Port-Scan
FAQ'
| Allgemein |
Was ist ein Portscan ?
Zur Verbindung einiger oder
mehrerer Computer, mit und
untereinander,
verwendet man Netzwerke, die prinzipiell aus zwei Bestandteilen
bestehen. Der Hardware z.B. Modem, Netzwerkkarten, Router, Multiplexer,
usw. und der zugehörigen Software wie Protokolle, Server-
Dämonen, Clientprogramme. Wer sich dafür
interessiert, sollte
sich in diesem Zusammenhang mit "Schichtenmodellen" auseinander setzen.
Hier führt das leider zu weit. Wir untersuchen Systeme
ausschließlich auf die von ihm angebotene Serverdienste, d.h.
Dienste die das System gewollt oder auch ungewollt im Internet
über das Internetprotokoll [1]
anbietet. Da ein
Computer
zeitgleich mehrere unterschiedliche Serverdienste anbieten soll, nutzt
das IP-Protokoll, so genannte Ports. So kann ein Rechner zugleich als
Webserver (Port 80) und Mail-u. POP-Server (Port 25/110) dienen.
Insgesamt sind 65535 Ports definiert, die sowohl auf TCP und UDP zur
Verfügung stehen. Nur der Vollständigkeit halber, und
um die
Sache noch etwas komplexer zu gestalten, gibt es in der Familie der
IP-Protokolle das ICMP-Protokoll. Eigentlich ist das noch nicht alles,
aber es sollte ausreichen, um den Sachverhalt zu verstehen. Wenn ein
Rechner, einen Serverdienst für andere zur Verfügung
stellt,
öffnet er eben solch einen TCP/IP- oder UDP-Port, oder auch
beides
oder mehrere. Natürlich muss ein Webserver den Port 80
geöffnet haben, aber muss ein Internetnutzer, um zu surfen
oder
Mails zu senden oder empfangen einen IP-Port geöffnet haben ?
Nein, den die Clientsoftware (Browser o. Mailprogramm) baut
über
den definierten Port eine Verbindung zu dem entsprechenden Server auf.
Eben das simuliert ein Portscanner und nutzt dazu unterschiedliche
Techniken (connect, stealth, Xmas, null, o.a.) um zu korrekten
Ergebnissen zu kommen.
Für was brauche
ich einen
Portscan ?
Wenn auf einem
System ein Server, Dienste anbieten soll,
muss
natürlich ein oder mehrere Ports geöffnet werden. Was
ist
aber mit den Ports, die das System geöffnet hat, weil es
falsch
konfiguriert wurde oder weil der Hersteller des Systems es so
wünscht. Meist weiß der Nutzer eines Systems nicht
welche
Ports
geöffnet sind, und welche Gefahren ihm dadurch drohen. Die
Gefahr
besteht darin, dass ein entfernter Angreifer den Serverdienst nutzt um
in das System einzudringen, um hier nach Daten und Informationen zu
suchen, oder das System zu nutzen, um sich weiter unbemerkt durch das
Netzwerk zu bewegen. Oder der Serverdienst, insofern anfällig,
kann von einem Angreifer terminiert werden oder gar das ganze System
zum Absturz gebracht werden. Wie auch immer, es ist meist mehr als nur
unangenehm und kann ein Vermögen kosten, wenn ein Cracker
tatsächlich an sensible Daten gerät.
Warum Port-Scan.de ?
Natürlich kann man
einen Portscan auch lokal
ausführen. D.h.
einen Portscanner auf dem Zielrechner installieren um ihn zu scannen.
So bekommt man sicher eine Auskunft über die momentan
geöffneten Ports und kann z.B. dementsprechend eine Firewall
konfigurieren. Und dann "sicher" ins Netz gehen . Sicher? Wer oder was
ist da schon sicher? Sicher ist man nur dann, wenn der aktuellen Status
der Netzwerkkarte oder des DFÜ-Adapters bekannt ist, der sich
ins
Internet verbindet. Und um eben den IP-Portstatus zu bekommen, nutzt
man einen Onlinescanner, eben www.Port-Scan.de.
Was muss ich beachten ?
Das Wichtigste bei der
Nutzung von Port-Scan ist, die korrekte
Ermittlung der IP-Adresse des Zielsystems. Jeder Computer bekommt zur
Nutzung des IP-Protokolls neben einem Namen eine eindeutige Nummer,
dauerhaft(statisch) oder zur Zeit der Verbindung(dynamisch) zugewiesen.
Diese IP-Adresse ist im Internet weltweit einmalig und lässt
deshalb jeden Rechner eindeutig indetifizieren (auflösen).
Diese
IP-Adresse wird anhand des Webserver von Port-Scan.de ermittelt. Leider
kann der Webserver nur die IP des Systems ermitteln, von dem die
Anfrage an den Server kommt. Das kann unter Umständen auch ein
Proxyserver oder ein Gateway-Server sein. Deshalb muss unbedingt vor
jeder Nutzung eines Scandienstes die tatsächliche IP mit der
die
Port-Scan.de ermittelt hat, verglichen werden. (s.u.)
Bei einem Nessus-Scan muss
unbedingt eine gültige
E-Mailadresse
angegeben werden, dass die Ergebnisse nicht auf dem Server angezeigt
oder gespeichert werden. Sollte die angegeben E-Mailadressen nicht
erreichbar sein, werden die Ergebnisse an den ScanMaster gesendet.
Weiterhin wichtig ist es,
den Scannvorgang bis zum Ende zu
verfolgen.
Sollten die Ergebnisse zu lang auf sich warten lassen, z.B. bei einem
TCP-Scan auf eine Firewall, besteht die Möglichkeit mit
"Stop-Scan" alle laufenden Prozesse für die erkannte IP
abzustellen. Sinnvoll z.B., wenn man doch die falsche Mailadresse an
Nessus übergeben hat.
| Tests |
Was macht eigentlich der
Schnelltest ?
Bei einem Schnelltest,
werden die gängigsten TCP/IP-Ports
des
Zielsystems abgefragt. Je nach dem wie das Zielsystem auf die Anfragen
reagiert, werden unterschiedliche Ausgaben generiert.
Was macht eigentlich der
TCP-Test ?
Beim TCP-Test, werden
tatsächlich alle Ports von 1 bis
65535
überprüft.
Was macht eigentlich der
UDP-Test ?
Beim UDP-Test, werden alle
verfügbaren UDP-Ports
überprüft.
Was macht eigentlich der
Trojanertest
?
Ähnlich wie beim
Schnelltest, wird hier anhand einer
Portliste das
Ziel auf alle gängigen Trojanerports gescannt. Ein positives
Ergebnis wie "80 offen Executor" bedeutet nicht automatisch, dass ein
Trojaner gefunden wurde. Es könnte auch nur ein Webserver
gefunden
worden sein. Der Administrator des gescannten Systems, sollte aber
wissen, welchen Dienst er tatsächlich laufen lassen will.
Was macht eigentlich
Nessus ?
Nessus ist wahrscheinlich
einer der besten und ausgefeiltesten
frei verfügbaren [2]
Portscanner derzeit. Die
aktuelle Version und
eine Beschreibung ist unter www.nessus.org zu finden. Nessus scannt
nicht nur das System auf offene Ports, es versucht auch,
abhängig
von der gewählten Scannmethode, evtl. vorhandene
Schwachstellen
der einzelnen Serverdienste zu erkennen. Mit der Option "intensiv"
werden Angriffe auf den Zielrechner ausgeführt, die auch zu
Systemabstürzen führen können. In der
Ausgabe von Nessus
stehen nicht nur diese Schwachstellen, sondern oftmals auch wie das
Sicherheitsloch geschlossen werden kann. Da die Ausgaben von Nessus
meist sehr komplex sind, und der Scanvorgang nach gewählter
Option
einige Zeit in Anspruch nimmt, können die Ergebnisse nur per
E-Mail versendet werden.
Was passiert mit meiner
E-Mailadresse
?
Die eingegebene
E-Mailadresse wird bis zum Ende des Nessus-Scans
gespeichert, und nach dem Versenden der Mail aus dem Datensatz
gelöscht. Eine Kopie der Mail-Adresse wird aus technischen
Gründen in den Logfiles festgehalten. Diese E-Mailadresse wird
unter keinen Umständen, auch dann nicht, wenn PortScan einen
finanzstarken Werbepartner gefunden hat, an dritte weitergegeben. Ein
einfaches Prinzip. Wir bringen Sicherheit ins Netz, und verunsichern
nicht. Als Anmerkung sei gesagt, dass sich E-Mailadressen mit weit
weniger technischem Aufwand sammeln lassen.
| IP-Adressen |
Wie erkenne ich die
richtige
IP-Adresse?
Auf unserem Server befindet
sich zum ermitteln der IP-Adresse
ein
Skript, dass über http://www.port-scan.de/cgi-bin/yourip.cgi
aufgerufen werden kann. Dieses wird automatisch auf der Eingangsseite
zu PortScan in einem separaten Fenster aufgerufen. Die hier ermittelte
IP ist die, die beim Scanvorgang als Ziel angenommen wird. Da nicht die
Rechner(Proxy's) von diversen Providern gescannt werden sollen, und die
Ergebnisse auch zu dem gewünschtem System passen sollen, muss
eben
die tatsächliche IP-Adresse des Systems vom Nutzer selbst
überprüft werden. Dazu muss abhängig vom
verwendeten
Betriebssystem unterschiedlich vorgegangen werden. So ermittelt man die
IP-Adresse unter:
Unix/Linux:
In Zweifel muss
überprüft werden, als welcher User man
angemeldet ist. Das geschieht mit "whoami". Die Antwort vom System
sollte "root" sein. Gegebenenfalls muss man sich als ROOT erneut
anmelden. Wenn das nicht möglich ist, weil z.B. das Passwort
nicht
bekannt ist, darf PortScan nicht genutzt werden, da dem Nutzer die
Administratorenrechte zum System fehlen. Der User ROOT kann die
IP-Adresse(n) mit dem einfachen Befehl "ifconfig" erfragen. Hier
tauchen mitunter mehrere Netzwerkkarten auf, mindestens aber das so
genannte "Dummy device" mit der IP 127.0.0.1. Eine virtuelle
Netzwerkkarte die physikalisch (hardwaremäßig) nicht
vorhanden
ist, aber immer auf das eigene System zeigt. Man nennt es deshalb auch
Loopbackdervice. Die Ausgabe könnte dann wie folgt aussehen:
eth0
Linkverkapselung:Ethernet
HWaddr
00:40:33:E2:BF:DC
inet addr:192.168.0.1
Bcast:192.168.0.255 Maske:255.255.255.0
inet6 Adr:
fe80::40:33e2:bfdc/10
Gültigkeit:Verbindung
UP BROADCAST RUNNING
MULTICAST
MTU:1500 Metric:1
Empfangene Pakete:14237
Fehler:0
Weggeworfen:0 Überlauf:0 Rahmen:0
Verschickte Packete:23306
Fehler:0
Weggeworfen:0 Überlauf:0 Rahmen:0
Kollisionen:0
Sendewarteschlangenlänge:100 Unterbrechung:10
Basisadresse:0x6500
ippp0
Linkverkapselung:Punkt-zu-Punkt
Verbindung
inet addr:217.2.45.132
P-t-P:217.5.119.161 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING
NOARP
MTU:1500 Metric:1
Empfangene Pakete:161852
Fehler:0
Weggeworfen:0 Überlauf:0 Rahmen:0
Verschickte
Packete:165020
Fehler:0
Weggeworfen:0 Überlauf:0 Rahmen:0
Kollisionen:0
Sendewarteschlangenlänge:30
lo
Linkverkapselung:Locale
Schleife
inet addr:127.0.0.1
Maske:255.0.0.0
inet6 Adr: ::1/128
Gültigkeit:Maschine
UP LOOPBACK RUNNING
MTU:3924
Metric:1
Empfangene Pakete:20977
Fehler:0
Weggeworfen:0 Überlauf:0 Rahmen:0
Verschickte Packete:20977
Fehler:0
Weggeworfen:0 Überlauf:0 Rahmen:0
Kollisionen:0
Sendewarteschlangenlänge:0
Hier ist eine
Netzwerkkarte(/dev/eth0) mit der IP 192.168.0.1 zu
erkennen, die nur für den Transfer ins lokale Netzwerk
zuständig ist. Das Loopbackdevice (/dev/lo) ist auch nicht
weiter
von Bedeutung. Der Netzwerkadapter, der den Rechner ins Internet
verbindet heißt hier /dev/ippp0. Das Point-to-Point Protokoll
wird
dabei auf einen ISDN-Adapter oder Modem gelegt, und bekommt bei der
Einwahl ins Netz seine IP (hier 217.2.45.132). Bei einer DSL-Verbindung
wird kein Modem oder ISDN-Karte verwendet, also heißt der
entsprechende Adapter evtl. eth1, je nach dem, wie viele Netzwerkkarten
sich im System befinden, und an welcher Stelle sie eingebunden werden.
Die tatsächliche IP-Adresse muss deshalb sorgfältig
aus den
Angaben von "ifconfig" ermittelt, und dann anschließend mit
den
Angaben von "yourip.cgi"
verglichen werden. Erst wenn beide IP-Adressen
100%ig identisch sind, darf ein Portscan gestartet werden.
DOS:
Unter DOS kommt ein
ähnlicher Befehl zum Einsatz, der auch
ähnliche Ergebnisse ausgibt. Voraussetzung ist
natürlich ein
installierter TCP/IP-Stack. Ein "ipconfig" liefert dann unter Anderem
z.B.
0 Ethernet Adapter
IP-Adresse. . . . . . . .
. :
217.2.45.132
Subnet Mask . . . . . . .
. :
255.255.255.0
Standard-Gateway . . . .
. . :
217.2.45.132
Windows:
Unter Windows kann
natürlich auch in einer
"MS-DOS-Eingabeaufforderung" "ipconfig" ausgeführt werden.
Schöner ist aber sicher "winipcfg", das entweder über
die
Eingabeaufforderung oder "Start" und "Ausführen" gestartet
werden
kann. Auch bei "winipcfg" muss der richtige Adapter, der die
Internetverbindung herstellt, ausgewählt, und dessen
IP-Adresse
verglichen werden.
Warum ist die richtige
IP-Adresse so
wichtig?
Zum einen sollen die
Ergebnisse von PortScan den
tatsächlichen
Zustand am Zielsystem darstellen. Die Rechner der Provider, der die
Internetverbindung anbietet, sind meist relativ sicher, und haben daher
nur die Ports geöffnet, die tatsächlich
benötigt werden.
Diese Ergebnisse sind für den Kunden einfach nutzlos. Zum
anderen,
könnte der Provider den Scan selbst als Angriff auf sein
System
betrachten. Allein die Kosten, ein solches System zu untersuchen, was
ein vermeintlicher Angreifer im Sinn hat, kann beträchtliche
Kosten verursachen. Mit dem Hinweis, an die Nutzer von PortScan, geben
wir die Verantwortung über einen
sachgemäßen Umgang, an
eben
den Nutzer weiter. Im ungünstigsten Fall, fällt der
Verdacht
eines Angriffs auf fremde Computersysteme auf den diesen Nutzer, sofern
er diese elementaren Regeln nicht beachtet. Hinzu kommen
Schadensersatzansprüche, die ein scheinbar
Geschädigter
einklagen könnte.
Warum ermittelt PortScan
nicht
die
richtige IP-Adresse ?
Wenn die von Port-Scan
angezeigte, und die vom ISP [3]
zugeteilte IP
nicht übereinstimmen, ist meist eine falsche
Browsereinstellung
schuld. Unbedingt sollte die Verwendung eines Proxy-Server deaktiviert
werden. Oftmals wird die Verbindung aus einem privatem Netzwerk heraus
hergestellt. Dabei kann es vorkommen, dass die IP-Adresse des Routers,
der die Internetverbindung herstellt, ermittelt wird. Das ist ein
Problem, das kaum gelöst werden kann, da IP-Adressen in
privaten
Netzen meist reserviert und für PortScan nicht erreichbar sind
| Fehler |
Was bedeutet "IP
gehört
einem
Proxy"
Um zu vermeiden, dass ein
Proxyserver gescannt wird, wird der
Name des
Zielrechners abgefragt. Auf den Namen kann oftmals ein
Rückschluss
geführt werden, ob es sich um einen Proxy handelt. Leider kann
damit nicht immer eben das ausgeschlossen werden.
Was bedeutet "IP im INDEX"
Der Administrator des
Zielsystems hat angeordnet, dass eben
dieser
Rechner von PortScan nicht überprüft werden darf.
Diese
IP-Adresse wurde in eine INDEX-Datei aufgenommen und wird somit von
allen Scanprozessen ausgeschlossen.
Was bedeutet "unbekannte
IP" Da bei einem Scanvorgang
sichergestellt
werden muss, dass das Ziel auch erreichbar ist, wird ein einfaches
"ping" [4]
gesendet, auf das das Zielsystem antworten
muss. Wenn dieser
Fehler erscheint läuft auf oder vor dem Zielsystem eine
Firewall,
die neben TCP auch das ICMP-Protokoll blockiert. Um dennoch PortScan
nutzen zu können, sollte die Firewall vorübergehend
umkonfiguriert werden.
Was bedeutet "private IP"
Neben den im Internet
verwendeten IP-Adressen, die einmal
weltweit
vergeben werden, gibt es IP-Adressen bzw. Adressbereiche die
für
die "private" Nutzung vorgesehen sind. So brauchen tausende von
Computern in Firmennetzwerken, die mit unter keine direkte Verbindung
zum Internet haben keine eindeutige IP-Adresse. Dafür sind
folgende IP-Bereiche vorgesehen. 10.0.0.0 - 10.255.255.255 Klasse A ;
172.16.0.0. - 172.131.255.255 Klasse B ; 192.168.0.0 - 192.168.255.255
Klasse C
Da zu Rechnern in privaten
Netzen keine Routen aufgebaut werden
können, können diese auch nicht gescannt werden.
Was bedeutet "Wartung"
Da jedes System (auch
Linux) von Zeit zu Zeit einiger
administrativer
Arbeiten bedarf, kann es vorkommen, dass das Scansystem oder Teile
davon vom Netz genommen werden. Oftmals werden auch Änderungen
an
Scripten vorgenommen, wobei gewünschte Funktionen der Nutzer
eingefügt werden. Da täglich neue Fehler in Server-
und
Netzwerksystemen entdeckt werden, muss beispielsweise auch Nessus
regelmäßig aktualisiert werden. Wir bitten um
Verständnis
für diese vorübergehenden "Ausfallzeiten".
Was bedeutet "Limit pro
IP"
Es kann zeitgleich auf ein
Ziel nur ein Scan ausgeführt
werden.
Mehrere Scanvorgänge ergeben auch keinen Sinn, da immer die
gleichen
Ergebnisse geliefert werden. Natürlich können
unterschiedliche Scanmethoden auf einmal angewendet werden. Wir
empfehlen dazu jeweils ein neues Browserfenster zu öffnen, um
die
Ergebnisse anzeigen zu lassen.
Was bedeutet "Limit pro
Server"
Da jedes Computersystem und
Betriebssystem physikalische Limits
bezüglich der Prozessorlast und dem vorhandenen Speicher hat,
muss
die Gesamtanzahl der zeitgleich laufenden Prozesse begrenzt werden.
Diese Fehlermeldung bedeutet, dass keiner der verfügbaren
Scanserver (derzeit einer) Ressourcen zur Verfügung hat um den
Scanauftrag zu bearbeiten. In dem Fall, sollte der Nutzer einige
Minuten warten, um später den Scanprozess zu starten.
Was bedeutet "offen"
Der wohl
ungünstigste Zustand an einem Port, insofern man
den
Dienst nicht anbieten möchte ist, dass der Port
geöffnet ist
( Auf einem Webserver z.B. ist der Port 80 natürlich
geöffnet
weil man ja Internetseiten davon abrufen können soll). Jeder
kann
Offene Ports mit den entsprechenden Programmen ansprechen und so
Zugriff auf Ihr System erlangen. Klassische Angriffspunkte sind hierbei
port 23 (Telnet) , Port 21 (FTP), Port 137/139 (Netbios). Gerade
letzteres stellt eine permanente und existenzielle Bedrohung dar, da es
im Internet auf einschlägigen Seiten diverse Programme gibt
welche
auf diese Ports spezialisiert sind und ohne weiteres einen Zugriff auf
alle von Ihnen freigegebenen Verzeichnisse und Drucker
ermöglichen. Selbst unerfahrene Hobby-Hacker können
diese
Programme ohne Probleme sofort benutzen. Der so erlangte Zugriff
ermöglicht es alles zu kopieren oder zu löschen sowie
Programme (Trojaner&Viren) aufzuspielen. Hier sollte das System
dringend so konfiguriert werde, dass von außen (Internet)
nicht
auf
das System zugegriffen werden kann. Evtl. sollte eine Firewall zum
Einsatz kommen.
Professionelle Hilfe zum
fairen Preis können Sie im Raum
Berlin
& München anfordern unter: 0180 - 55 88 700
Was bedeutet "ungefiltert"
Dieser Port ist als
üblicherweise geschlossen bekannt und
es kann
keine Filterung durch eine Firewall festgestellt werden. Dieser Zustand
wird nur als Gegenstück zu dem Zustand "gefiltert"
aufgeführt
wenn in einer Liste von Ports einige Ports als gefiltert deklariert
sind. Dieser Port ist weder offen noch durch eine Firewall
geschützt.)
Professionelle Hilfe zum
fairen Preis können Sie im Raum
Berlin
& München anfordern unter: 0180 - 55 88 700
Was bedeutet "gefiltert"
Hier hat eine Firewall, die
vom Scanserver ankommende IP-Pakete
blockiert. Somit ist der Port aus dem Internet für den
Scanserver
nicht erreichbar. Ob hinter der Firewall der Port geöffnet
oder
gar nicht vorhanden ist, ist nicht erkennbar. Bei einem TCP-Test wird
in dem Fall kein Ergebnis generiert, da wohl kaum eine Ergebnisseite
mit 65535 x "gefiltert" gewünscht wird. Einige Port-Scanseiten
bezeichnen diesen Zustand auch als "Stealthed".
Was bedeutet "kein Dienst"
Der wohl beste Zustand an
einem Port ist der, dass er nicht
geöffnet ist. Hier besteht absolut keine Möglichkeit
in das
System einzudringen oder den Dienst zu terminieren. Wenn das Zielsystem
beispielsweise ein reiner Einzelplatzrechner mit Internetanbindung ist,
sollten alle Ports den Zustand "kein Dienst" aufweisen. Ebenfalls
generiert TCP-Test dabei keine Ausgaben.
Da die bei PortScan
ablaufenden Prozesse sehr komplex sind,
können
auch weitere hier nicht dokumentierte Fehler oder Probleme auftreten.
Da wir den Dienst "PortScan" weiter ausbauen und verbessern wollen sind
wir für jede Fehlermeldung, Lob und konstruktive Kritik
dankbar.
ScanMaster@port-scan.de
[1]
auch wenn der Schein trügt, hat das
IP-Protokoll seinen Namen
nicht von dem Internet, wenn dann schon eher umgekehrt.
[2]
frei bedeutet hier tatsächlich frei im
Sinne freier Quellcodes
und nicht kostenlos
[3]
ISP - Internet Service Provider stellen die
eigentliche Verbindung
zum Internet her (z.B. AOL, T-Online o. Freenet)
[4]
ping ein kleines Programm das zur Diagnose in
IP-Netzen dient
Zurück zur Startseite
©
Crossnet - MediaAgency
& CPU-WEB