppen?
Ein Port-Scan gegen ein Netzwerk richtet zwar keinen eigentlichen Schaden an. Er dient aber meist dazu, weitere Informationen zu sammeln, um dann einen echten Angriff einzuleiten.
Wenn ein Router wiederholt mit Brute Force durchgeführte Ereignisse meldet, handelt es sich meist um vorbereitende Angriffsversuche mit Hilfe eines Port-Scanners. Das Suchen nach offenen Ports ist eine der bei Hackern beliebtesten Methoden, um Informationen über ein Zielnetzwerk zu sammeln. Bedauerlicherweise sind Port-Scans sehr leicht durchzuführen. Experten gehen zudem davon aus, dass alle mit dem Internet verbundenen Geräte über kurz oder lang auf offene Ports getestet werden.
Ein Port ist der Endpunkt in einer Kommunikation, über den Informationen bewegt werden. Port-Nummern befinden sich in einem Bereich von 0 bis 65.535. Häufig verwendete Ports sind zum Beispiel der Port 80 für HTTP (Hypertext Transfer Protocol), Port 443 für HTTPS (Hypertext Transfer Protocol Secure) und Port 465 für Mail-Server, die das gängige SMTP-Protokoll (Simple Mail Transfer Protocol) nutzen.
Ein Port-Scanner ist eine Anwendung, mit der herausgefunden werden kann, ob ein Port an einem mit dem Internet verbundenen Gerät entweder offen oder geschlossen ist. Dazu werden mit dem Scanner zum Beispiel auf allen 65.536 Ports Verbindungsanfragen gesendet und anschließend aufgezeichnet, ob und wie die jeweiligen Ports reagieren. Die Art der gesendeten Antworten gibt also Rückschlüsse darauf, ob der jeweilige Port in Benutzung ist oder nicht.
Das Scannen nach offenen Ports ist aber kein richtiger Angriff. Es gehört meist zur sogenannten Erkundungsphase. In dieser Phase versuchen der oder die Hacker, so viel wie möglich an Informationen über das ins Auge gefasste Ziel herauszufinden.
Ein weiterer Grund für einen Port-Scan ist, möglichst das auf dem Zielsystem verwendete Betriebssystem zu identifizieren und festzustellen, welche Anwendungen und Dienste darauf laufen. Aus diesen Daten lässt sich dann feststellen, wie das System vermutlich geschützt ist und welche Schwachstellen zu erwarten sind, die für Angriffsversuche ausgenutzt werden können. Bedenken Sie, dass Port-Scans sowohl von den Angreifern als auch den Verteidigern eines Systems durchgeführt werden können. Dazu später mehr.
Schutzmaßnahmen gegen Port-Scans
Wie also kann sich ein Unternehmen gegen Port-Scans schützen und welche Maßnahmen sollte es ergreifen, um sein Netzwerk zu sichern?
Enterprise-Firewalls können auf drei Arten auf einen Port-Scan reagieren: Offen, geschlossen oder indem sie eine Antwort komplett verweigern. In letzterem Fall spricht man auch vom Blockieren eines Ports. Wenn ein Port dagegen offen ist – dieser Zustand wird auch als „listening“ beziehungsweise „lauschend“ bezeichnet – dann wird er auf die Anfrage reagieren.
Ein geschlossener Port wird ebenfalls mit einer Antwort reagieren. Sie lautet hier jedoch, dass die Anfrage zwar erhalten, aber abgelehnt wurde. Dieses Vorgehen wurde entwickelt, um legitime Anfragen beantworten zu können, damit das anfragende System weiß, dass es keine weiteren Verbindungsversuche mehr starten muss.
Diese Antwort legt aber auch offen, dass die getestete IP-Adresse durch ein wie auch immer geartetes Computersystem genutzt wird. Aus diesem Grund gibt es noch die dritte Möglichkeit, auf eine Anfrage überhaupt nicht zu reagieren. In diesem Fall antwortet die Firewall auf eine Anfrage an einen geschlossenen oder verborgenen Port einfach gar nicht, die Anfrage wird also ignoriert beziehungsweise blockiert. Interessanterweise verletzen blockierte Ports jedoch die in den TCP/IP-Protokollen festgelegten Regeln.
Eine Firewall muss die Antworten eines Computers auf Anfragen an seine geschlossenen Ports in der Regel deswegen explizit unterdrücken. Security-Teams befinden sich außerdem immer wieder in der Position, dass die Firewall eines Unternehmens nicht automatisch alle Netzwerk-Ports blockiert.
Wenn beispielsweise der vom Identification Protocol benötigte Port 113 vollständig geblockt wird, dann werden Verbindungen zu entfernten Servern (etwa für Internet Relay Chat) entweder verzögert oder sogar komplett verhindert. Aus diesem Grund setzen viele Firewalls den Port 113 auf geschlossen und blockieren Verbindungsanfragen an ihn nicht vollständig.
Einige moderne Firewalls sind zudem in der Lage, ihr Verhalten dynamisch an die aktuelle Situation anzupassen. Das heißt, dass sie zum Beispiel einen bislang offenen oder geschlossenen Port automatisch blockieren, wenn eine als verdächtig eingestufte IP-Adresse ein- oder mehrmals auf ihn zugreifen will. Die meisten Firewalls können außerdem so eingestellt werden, dass sie den Admin informieren, wenn sie zahlreiche Verbindungsanfragen an unterschiedliche Ports registrieren, die von einzelnen Adressen ausgehen.
Aber auch darauf haben die Angreifer bereits eine Antwort gefunden, indem sie ihre Port-Scans heimlich durchführen. So ist es etwa möglich, nur immer eine kleine Zahl von Ports zu scannen, zum Beispiel maximal 20. Oder die Hacker verwenden einen der verschiedenen verfügbaren Stealth-Modi, um einer Entdeckung zu entgehen. Zum Beispiel können sie einen sogenannten Low-and-Slow-Ansatz wählen, bei dem die Port-Scans über einen sehr viel längeren Zeitraum durchgeführt werden als ansonsten üblich.
Dadurch wird die Chance verringert, dass die Firewall einen Alert auslöst. Darüber hinaus können sie weitere Techniken nutzen, die verhindern sollen, dass ihre Anfragen registriert und protokolliert werden.
Arten von Port-Scans
Es gibt verschiedene Methoden und Techniken, um einen Port-Scan durchzuführen. Ein paar Beispiele:
- Ein Ping- oder Sweep-Scan testet denselben Port auf verschiedenen Computern, um herauszufinden, ob sie geöffnet sind. Dafür werden meist ICMP-Echo-Requests (Internet Control Message Protocol) verwendet. Mit ihnen lassen sich fremde Computer aufspüren, die auf diese Pakete reagieren.
- Ein TCP-SYN-Scan, auch TCP-half-open-Scan genannt, gehört zu den am häufigsten verwendeten Port-Scans. Dabei versendet der Angreifer TCP-SYN-Pakete, um eine Verbindung zu initiieren, die dann aber nicht abgeschlossen wird.
- Ein TCP-Connect- oder Vanilla-Scan funktioniert ähnlich wie ein TCP-SYN-Scan und versendet ebenfalls Pakete, um eine Verbindung zu initiieren. Diese Kommunikation wird aber mit Hilfe von ACK-Paketen abgeschlossen.
- Bei einem Strobe-Scan (Englisch für Blitzlicht) werden immer nur einige wenige Ports gescannt, meist weniger als 20.
- Ein UDP-Scan (User Datagram Protocol) sucht nach offenen UDP-Ports.
- Bei einem FTP-Bounce-Scan wird ein FTP-Server eingesetzt, um mit seiner Hilfe andere Hosts zu scannen. Solche über einen FTP-Server geleiteten Scanversuche dienen vor allem dazu, den eigentlichen Urheber des Angriffs zu verschleiern.
- Bei einem fragmentierten Scan wird der TCP-Header dagegen auf mehrere Pakete verteilt. So soll eine Entdeckung durch die schützende Firewall erschwert werden.
- Stealth-Scans nutzen verschiedene weitere Techniken zum Suchen nach offenen Ports, die verhindern sollen, dass die Verbindungsanfragen bemerkt und direkt bekämpft werden.
Wie sich Port-Scans gegen ein Netzwerk verhindern lassen
Es muss betont werden, dass es unmöglich ist, den Vorgang des Port-Scannens zu verhindern, da praktisch jedermann eine IP-Adresse auswählen und auf offene Ports scannen kann.
Aus diesem Grund und um ein Unternehmen effektiv zu schützen, sollten die Security-Teams zunächst mit einem eigenen Scan herausfinden, was ein Angreifer erfahren würde, wenn er einen Port-Scan gegen ihr Netzwerk durchführt. Das ist der Punkt, wie oben bereits kurz erwähnt, an dem ein Port-Scan durch die Verteidiger ausgeführt werden kann.
Ein durch das Unternehmen erwünschter Port-Scan kann zum Beispiel mit Hilfe von Nmap erledigt werden, einem frei verfügbaren Port-Scanner, den auch Angreifer häufig verwenden. Darüber hinaus gibt es aber noch zahlreiche weitere für diese Aufgabe geeignet Tools. Nachdem die Security-Admins herausgefunden haben, welche Ports mit der Statusmeldung „offen“ reagieren, sollten sie prüfen, ob diese wirklich von außerhalb des Firmennetzes erreichbar sein müssen.
Wenn dies nicht der Fall ist, sollten sie durch die Mitarbeiter entweder geschlossen oder blockiert werden. Wenn sie jedoch benötigt werden, dann sollte geprüft werden, welche Schwachstellen sich dadurch ergeben und welche Exploits drohen. Anschließend müssen etwa alle erforderlichen Patches eingespielt werden, um das Netzwerk zu schützen.
Firewalls und IDS-Systeme (Intrusion Detection Systems) sollten zudem so konfiguriert werden, dass sie alle ungewöhnlichen Verbindungsanfragen erkennen und blockieren. So könnte ein Angreifer zum Beispiel nach der Vollendung seines Port-Scans weitere Tests durchführen, um seine Ergebnisse zu bestätigen oder um weitere Informationen zu sammeln.
Das dient dann meist dazu, seine eigentliche Attacke zu verfeinern. Das Integrieren von Daten über ungewöhnliche Aktivitäten in ein SIEM-System (Security Information and Event Management) kann zudem für ein Feedback in Echtzeit sorgen und ein Durchführen von schnellen, automatisierten Reaktionen auf solche Ereignisse ermöglichen.
Bedenken Sie aber, dass Sie vor dem Durchführen von Port-Scans oder Penetrationtests in den meisten Cloud-Umgebungen wie AWS (Amazon Web Services) eine Erlaubnis einholen sollten, um Fehlalarme zu vermeiden.
