|
|
Portscans |
 |
Was sind eigentlich Portscans? Im realen Leben
könnte man es mit der Prüfung, ob sich an einer bestimmten Stelle eine Tür
öffnen lässt, vergleichen.
Gleichermaßen lässt sich aus dem realen Leben ein Verhältnis zu Portscans
herstellen: Wenn ich in einer Ladenstraße zur Geschäftszeit probiere, eine
Ladentür zu öffnen, ist das ein völlig normaler Vorgang. Dabei ist zu beachten,
im Internet ist immer Geschäftzeit. Sollte ich jedoch in einem Wohnhaus
probieren, ob eine oder mehrere Türen offen sind, so wird mein Verhalten wohl nicht als normal
angesehen werden, mir würden sofort unlautere Absichten unterstellt werden.
Ähnlich verhält es sich mit Portscans im Internet.
Im Internet findet, vereinfacht gesagt, die Kommunikation zwischen den
verschiedenen Computern über Ports statt. Jeder Computer verfügt dazu auf jedem
Netzwerkinterface über 65.535 Ports, denen teilweise feste Dienste zugeordnet
sind, die jedoch auch dynamisch verwendet werden.
Nun ist der Zugriffsversuch auf einen Port des Computersystems nicht gleich
eine Katastrophe, hier zählt, ähnlich wie bei unserem Türbeispiel in einem
Wohnhaus, die Verhältnismäßigkeit. Nachfolgend ein Bespiel, welches - ganz klar
-
nicht ein zufälliger Zugriff auf einen Computer ist, sondern eher schon ein
starkes Rütteln an vielen verschiedenen Türen:
| Zeit | IP | Port | FW-IP | Port | Proto | Flag |
| 21.09.02 17:12:14 | 80.13.156.51 | 61688 | xxx.xxx.xxx.xxx | Telnet | Tcp | SYN |
| 21.09.02 17:12:14 | 80.13.156.51 | 61687 | xxx.xxx.xxx.xxx | 25 | Tcp | SYN |
| 21.09.02 17:12:14 | 80.13.156.51 | 61686 | xxx.xxx.xxx.xxx | 110 | Tcp | SYN |
| 21.09.02 17:12:14 | 80.13.156.51 | 61685 | xxx.xxx.xxx.xxx | 139 | Tcp | SYN |
| 21.09.02 17:12:14 | 80.13.156.51 | 61684 | xxx.xxx.xxx.xxx | FTP | Tcp | SYN |
| 21.09.02 17:12:14 | 80.13.156.51 | 61683 | xxx.xxx.xxx.xxx | 22 | Tcp | SYN |
| 21.09.02 17:12:14 | 80.13.156.51 | 61682 | xxx.xxx.xxx.xxx | DNS | Tcp | SYN |
| 21.09.02 17:12:13 | 80.13.156.51 | 61675 | xxx.xxx.xxx.xxx | Telnet | Tcp | SYN |
| 21.09.02 17:12:13 | 80.13.156.51 | 61674 | xxx.xxx.xxx.xxx | 25 | Tcp | SYN |
Hierbei handelt es sich also ganz klar um einen
Angriffsversuch, der von einer Firewall, falls vorhanden, abgewehrt und im Logbuch aufgezeichnet
wird. Neben Zeitpunkt und Quellport des Angriffs wird auch die IP-Adresse des
Angreifers aufgezeichnet.
Portscan können wahlweise eine bestimmte Portauswahl haben, einen bestimmten Portbereich umfassen oder einfach auf allen Ports *anklopfen*.
|
|
| gern gescannt... |
|---|
| Port | Dienst |
|---|
| 20 | ftp-data |
| 21 | ftp-control |
| 22 | ssh |
| 23 | telnet |
| 25 | smtp |
| 53 | dns |
| 67 | bootps |
| 68 | bootpc |
| 69 | tftp |
| 70 | goopher |
| 79 | finger |
| 80 | http |
| 88 | kerberos |
| 109 | pop2 |
| 110 | pop3 |
| 111 | sunrpc |
| 113 | auth |
| 119 | nttp |
| 123 | ntp |
| 137 | netbios-ns |
| 138 | netbios-dgm |
| 139 | netbios-ssn |
| 143 | imap |
| 389 | ldap |
| 636 | ssl-ldap |
| 1433 | ms-sql-s |
| 1434 | ms-sql-m |
| 3128 | squid |
| 8080 | www-proxy |
|
Nun sind Portscans an sich keine Katastrophe,
jedoch sind bestimmte Vorsichts- und Überwachungsmaßnahmen anzustreben, um
Standardangriffen wirksam begegnen zu können. Die klassischen Schutzmethoden wie
Unternehmensfirewall, NAT-Router, Proxyserver oder Personal Firewall, nach
Möglichkeit im kombinierten Einsatz, stellen zumindest den Mindeststandard dar, der angestrebt werden sollte.
Nach unseren Untersuchungen, zuletzt im Juli 2002
durchgeführt, sind zumindest bei 25 von 100 Einwahlverbindungen keine der oben
genannten Schutzmaßnahmen aktiviert, etwa 5 von 100 Systemen bieten Ihre Datei-
und Druckerfreigaben ungewollt weltweit zur Nutzung an.
Häufig werden bestimmte Ports von
Filesharingsoftware angesprochen, die Logdateien der Firewalls und Router werden gelegentlich Logeinträgen von derartigen Verbindungsversuchen geradezu geflutet.
Im Regelfall werden Internetzugänge mit wechselnder IP-Adresse (dynamischer IP) verwendet. Wenn der vorherige Inhaber der nun Ihnen zugeteilten IP-Adresse im Filesharing-Bereich (sehr) aktiv war, werden Sie mit diesem Problem massiv
konfrontiert werden. Tatsächlich stellen diese Zugriffe jedoch keine *echten* Attacken auf Ihr System dar, es handelt um weithin harmlose Zugriffsversuche der Filesharingsoftware anderer Rechnersysteme.
Die verwendeten Ports dieser Filesharing-Software sind folgende:
| Port |
Anwendung |
| 1214 |
Morpheus / Kazaa |
| 4662 |
Edonkey |
| 6346 |
Gnutella |
|
