Portscans
Eine wichtige Sache die ein Angreifer braucht um erfolgreich zu sein, ist ein Angriffsziel. Mit den Mitteln des Social Engineering kann er die Adressen von mit dem Netzwerk verbundenen Systemen herausbekommen. Sollte es sich hierbei nicht um eindeutig durch irgendeine Eigenschaft gekennzeichnete Server für bestimmte Zwecke handeln (so wird ein Webserver durch das zumeist vorangestellte www als solcher eindeutig identifiziert), so stellt sich die Frage, welche Dienste auf diesem System laufen. Aber auch wenn man bei einem Server schon weiss welcher Dienst dort sicher läuft, so kann es interessant sein herauszubekommen, ob nicht noch ein anderer Dienst auf dem selben System aktiv ist.
Hier nun setzen die Portscanner ein. Diese tun nichts anderes als Ports zu scannen und eine (mehr oder weniger ausführliche) Liste mit den Ergebnissen zu erstellen. Obgleich nmap der bekannteste Vertreter dieser Art ist und es Signaturerkennungen für diesen und andere Vertreter seiner Art gibt, die ein IDS erkennen kann, sollte ein Systemadministrator darauf gefasst sein, dass ein von ihm administrierter Server gescannt wird, ohne das er es merkt.
Im strengen Sinne der Definition kann ein gezielter Versuch eine Verbindung zu einem bestimmten Zielport aufzubauen auch als Portscan aufgefasst werden. Und in der Tat ist es so, dass diese Vorgehensweise genau dann Sinn macht, wenn man genau einen Exploit hat, der halt nur funktioniert, wenn man auf diesem so getesteten Port genau den Dienst XYZ vorfindet. Scriptkiddies oder aber auch Würmer brauchen in der Regel überhaupt keine andere Scanmethode.
Aber auch in anderen Szenarien ist eine solche Vorgehensweise denkbar. Sollte der Angreifer genügend Informationen über sein Ziel haben und zum Beispiel wissen, dass nur Serverapplikationen aus dem Hause XXX Verwendung finden, die überdies höchstens ein Jahr alt sind, so wäre die Vorbereitung eines bestimmten Exploits kein Problem mehr und er bräuchte nur das geeignete Ziel aufzuspüren.
Doch betrachten wir einmal was ein Systemadministrator gegen diese Portscans unternehmen kann:
Gar nichts!! Und im Grunde ist dies auch nicht nötig. Portscans sind weder rechtlich in irgendeiner Form
unzulässig (auch wenn viele dies gerne so sähen), noch sind sie gefährlich (was nicht minder
viele glauben). Wären sie rechtlich unzulässig, dann wäre folgendes Beispiel ebenfalls
unzulässig:
Ein Kunde erinnert sich, dass er in der Werbung schon mal den Firmennamen
XYZ gehört hat. Da er nicht weiss wie im Internet typischerweise Namen für Webserver gebildet werden,
versucht er (ohne zu Wissen ob das richtig ist!!!) http://xyz.de in seinen Webbrowser
einzugeben. Wenn dies erfolgreich ist, erfreut ihn (und den Betreiber der Site) dies zwar, aber technisch gesehen ist es ein Portscan.
Die Gefährlichkeit von Portscans ist auch eher fraglich. Denn prinzipiell passiert durch den Portscan ja gar nichts.
Da ein Portscan nur der Versuch ist einen Dienst auf einem Server zu finden, gibt es nur zwei
Möglichkeiten: Der Dienst läuft nicht, und der Verbinungsaufbau scheitert, oder der Dienst läuft. Und in
diesem Fall sollte es so sein, dass der Administrator das auch so will. Ergo ist der Verbindungsaufbau als solches auch
zu begrüssen. Damit nachdem die Verbindung aufgebaut wurde kein Unfug damit getrieben
werden kann, oder gar eine Verbindung zu einem Dienst aufgebaut werden kann, den der Administrator nicht zur
Verfügung stellen wollte, sollte jeder Server einem Hardening (Abhärten) unterzogen werden.
Nichtsdestotrotz sollte ein Systemadministrator Portscans die er erkennt und als ungewöhnlich einstuft als
Warnzeichen nehmen. Deuten diese doch darauf
hin, dass ein Angriff vorbereitet werden sollte. In diesem Fall sollte Stufe 1 eines Notfallplans für die Datenverarbeitung,
der auf jeden Fall existieren sollte, greifen. In dieser Stufe sollte das Feststellen der Systeminegrität, eine
genaue Analyse der Logfiles sowie eine Recherche der Hintergründe des Vorfalls (betroffene
Sicherheitslöcher, Ausgangspunkt des Angriffs, Art des Angriffes und ähnliches) durchgeführt werden.
