Netzwerk-/Portscanner

Inhaltsverzeichnis

Die Portscanner Definition

Genau hier beginnt das Problem.

Icon Network

Es gibt Portscanner, Netzwerkscanner, Netzwerk Mapper und viele andere Begriffe.

PSN Icon Idea

Je nach Zertifizierung, Firma oder Mindset ist das alles das gleiche.

PSN Icon Analyse

In diesem Artikel geht es um Portscanner, also die Programme, die in der Lage sind, IP-Netzwerke zu scannen, den/die aktiven Host/s oder Endgeräte, offene bzw. „ansprechbare“ Ports und die dort „gesprochenen“ Protokolle und Dienste zu identifizieren.

Icon Laptop Gear

Bei den Netzwerken ist es egal, welches Medium genutzt wird, also ob via Ethernet RJ45 Kabel, WLAN oder Glasfaser/Lichtwellenleiter – wichtig ist, dass IP das ISO-OSI Layer 3 Protokoll ist.

Portscanner-Programme oder Tools

Es gibt viele auch kostenlose Programme, die in diese Kategorie fallen. Angefangen bei dem bekanntesten und grafisch unschönsten, da es nur auf der Konsole zu nutzen ist, Nmap. Der Portscanner Nmap wird auch von vielen IT-Pentestern genutzt, weil es dank Scripting-Engine zahlreiche Möglichkeiten zum Testen von Netzwerken bietet.

Nmap gibt es für alle gängigen Betriebssysteme und mit Zenmap auch eine GUI (grafische Oberfläche). Natürlich gibt es auch einfachere Portscanner, wie den Angry IP Scanner oder kommerzielle Produkte wie den IP-Address-Manager von Solarwinds oder NetScanTools Pro Edition, die aber meistens einen erweiterten Fokus haben, als „nur“ Netzwerke und Ports zu scannen.

Nmap bei Matrix Reloaded

Des Pentesters und auch Hollywoods Liebling in Sachen Portscanner ist Nmap – ob bei Matrix Reloaded, Snowden, Dredd oder in HackTheBox Tutorials – es wird immer wieder in Anspruch genommen. Einfache Portscanner kann man sich in den gängigen Programmiersprachen aber auch selber schreiben.

Mithilfe fortschrittlichster Analysemethoden wird…

…dann eine Referenzlinie des Nutzerverhaltens erstellt. Alle Informationen, die eine UEBA dann als „normales“ Benutzerverhalten erkennt, finden sich im Rahmen dieser Referenzlinien wieder. Wenn ein Ereignis diese Grenzlinien überschreiten sollte, dann wird ein Alarm ausgelöst.

Dabei können insbesondere Insiderbedrohungen, beispielsweise Mitarbeiter, die unzufrieden mit dem Unternehmen sind und diesem schaden wollen, vereitelt werden. Aber auch Angreifer, die ein System kompromittiert haben, können so erkannt werden, da es diesen zwar nicht schwerfällt, die Regeln eines SIEM zu umgehen, aber das „normale“ Verhalten eines Systems oder Benutzers zu imitieren.

Du willst Dein System professionell auf Schwachstellen testen lassen?
Wir bieten Dir eine professionelle Schwachstellenanalyse!
Zur Schwachstellenanalyse

Die Funktion und der Nutzen von Portscannern

Ein Portscanner sendet ein Datenpaket an das Ziel, um zu identifizieren, ob das Gerät überhaupt „online“ ist. Meistens wird dafür der klassische Ping benutzt. Sollte der Test erfolgreich sein, werden weitere Datenpakete an die einzelnen Ports des Ziels geschickt und die Antworten werden ausgewertet.

Der Port kann mehrere Zustände haben, die der Portscanner erkennt. Wenn der Port offen ist, können weitere Informationen erfasst werden. Der spezielle Portscanner Nmap wird genutzt, um bei IT-Penetrationtests erste Ziele zu identifizieren und mit der Nmap Scripting Engine sogar schon erste Sicherheitslücken oder Konfigurationsschwächen aufzudecken. Die Ergebnisse können dann sogar in Exploit Frameworks wie Metasploit für weitere Tests importiert werden.

Die Nmap Scripting Engine ist eine Erweiterung für die „normalen“ Netzwerkscanner. Sie kann auf Versionen der Dienste und aufgrund der Version bedingt auch auf ausnutzbare Schwachstellen testen. Außerdem kann die NSE auch das Betriebssystem mit unterschiedlichen Mechanismen erkennen.

Portscanner als Schwachstellenscanner?

Auch wenn man jetzt aus dem Vorangegangenen schließen könnte, dass der Portscanner Nmap auch ein Schwachstellenscanner ist, liegt man damit leider falsch. Ja, Nmap kann bedingt auch Schwachstellen herausfinden, ist aber in erster Linie kein Schwachstellenscanner. Da sind andere Produkte besser und geeigneter.

Zusammenfassung zum Thema Portscanner

Es gibt für fast jeden speziellen Bedarf einer Netzwerkanalyse einen Portscanner, der in Form, Funktion und vielleicht in Farbe auf das Problem zugeschnitten ist oder noch mehr Features mitbringt. Man muss nur wissen, was man mit dem Portscanner erreichen und herausfinden möchte. In Bezug auf Pentests natürlich auch, wie auffällig man sich im Netzwerk verhält. Viele Anfragen auf unterschiedliche Ports einzelner Hosts sind immer verdächtig und sollten durch Schutzmechanismen erkannt oder besser noch blockiert werden, wenn diese Aktivitäten von unbekannter oder nicht autorisierter Quelle kommen. Ein Portscanner kann Ihnen hierbei weiterhelfen.

Das Schlusswort

Ich beende diesen Beitrag mit einem Zitat von Rumi, den vermutlich alle Pentester kennen:

“The quieter you become, the more you are able to hear”

Steigere die Sicherheit Deines Systems!
Von uns erhältst Du ausführliche Beratungen!
Jetzt kontaktieren
Newsletter Form

Become a Cyber Security Insider

Sichere dir frühen Zugang und exklusive Inhalte!


ANDERE BEITRÄGE

Inhaltsverzeichnis

PSN_KU_Cover
NewsLetter Form Pop Up New

Become a Cyber Security Insider

Abonniere unsere Knowledge Base und erhalte:

Frühen Zugriff auf neue Blogbeiträge
Exklusive Inhalte
Regelmäßige Updates zu Branchentrends und Best Practices


Bitte akzeptiere die Cookies unten auf dieser Seite, um das Formular abschicken zu können!