NetzwerkscanHeute möchten wir Ihnen gerne erklären, was genau ein Portscan ist. Denn diese Frage mag aufkommen, wenn man sich um die Sicherheit des Firmennetzwerks Sorgen macht.

In dem weltweiten Datennetz können Computer mit Hilfe der IP-Adresse identifiziert werden. Bei diesen Adressen wie beispielsweise 162.50.123.4 stellen Ports eine weitere logische Unterteilung dar.

Wer sich seine IP-Adresse als Telefonnummer vorstellt, die er wählt, damit er einen Teilnehmer erreicht, dann stellt der Port die Durchwahl dar, damit man in der Firma mit einer gewissen Abteilung verbunden wird. Über einen Port wird jeder Dienst im Internet über UDP/IP oder TCP/IP abgewickelt. Die Dienste reichen von der Übertragung von Daten, über das Abholen von Mails bis zur Übertragung von Webseiten. Die Zahl der Ports ist verglichen mit den IP-Adressen wesentlich geringer. Es sind ganz exakt 65.536 und diese sind in unprivilegierte und privilegierte Ports untergliedert. Die Ports von 1 bis 1023 sind privilegiert und alle anderen sind unprivilegiert. Es handelt sich dabei um eine historische Unterscheidung und sie entstand in der Unix-Welt damit, weil man bei den Ports bis 1024 für den administrativen Zugriff root-Rechte benötigt. Dies bedeutet, man muss der Administrator von dem System sein. Diese speziellen Rechte werden für die unprivilegierten Ports nicht benötigt. Internetsurfer nutzen täglich Ports und diese sind beispielsweise 110, 80, 53, 25, 21 und 20. Die Übertragung einer Webseite, sprich die http-Verbindung wird somit meist unter dem Port 80 angeboten. Wer also eine Internetseite eingibt, der äußert damit nur, dass er mit dem Port 80 der gewünschten Seite verbunden wird.

Mit den Ports 21 und 20 TCP arbeitet die Übertragung von Dateien, am Port 53 UDP und TCP arbeitet die Zuordnung von Namen zu IP-Adressen, an Port 110 TCP arbeitet die Abholung von E-Mails, am Port 25 TCP der Versand von E-Mails und am Port 80 TCP die Übertragung von Webseiten.

Wofür der Portscan?

Bei dem Portscan handelt es sich um einen gezielten Versuch, dass offene Ports und somit angebotene Dienste bei einem Rechner untersucht werden. Der Scan kann mit einem Menschen verglichen werden, welcher von Auto zu Auto auf einem Parkplatz läuft und testet, ob eine Türe nicht abgeschlossen ist. Unnötige Löcher können bei den Ports abgedichtet werden oder aber jeder wird daran erinnert, dass die Türen wenn möglich und nötig abgesperrt werden. Bei dem Scan handelt es sich somit um eine Technik, damit der Zustand von einem Computer über das Netzwerk untersucht werden kann. Der Beobachter schickt dafür systematisch spezielle Datenpakete an die unterschiedlichen Ports von einem Zielsystem. Die Fehlermeldungen und Antworten werden dabei analysiert. Über den Zustand von einem Zielsystem kann ein Port-Scanner-Programm in wenigen Minuten viele Informationen liefern. Zu den Informationen bei einem Portscan gehört, welche Ports geschlossen oder geöffnet sind, wie lange ein PC schon eingeschaltet ist, um welches Betriebssystem es sich bei dem Computer handelt und welche Arten von Server-Programmen aktiv sind.

Bei Systemverwaltern stellt der Portscan ein sehr wichtiges Arbeitsmittel dar. Damit wird ermöglicht, dass Netzwerke kontrolliert werden. Im eigentlichen Sinne handelt es sich nicht um einen Angriff, denn die untersuchten System werden nicht beeinträchtigt. Der Scan liefert allerdings einige Informationen, die für einen potentiellen Angreifer in der Praxis interessant sind. Nicht selten gehen die Scans den eigentlichen Angriffen voraus.

Der Portscan wird von vielen Überwachungssystemen und Systemverwaltern als Beginn von einem Angriff gesehen und dann wird entsprechend reagiert.

Wichtige Informationen zum Portscan

Mit Hilfe von dem Scan ist es möglich, dass festgestellt wird, welche Ports bei einem Computer aktiv sind.

Der Portscanner ist dabei ein Programm, wo an den Zielrechner Datenpakete gesendet werden und die Antwort wird dann analysiert. Der Scanner kann meist erkennen, welche Dienste aktiv sind und welches Betriebssystem ein Zielrechner hat. Bei dem Portscan ist das Prinzip sehr einfach. Schlicht wird versucht, dass zu dem Zielrechner eine Verbindung aufgebaut wird. Es wird eine aufsteigende Portnummer genutzt, angefangen bei einem Startwert oder bei Port Nr. 1.

Das Paket, das an einen Zielrechner gesendet wird, wird als SYN-Paket bezeichnet. SYN steht hierbei für Synchronisieren und damit wird die Anforderung einer Verbindung gemeint. Nun hat ein Zielrechner drei Möglichkeiten, wie dieser antworten kann. Ist der Port offen, dann wird mit einem ACK Paket geantwortet und ACK steht für Acknowledgement. Dies bedeutet, dass die Verbindung bestätigt wird. Ein RST-Paket wird von dem Zielrechner gesendet, wenn der angesprochene Port geschlossen ist. RST steht dabei für Reset und die Verbindung kann oder will bei dem Computer nicht angenommen werden.

Eine dritte Möglichkeit wäre, dass der Zielrechner nicht antwortet. Der gewünschte Port gilt dann als versteckt und ist weder als geschlossen, noch als offen eingestuft. Das Verhalten entspricht den Vorgaben von TCP/IP und somit sind die Portscans keine Angriffe und auch nicht schädlich. Nicht selten heißt es, dass Hacker die Scans nutzen, damit sie fremde Computer angreifen. Es besteht die Möglichkeit, dass ein Computer mit dem Portscan blockiert wird und dann kann dieser auch keine Verbindungen mehr aufbauen. In erster Linie ist der Scan allerdings immer eine Möglichkeit, damit die Computer und Netzwerke überprüft werden.

Beratung bei Sicherheitsthemen

Wir sind Ihr Ansprechpartner, wenn sie Hilfe bei der Überprüfung von Sicherheitsthemen brauchen. Suchen Sie gezielt nach einem Dienstleister, der Ihr Netz auf Sicherheitslücken überprüft, sind wir gerne für Sie da. Auch die anschließende, laufende Betreuung möchten wir gerne für Sie übernehmen. Rufen Sie uns doch einfach an und unser IT-Service hilft Ihnen gerne.

Jens Hagel
Folge mir

Jens Hagel

Geschäftsführer bei hagel IT-Services GmbH
Gründer und Inhaber der Firma hagel IT-Services GmbH in Hamburg. Natürlich leidenschaftlicher Technikfan und immer auf der Suche nach Verbesserungen.
Jens Hagel
Folge mir

Kommentarbereich geschlossen.