Ports sind ein Schlüsselelement jeglicher Netzwerkkommunikation. Jene gewähren die Verknüpfung von verschiedenen Anwendungen wie auch Geräten und sind unerlässlich für die Datenübertragung im Web. Zeitgleich sind sie ein beliebtes Einfallstor für Internetganoven. Deshalb heißt es, den Schutz von Ports regelmäßig zu prüfen und potenziell gefährliche offene Ports zu schließen. Eine effektive Möglichkeit dafür ist das regelmäßige Durchführen von Port-Scans. Was das ist und wie es hierzu beitragen kann, die Netzwerksicherheit zu steigern, erfahren Sie in den nachfolgenden Abschnitten.
Qualifizierte und sichere IT-Netzwerke sind das A und O moderner Firmen. Sie gewähren die Verständigung, die Teamarbeit sowie den Tausch von Daten und Informationen in und außerhalb des Unternehmens – und tragen so zur Instandhaltung von Geschäftsabläufen und zum Erreichen von Geschäftszielen bei. Vor allem in der aktuellen Zeit, in der Unternehmen immer mehr auf Cloud Computing, Big Data wie auch digitale sowie hybride Geschäftsmodelle bauen, ist die Nutzbarkeit und Integrität von IT-Netzwerken der Dreh- und Angelpunkt für den betrieblichen Erfolg.
Somit meinen 97 % aller IT-Verantwortlichen, dass das Unternehmensnetzwerk ein relevanter Aspekt für das Unternehmenswachstum sei.
Deshalb ist es entscheidend, dass Firmen ihre IT-Netzwerke mit einer mehrschichtigen Netzwerksicherheitsstrategie vor gefährlichen Internetangriffen schützen – allen voran Angriffe gegen Standard-Ports sowie Nicht-Standard-Ports. Dabei sollte eine Netzwerksicherheitsstrategie neben der Verwendung von Firewalls, Intrusion Detection Systemen und Intrusion Prevention Systemen ebenso die Beaufsichtigung des Netzwerkverkehrs und die Durchführung kontinuierlicher Port-Scans beinhalten.
Doch was sind genau genommen Ports im Kontext von IT-Netzwerken?
Was sind Ports und Portnummern?
Einfach gesagt ist ein Netzwerk-Port ein integraler Bestandteil einer Netzwerkadresse und die zentrale Verbindung für die Interaktion zwischen netzwerkfähigen Endpunkten sowie Systemdiensten oder Programmen über das Internet oder anderweitige IT-Netzwerke. Sie werden von den Netzwerkprotokollen TCP und UDP verwendet und gewähren es dem Betriebssystem, Vernetzungen und Datenpakete an die geeignete Anwendung oder aber den passenden Dienst auf ein Zielsystem oder Absendersystem weiterzuleiten. Durch die Inanspruchnahme von Ports ist es möglich, unterschiedliche parallele Verbindungen zwischen Kommunikationspartnern aufrechtzuerhalten, ohne dass die Anwendungsbereiche sich gegenseitig beeinflussen. Dafür wird einem jeden Port eine eindeutige Portnummer von 0 bis 65535 zugeteilt, bei denen es drei Bereiche zu unterscheiden gilt:
- Standard-Ports/Well Known Ports: Die Ports 0 bis 1023 zählen als standardisierte Ports, denen die Internet Assigned Numbers Authority, kurz IANA, in der Regel feste Protokolle und Dienste zugewiesen hat.
- Registered Ports: Der Bereich der Registered Ports umfasst die Port-Nummern 1024 bis 49151 und kann für die Registrierung unterschiedlicher Anwendungen genutzt werden.
- Dynamically Allocated Ports/ Private Ports: Der Bereich der Dynamically Allocated Ports oder Private Ports enthält die Portnummern von 49152 bis 65535 und kann durch Betriebssysteme flexibel an Client-Programme zugeteilt werden.
Ein Überblick über die verschiedenen Portzustände!
Je nach Gegebenheit einer IP-Verbindung und der entsprechenden Anwendung können Netzwerk-Ports unterschiedliche Zustände annehmen. Über den Portzustand ist definiert, ob die Verbindung mit der verknüpften Anwendung möglich ist. Die drei wesentlichsten Zustände, welche ein Netzwerk-Port annehmen kann, sind: offen, geschlossen sowie gefiltert.
Ist ein Netzwerk-Port „offen“, ist die Anwendung hinter dem Port dazu bereit, Verbindungen entgegenzunehmen. Ein „geschlossener“ Netzwerk-Port bedeutet, dass es gar keine Anwendung gibt, welche über den Netzwerk-Port erreichbar ist. Verbindungsaufbauwünsche zu diesem Port werden aktiv verweigert. Ebenso durch eine Firewall geschützte Ports können den Zustand „geschlossen“ aufweisen.
In diesem Fall ist die dahinterliegende Anwendung genauso unzugänglich. Der Zustand „gefiltert“ weist andererseits darauf hin, dass eine Firewall den Netzwerk-Port schützt. Jener ist weder offen noch geschlossen, gewährt aber ebenfalls keinen Verbindungsaufbau.
Was versteht man unter Port-Scans?
Zumal eine große Anzahl offener Ports ein potenzielles Sicherheitsrisiko für das IT-Netzwerk darstellt, ist es wichtig, die offenen Ports in dem IT-Netzwerk im Auge zu haben. Eine Option ist der Einsatz von sogenannten Port-Scannern.
Port-Scanner sind Tools, welche verwendet werden, um die offenen Ports eines IT-Netzwerks ausfindig zu machen. Sie schicken dafür Anfragen an unterschiedliche Ports auf einem Zielhost und untersuchen die Antworten, um herauszufinden, welche Ports offen sind sowie welche Dienste auf diesen Ports durchgeführt werden. Je nach Art und Weise des Scanners werden dabei verschiedene Arten von Anfragen gesendet sowie unterschiedlichste Verfahren eingesetzt, um die Antworten zu verstehen.
Welche Arten von Port-Scans gibt es?
Es gibt mehrere Arten von Port-Scans, welche verwendet werden können, um potenziell gefährliche offene Ports zu entdecken. Hier hängt die Präferenz der richtigen Port-Scan-Technik von den Erwartungen wie auch Zielen des entsprechenden Unternehmens ab.
Im Folgenden werden mehrere Verfahren und ihre Funktionsweise aufgezeigt:
• TCP-Scan: Der TCP-Scan gewährt es, die Nutzbarkeit von TCP-Ports auf einem Zielhost zu überprüfen, auf die Weise, dass ein TCP-Handshake-Prozess gemacht wird. Ein zustande gekommener Handshake zeigt an, dass ein Port offen ist, während eine fehlerhafte Rückmeldung den geschlossenen Status des Ports anzeigt. Es gibt unterschiedliche Arten von TCP-Scans, etwa TCP-Connect-Scan und TCP-SYN-Scan.
• UDP-Scan: Ein UDP-Scan sendet Anfragen an alle zur Verfügung stehenden UDP-Ports auf dem Zielhost und analysiert die Antworten, um herauszufinden, welche Ports offen und welche geschlossen sind. Jener Scan kann genutzt werden, um möglicherweise verwundbare Dienste auf einem Zielhost zu erkennen, die über das User Datagram Protocol übertragen werden.
• SYN-Scan: Ein SYN-Scan, auch als Half-Open-Scan namhaft, sendet bloß eine SYN-Anforderung an den Ziel-Port, um herauszufinden, ob der Port offen ist, komplett ohne eine komplette Verbindung aufzubauen. Dieser Scan kann gebraucht werden, um möglicherweise verwundbare Dienste auf dem Zielhost zu identifizieren, auf die Weise, dass es das Transmission Control Protocol nutzt.
• Ping-Scan: Ein Ping-Scan sendet ICMP-Echo-Anfragen an den Zielhost, um die Erreichbarkeit zu überprüfen. Dieser Scan wird verwendet, um herauszufinden, ob ein spezieller Host oder eine spezielle IP-Adresse zu erreichen ist. Der Scan schickt Ping-Anfragen an einen Zielhost und wartet auf eine Antwort. Wenn eine Antwort entgegengenommen wird, bedeutet das, dass der Host zu erreichen ist, andernfalls ist er nicht erreichbar. Jener Scan ist eine einfache Vorgehensweise, um die Erreichbarkeit von Hosts im Netzwerk zu prüfen und kann sehr oft von Administratoren verwendet werden, um Komplikationen im Netzwerk zu diagnostizieren.
• Stealth-Scan: Ein Stealth-Scan probiert, eine Erkennung durch Sicherheits-Tools zu umgehen, auf die Weise, dass es die Verbindungsaufbau-Methoden abändert. Jener Scan sendet keine regulären SYN-Pakete an den Ziel-Port, sondern benutzt dagegen spezielle Flags oder ungewöhnliche Pakete, um die Antwort des Ziel-Ports zu erhalten. Der Sinn jenes Scans ist es, möglicherweise gefährliche offene Ports zu ermitteln, ohne von Firewalls sowie Intrusion Detection Systems, knapp IDS, erkannt zu werden.
Welche Vorteile bringen Port-Scans!
Port-Scans sind ein relevantes Instrument für eine Netzwerksicherheit, da sie es Unternehmen ermöglichen, mögliche gefährliche offene Ports in ihrem Netzwerk zu entdecken sowie zu beheben, bevor sie von Angreifern entdeckt und ausgenutzt werden können. Außerdem können kontinuierliche Port-Scans Firmen dabei helfen, die Leistungsfähigkeit des IT-Netzwerks zu verbessern, indem sie überflüssige Verbindungen wie auch Dienste entfernt werden, die die Netzwerkressourcen behindern.
Obendrein können Firmen durch die Identifizierung und Schließung von potenziell gefährlichen offenen Ports das Risiko von Angriffen minimieren und sich vor möglichen Schäden schützen.
Nicht zuletzt können kontinuierliche Port-Scans dazu führen, die Befolgung von Datenschutzvorschriften und anderen Compliance-Anforderungen sicherzustellen.
Fazit: Regelmäßige Port-Scans sind ein wichtiger Bestandteil der IT-Sicherheit!
Offene Netzwerk-Ports sind eine gewünschte Einladung für böswillige Bedrohungsakteure.
Deshalb ist es wichtig, dass Firmen ihre IT-Netzwerke mit einer vielschichtigen Netzwerksicherheitsstrategie vor portbasierten Internetangriffen absichern. Jene sollte zusätzlich zu der Verwendung von Firewalls, Intrusion Detection Systemen sowie Intrusion Prevention Systemen ebenso die Überwachung des Netzwerkverkehrs und die Durchführung kontinuierlicher Port-Scans inkludieren.
Sie ermöglichen es potenziell gefährliche offene Ports im IT-Netzwerk zu ermitteln und zu beheben, bevor jene von Angreifern genutzt werden können.
Möchten auch Sie die IT-Netzwerke mit effektiven Port-Scanner-Tools vor potenziell gefährlichen offenen Ports sowie zielgerichteten portbasierten Internetangriffen absichern? Oder haben Sie noch Fragen zum Inhalt? Wir helfen Ihnen gerne weiter. Für mehr Informationen klicken Sie hier.
