Wie IT-Experten bereits wissen, sind mit Ports virtuelle 16-Bit-Ports gemeint, die zur Verbindung von Systemen für die Kommunikation über Protokolle wie TCP oder UDP verwendet werden, und keine physischen Verbindungen etwa per USB, HDMI usw. Wer damit nicht vertraut ist, kann sich das OSI-Modell und die Liste der Port-Nummern ansehen. Port 80 wird beispielsweise allgemein für HTTP-Verbindungen verwendet. Viele Anwendungen kommunizieren darüber hinaus über zugewiesene Standard-Ports.
Angesichts der über 65.000 verfügbaren Ports (65.336, um genau zu sein, einschließlich 0), ist deren Monitoring unabdinglich. Warum? Natürlich, um böswillige Angriffe und das Harvesting von Daten durch staatliche Akteure zu verhindern und Hacker sowie natürlich Cyberkriminelle abzuwehren, die sich gegenüber ihren Kollegen profilieren bzw. einen finanziellen Vorteil erzielen möchten.
Doch wie können Netzwerkadministratoren angesichts der Anzahl möglicher Ports diese überwachen oder Eindringversuche erkennen? Wie wissen wir, ob andere unsere Netzwerke auf Schwachstellen testen können? Wie erzielen wir maximale Sicherheit, ohne die Produktivität der Benutzer zu beeinträchtigen?
Greg Mooney hat in einem früheren Artikel erläutert, was ein Port-Scanner ist. Er demonstrierte dabei, wie sich durch das Scannen der Ports des eigenen Netzwerks feststellen lässt, was potenzielle Angreifer bei einem Scan Ihres Netzwerks sehen. Das Monitoring von Angriffswegen bietet logischerweise erhebliche Sicherheitsvorteile. Und natürlich können Sie Ihr Netzwerk besser schützen, wenn Sie die verwendeten Angriffsmethoden kennen. Sehen wir uns ein paar der Standardtools an, mit denen Eindringprüfer (und Hacker) die Sicherheit verifizieren.
Kali – mehr als nur eine hinduistische Göttin
Kali Linux ist vielleicht die bekannteste Distribution für Eindringtests. Außerdem bietet diese Distribution eine Fülle von Open-Source-Hackertools. Es ist vielleicht nicht die einzige Distribution, aber an ihr lässt sich gut der logische Ansatz für das Eindringen in ein Netzwerk darstellen. Beachten Sie die enorme Anzahl von Hackertools, die Kali Linux standardmäßig bietet (weitere können hinzugefügt werden). Die Tools sind in praktische Kategorien wie Informationserfassung, Schwachstellenanalyse, Exploit-Tools, Belastungstests und Wireless-Angriffe unterteilt. Hacker jeglicher Art (einschließlich Cyberkriminelle und legitime Eindringprüfer) erhalten damit ein Tool-Repository, mit dem sie relevante Informationen erfassen sowie Schwachstellen ermitteln und nutzen können. Ein direkter Link zur Exploit-Datenbank sorgt dafür, dass Hackern die neuesten verifizierten Anwendungsschwachstellen zur Verfügung stehen. Eine Übersicht der vergangenen Woche lässt erkennen, wie detailliert diese Ressource ist… Es ist sinnvoll, Angriffe basierend auf kürzlich ermittelten und verifizierten Schwachstellen zu starten, wenn viele Administratoren trotz entsprechender Sicherheitsmeldungen nicht umgehend Patches installieren.
Zwar müssen viele Tools über eine Befehlszeile bedient werden, doch die erforderlichen Befehle lassen sich auch von Einsteigern einfach über Suchmaschinen und Foren ausfindig machen. Zu den meisten Tools gibt es außerdem eine Anleitung. Hackern, die mit Social Engineering nicht weiter kommen, stehen zum Scannen von Ports zahlreiche Optionen zur Verfügung. Informationen lassen sich beispielsweise mit Nmap (für reguläres Port-Scanning), Unicornscan (falls kein reguläres Port-Scanning möglich ist) oder Wireshark (zum Analysieren von Netzwerkdatenverkehr und -paketen) ausspionieren und für Angriffe nutzen. Beachten Sie auch die laut FOSSMint besten 20 Hacker- und Eindringtools für Kali Linux, um einen Eindruck zu gewinnen, was selbst unerfahrene Hacker einfach erreichen können. Glauben Sie mittlerweile, dass sich Port-Monitoring lohnt?
Ports in Gefahr
Angesichts der Tatsache, dass die Informationserfassung der erste Schritt für einen Hackerangriff ist und dafür Port-Scanning und ähnliche Techniken genutzt werden, wäre es verrückt, das Netzwerk-, Datenverkehr- und Port-Monitoring zu ignorieren. Falsch ausgeführt kann dies natürlich viel Arbeitszeit verschlingen, was nicht erstrebenswert ist. IT-Experten bleibt leider mitunter aufgrund von fehlenden Investitionen nichts anderes übrig, als in einem reaktiven Ansatz der Fehlersuche Muster in Protokolldateien zu ermitteln. Wäre ein proaktives Echtzeit-Monitoring nicht effizienter und produktiver? Manche Unternehmen versuchen, selbst eine Anwendung zu entwickeln. Dies ist letztendlich teurer als die Verwendung handelsüblicher Tools bzw. bietet weniger Funktionen.
Während das Monitoring offener Ports eine wichtige Sicherheitsfunktion sein mag, ist es keinesfalls einfach durchzuführen. Ports öffnen und schließen sich entsprechend dem verwendeten Dienst oder der Firewall-Aktion. Manche Protokolle und Anwendungen wählen Ports für die Kommunikation zudem nach dem Zufallsprinzip aus…
Mithilfe einer effektiven Port- und Netzwerk-Monitoring-Lösung können Administratoren eine Bemessungslinie für Port-Aktivitäten festlegen und automatisierte Benachrichtigungen für verdächtige Aktivitäten konfigurieren. Das Monitoring lässt sich zur Erkennung neuer und somit verdächtiger Prozesse und Dienste im Lauf der Zeit fast vollständig automatisieren. Ihr IT-Team kann sich dadurch auf andere geschäftsorientierte Projekte fokussieren.
Sicherheitsexperten nutzen natürlich andere Techniken, um Hacker zu verwirren oder zumindest zu verlangsamen. Vermeiden Sie Standardeinstellungen etwa für interne IP-Adressbereiche oder Port-Nummern. Wenn Port 80 beispielsweise nicht für HTTP-Verbindungen verwendet wird, führt ein Angriff über HTTP darauf ins Leere.
Port-Monitoring ist folglich ein wichtiger Beitrag zur Netzwerksicherheit. Die Implementierung richtet sich nach dem verfügbaren Budget, der technischen Kompetenz und natürlich den Personalressourcen. Das Untersuchen von Netzwerkschwachstellen lohnt sich in jedem Fall. Sie können dafür wahlweise die zuvor erwähnten Tools verwenden oder einen Certified Ethical Hacker engagieren, um Ihr Sicherheitsniveau zu verifizieren. Berücksichtigen Sie dabei, dass bei anderen Techniken, wie etwa dem „Portknocking“, Firewall-Regeln gegen Sie verwendet werden können. Kein Unternehmen ist für Hackerangriffe zu klein. Daher stellen Sie sich die Frage: Wie sicher ist das Netzwerk meines Unternehmens angesichts dessen, dass kostenlose Hackertools für jedermann zugänglich sind, um im Netzwerk gespeicherte Daten zu manipulieren? Welche Techniken verwendet mein Unternehmen, um externes Port-Scanning zu verhindern?
Tipp: Sie möchten mehr Sicherheit? Laden den Sie über den Link eine kostenlose Testversion herunter.