Portscanning er en metode til at bestemme, hvilke porte på et netværk der er åbne og kan modtage eller sende data. Det er også en proces for afsendelse af pakker til specifikke porte på en vært og analyse af svar for at identificere sårbarheder.
Denne scanning kan ikke finde sted uden først at identificere en liste værter og tilknytte disse værter til deres IP-adresser. Denne aktivitet, der kaldes 'host discovery', starter ved at udføre en netværksscanning.
Målet med port- og netværksscanning er at identificere organisationen af IP-adresser, værter og porte for på korrekt vis at bestemme åbne eller sårbare serverplaceringer og diagnosticere sikkerhedsniveauer. Både netværks- og portscanning kan afsløre tilstedeværelsen af sikkerhedsforanstaltninger såsom en firewall mellem serveren og brugerens enhed.
Efter der er udført en grundig netværksscanning, og der er udarbejdet en liste over aktive værter, kan portscanning findes sted for at identificere åbne porte på et netværk, der kan aktivere uautoriseret adgang.
Det er vigtigt at bemærke, at netværks- og portscanning kan bruges af både IT-administratorer og cyberkriminelle til at bekræfte eller kontrollere et netværks sikkerhedspolitikker og identificere sårbarheder – og i angribernes tilfælde udnytte potentielle svage indgangspunkter. Faktisk er 'host discovery'-elementet i netværksscanning ofte det første trin, som angribere bruger, før de iværksætter et angreb.
Eftersom begge scanninger fortsat bruges som angribernes primære værktøjer, kan resultaterne af netværks- og portscanning give vigtige indikationer på netværkssikkerhedsniveauer for IT-administratorer, der prøver at holde netværk sikre mod angreb.
Hvad er porte og portnumre?
Computerporte er det centrale dockingpunkt til informationsstrømmen fra et program eller internettet til en enhed eller en anden computer på netværket og omvendt. Tænk på det som parkeringspladsen for data, der skal udveksles via elektroniske, softwarebaserede eller programmeringsrelaterede mekanismer.
Portnumre bruges til konsistens og programmering. Portnummeret kombineret med en IP-adresse fra de vigtige oplysninger, der gemmes af hver internetudbyder for at fuldføre anmodninger. Porte går fra 0 til 65.536 og rangeres generelt efter popularitet.
Port 0 til 1023 er kendte portnumre, der er designet til internetbrug, selvom de også kan have specialiserede formål. De administreres af IANA (Internet Assigned Numbers Authority). Disse porte ejes af store virksomheder som Apple QuickTime, MSN, SQL-tjenester og andre prominente organisationer. Du genkender måske nogle af de mere prominente porte og deres tilknyttede tjenester:
- Port 20 (UDP) har File Transfer Protocol (FTP), der bruges til dataoverførsel
- Port 22 (TCP) har Secure Shell-protokol (SSH) til sikre logins, ftp og omdirigering af port
- Port 53 (UDP) er det Domain Name System (DNS), som oversætter navne til IP-adresser
- Port 80 (TCP) er World Wide Web HTTP
Tallene 1.024 til 49.151 betragtes som "registrerede porte", hvilket betyder, at de er registreret af softwarefirmaer. Porte 49.151 til 65.536 er dynamiske og private porte – og kan bruges af nærmest alle.
Hvilke protokoller bruges i portscanning?
De generelle protokoller, der bruges til portscanning, er TCP (Transmission Control Protocol) og UDP (User Datagram Protocol). Begge er metoder til dataoverførsel på internettet, men har forskellige mekanismer.
TCP er en pålidelig, forbindelsesbaseret 2-vejsoverførsel af data, der afhænger af destinationens status for at fuldføre en afsendelse. UDP er derimod forbindelsesløs og upålidelig. Data, der sendes via UDP-protokollen, leveres uden hensyn til destinationen. Derfor er det ikke garanteret, at dataene nogensinde når den.
Ved at bruge disse to protokoller er der flere forskellige teknikker til at udføre portscanninger.
Hvad er de forskellige teknikker for portscanning?
Der er flere teknikker for portscanning afhængigt af det specifikke mål. Det er vigtigt at bemærke, at cyberkriminelle også vil vælge en specifik portscanningsteknik baseret på deres mål eller angrebsstrategi.
Nedenfor er der et par stykker af teknikkerne, og hvordan de virker:
- Ping-scanninger: De enkleste portscanninger kaldes ping-scanninger. I et netværk bruges en ping til at bekræfte, om en netværksdatapakke kan distribueres til en IP-adresse uden fejl. Ping-scanninger er ICMP-anmodninger (internet control message protocol) og udsender en automatiseret strøm af adskillige ICMP-anmodninger til forskellige servere for at lokke svar ud af dem. IT-administratorer kan bruge denne teknik til at fejlfinde eller deaktivere ping-scanningen ved at bruge en firewall – hvilket gør det umuligt for angribere at finde netværket via pings.
- Halvåbne eller SYN-scanninger: En halvåben scanning, eller SYN-scanning (forkortelse af synkroniser), er en taktik, som angribere bruger til at bestemme statussen for en post uden at etablere en fuld forbindelse. Denne scanning sender kun en SYN-besked og fuldfører ikke forbindelsen, så målet efterlades passivt. Det er en hurtig og snedig teknik rettet mod at finde potentielle åbne porte på målenheder.
- XMAS-scanninger: XMAS-scanninger er endnu mere usynlige og sværere for firewalls at se. FIN-pakker sendes f.eks. typisk fra server eller klient for at afbryde en forbindelse efter at have etableret en TCP 3-vejs-handshake og vellykket overførsel af data, og dette indikeres via en besked om, at "der ikke er flere data tilgængelige fra afsenderen". FIN-pakker bemærkes ofte ikke af firewalls, fordi der primært holdes øje med SYN-pakker. Af denne årsag sender XMAS-scanninger pakker med alle de flag, inkl. FIN, der ikke forventer noget svar, hvilket betyder, at porten er åben. Hvis porten er lukket, modtages der et RST-svar. XMAS-scanningen vises sjældent i overvågningslogge og er blot en mere snedig måde at blive klogere på et netværks beskyttelse og firewall på.
Hvilken type portscanningsresultater kan du få fra en portscanning?
Resultater af portscanninger afslører statussen for netværket eller serveren og kan beskrives i én af tre kategorier: åben, lukket eller filtreret.
- Åbne porte: Åbne porte indikerer, at målserveren eller -netværket aktivt accepterer forbindelser eller datagrammer og reagerede med en pakke, der indikerer, at den lytter. Den indikerer også, at den tjeneste, der bruges til scanningen (typisk TCP eller UDP), også er i brug.
At finde åbne porte er typisk det overordnede mål med portscanninger og en sejr for en cyberkriminel, der leder efter et angrebssted. IT-administratorers udfordring er at prøve at barrikadere åbne porte ved at installere firewalls for at beskytte dem uden at begrænse adgangen for legitime brugere.
- Lukkede porte: Lukkede porte indikerer, at serveren eller netværket modtog anmodningen, men der er ikke nogen tjeneste, der "lytter" på den port. En lukket port er stadig tilgængelig og kan være brugbar til at vise, at en vært er på en IP-adresse. IT-administratorer bør stadig overvåge lukkede porte, da de kan skifte til en åben status og potentielt skabe sårbarheder. IT-administratorer bør overveje at blokere lukkede porte med en firewall, hvor de derefter bliver til "filtrerede" porte.
- Filtrerede porte: Filtrerede porte indikerer, at der blev sendt en anmodningspakke, men værten svarede ikke og lytter ikke. Dette betyder typisk, at en anmodningspakke blev filtreret væk og/eller blokeret af en firewall. Hvis pakker ikke når deres destinationsplacering, kan angribere ikke få flere oplysninger. Filtrerede porte svarer ofte med fejlbeskeder som "destinationen kan ikke nås" eller "kommunikation forbudt".
Hvordan kan cyberkriminelle bruge portscanning som en angrebsmetode?
Iht. SANS Institute er portscanning en af de mest populære taktikker, som angribere bruger, når de søger efter en sårbar server at ramme.
Disse cyberkriminelle bruger ofte portscanning som et indledende trin, når de går efter netværk. De bruger portscanningen til at vurdere sikkerhedsniveauerne for forskellige organisationer og afgøre, hvem der har en stærk firewall, og hvem der har en sårbar server eller sårbart netværk. Et antal TCP-protokolteknikker gør det faktisk muligt for angribere at skjule deres netværksplacering og bruge "lokketrafik" for at udføre portscanninger uden at afsløre nogen netværksadresse for målet.
Angribere undersøger netværk og systemer for at se, hvordan hver port vil reagere – åben, lukket eller filtreret.
For eksempel vil åbne og lukkede svar advare hackere om, at dit netværk faktisk er på den modtagende side af scanningen. Disse cyberkriminelle kan derefter bestemme din organisations type af operativsystem og niveau af sikkerhed.
Eftersom portscanning er en ældre teknik, kræver den sikkerhedsændringer og opdateret trusselsviden, fordi protokoller og sikkerhedsværktøjer ændrer sig på daglig basis. Som en tilgang til bedste praksis bør portscanningsadvarsler og firewalls bruges til at overvåge trafik til dine porte og sikre, at skadelige angribere ikke finder potentielle muligheder for uautoriseret adgang til dit netværk.