Securitycheck: Alle Schotten dicht?

• Home
• Magazin
• Know How
• IT-Security Themen & Trends

Ist ein TCP/IP Port erst mal offen, kann er jederzeit für Angriffe auf einen Rechner oder ein Netzwerk verwendet werden. Wer sich dagegen schützen möchte, muss zuvor herausfinden, ob und welche Ports offen stehen. Der neue Portscan von Securitymanager.de und den Frankfurter Sicherheitsspezalisten der arago AG überprüft daher Computer und Netzwerke auf gefährliche Lecks.

Zum kostenlosen Portscan-Sicherheits-Check...

Moderne Betriebssysteme erlauben es ohne Probleme, Computer über ein gemeinsames Netzwerk miteinander zu verbinden. Damit lassen sich Dateien gemeinsam verwalten, auf Anwendungen dezentral zugreifen oder Drucker verteilt nutzen. Innerhalb eines LAN ist der Zugriff sehr einfach und regelmäßig sind keinerlei oder nur wenige Sicherheitshürden zu überwinden. Dies macht den Netzwerkzugriff sehr bequem - allerdings kann diese Bequemlichkeit zum gefährlichen Einfallstor werden: Dann nämlich, wenn der Rechner mit dem Internet verbunden ist und alle anderen Rechner ebenfalls auf Daten, Dienste und Anwendungen zugreifen können.

Mit einem Portscan können Sie ihr Netzwerk auf potenzielle Sicherheitslücken und auf für Angreifer offene Zugänge testen. Hierzu überprüft die Anwendung, über welche Ports Ihrer Internetanbindung der Zugang zum Computer oder Netzwerk möglich ist.

Neben der Aufdeckung von potenziellen Sicherheitslücken kann das Netzwerk auf einen möglichen Trojanerbefall hin überprüft werden. Zahlreiche Trojaner benutzen für den Datenaustausch spezifische Ports, so dass durch die Entdeckung bestimmter offener Ports auf einen Trojanerbefall des Systems geschlossen werden kann. Da das bloße Vorhandensein eines entsprechenden Ports jedoch nicht zwingend einen Trojanerbefall bedeutet, sollten Fachleute das Netzwerk unbedingt einer weitergehender Prüfung unterziehen.

Zwei Möglichkeiten stehen für einen Test offen: Mit dem einfachen Scan können Sie die Überprüfung auf das notwendige Minimum und damit auf eine überschaubare Zeitdauer beschränken. Die überprüften Ports 1 bis 1023 werden als "priviligierte Ports" oder als "well-known ports" bezeichnet, über die die wichtigsten Dienste wie E-Mail, HTTP oder FTP kommunizieren. Der Komplett-Scan dagegen überprüft sämtliche möglichen Ports von 1 bis 65535. Die Dauer des Scans ist u.a. davon abhängig, ob und wie eine Firewall eingerichtet ist.

Port offen - oder nicht?

Jede TCP/IP Verbindung zu einem Rechner richtet sich an einen bestimmten Port. Diese Ports sind durchgehend nummeriert von 1 bis 65535 und entsprechen in etwa der Angabe 'Zimmernummer' bei einer Postanschrift eines Hotelgastes. Sie ermöglichen es, dass auf einem Rechner mehrere Programme gleichzeitig auf Verbindungen warten. Ein Server kann so Webseiten anbieten (Port 80) und gleichzeitig Mails entgegennehmen (Port 25) oder über POP3 bereitstellen (Port 110). Ports bis 1024 sind reserviert für Systemdienste.

Das Tool untersucht nun, ob sich auf den überprüften Ports ein Dienst meldet. Der dahinter liegende Gedanke: Jeder Dienst, den ein Rechner nach außen hin anbietet, stellt ein potenzielles Sicherheitsloch dar, dass eventuell ausgenutzt werden kann. Läuft ein solcher Dienst ohne Wissen des Besitzers ist diese Vermutung sogar recht wahrscheinlich. Das Testresultat erhalten Sie nach Ablauf des Scans per Mail. Die Auswertung erfolgt auf der Basis, dass für jeden Port einer der drei möglichen Werte ermittelt wurde:

Open:
An diesem Port meldet sich ein Dienst oder eine Anwendung. Um nicht wirklich in Ihr Netzwerk eindringen zu müssen sowie um Missbrauchsversuche bereits im Keim ersticken zu können, überprüft der Test nur, ob dieser Port auf Anfragen reagiert. Welcher Dienst sich meldet, wird nicht ermittelt. Grundsätzlich sollten sich auf einem standardmäßig konfigurierten Windows-PC auf keinem der Ports eine Anwendung melden. Ein auf Port 80 antwortender Dienst könnte allerdings zum Beispiel von einem Personal Webserver - wie er zum Beispiel bei Webeditoren als Draufgabe zu finden ist - herrühren. Auf Port 139 könnte sich Windows (NetBIOS) selber melden - zumindest, wenn die Bindungen fehlerhaft konfiguriert sind.

Closed:
Dies sollte den "Normalfall" darstellen: Auf dem Port antwortet keine Anwendung - und damit gibt es keine Angriffsmöglichkeiten über diesen Port.

Stealth:
In diesem Fall hat der Portscan weder ein open noch ein closed feststellen können - nicht mal den Port selbst hat er gefunden. In diesem Fall verzögert sich die Überprüfung des nächsten Ports automatisch um zwei Sekunden; die Testlaufzeit kann sich daher theoretisch bis zu über 36 Stunden (65535 x 2 Sekunden) hinziehen. Damit schließt der Scanner aus, dass das Rücklaufsignal des Tests nicht durch Netzwerk- oder Übertragungsprobleme auf der Strecke geblieben ist. Denn im 'Stealth' Fall meldet sich auf dem ausgewählten Port gar nichts, so dass ein Nichtvorhandensein vorgetäuscht wird. Üblicherweise beantwortet das Betriebsystem eine Anfrage auf einen Port, der nicht verwendet wird, mit einer Fehlermeldung. Das macht es einem Angreifer sehr leicht, denn auf die ins Dunkle gestellte Frage "Ist da wer?" bekommt er laut ein "Nein" zugerufen. Damit weiß er, dass auf der Gegenstelle tatsächlich ein Rechner arbeitet und somit eine Verbindung zu diesem Port prinzipiell möglich ist.

Schutz

Wie beschrieben schweigt der Rechner im Stealth-Modus völlig. Damit beantwortet er nicht nur keine Anfragen - blockiert also jegliche Verbindung über den betreffenden Port -, sondern lässt diese auch völlig spurlos verschwinden. Diesen Schutz besorgt typischerweise eine Firewall, mit der sich einzelne Ports verschließen und damit eine unkontrollierte Kommunikation über diese Kanäle verhindern lassen. Inwiefern dieser Stealth-Modus aus Expertensicht tatsächlich sinnvoll ist, ist umstritten und die Antwort auf diese Frage wahrscheinlich eher philosopischer Natur.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema