Een poortscan lijkt een beetje op een hoopdeurknoppen om te zien welke deuren op slot zijn. De scanner leert welke poorten op een router of firewall open zijn en kan deze informatie gebruiken om de potentiële zwakke punten van een computersysteem te vinden.
Wat is een poort?
Wanneer een apparaat via een verbinding maakt met een ander apparaatnetwerk, specificeert het een TCP- of UDP-poortnummer van 0 tot 65535. Sommige poorten worden echter vaker gebruikt. TCP-poorten 0 tot en met 1023 zijn "bekende poorten" die systeemservices bieden. Poort 20 is bijvoorbeeld FTP-bestandsoverdracht, poort 22 is Secure Shell (SSH) terminalverbindingen, poort 80 is standaard HTTP-webverkeer en poort 443 is gecodeerde HTTPS. Dus wanneer u verbinding maakt met een beveiligde website, praat uw webbrowser met de webserver die luistert naar poort 443 van die server.
Services hoeven hier niet altijd op te draaienspecifieke poorten. Als u dat wilt, kunt u bijvoorbeeld een HTTPS-webserver uitvoeren op poort 32342 of een Secure Shell-server op poort 65001. Dit zijn slechts de standaardinstellingen.
Wat is een poortscan?
Een poortscan is een proces waarbij alle wordt gecontroleerdpoorten op een IP-adres om te zien of ze open of gesloten zijn. De poortscansoftware controleert poort 0, poort 1, poort 2 en helemaal tot poort 65535. Dit doet hij door eenvoudigweg een verzoek naar elke poort te sturen en om een antwoord te vragen. In zijn eenvoudigste vorm vraagt de poortscansoftware naar elke poort, een voor een. Het externe systeem reageert en zegt of een poort open of gesloten is. De persoon die de poortscan uitvoert, weet dan welke poorten open zijn.
Alle netwerkfirewalls die in de weg staan, kunnen verkeer blokkeren of op een andere manier laten vallen, dus een poortscan is ook een methode om te achterhalen welke poorten bereikbaar of blootgesteld zijn aan het netwerk op dat externe systeem.
De nmap-tool is een veelgebruikt netwerkhulpprogramma dat wordt gebruikt voor het scannen van poorten, maar er zijn veel andere tools voor het scannen van poorten.
Waarom voeren mensen poortscans uit?
Poortscans zijn handig voor het bepalen van een systeemkwetsbaarheden. Een poortscan zou een aanvaller vertellen welke poorten open zijn op het systeem, en dat zou hen helpen een aanvalsplan te formuleren. Als bijvoorbeeld een Secure Shell (SSH) -server wordt gedetecteerd die luistert op poort 22, kan de aanvaller proberen verbinding te maken en te controleren op zwakke wachtwoorden. Als een ander type server naar een andere poort luistert, kan de aanvaller ernaar porren en kijken of er een bug is die kan worden misbruikt. Misschien is er een oude versie van de software actief en is er een bekend beveiligingslek.
Dit soort scans kan ook helpen detecterenservices die op niet-standaardpoorten draaien. Als u dus een SSH-server op poort 65001 gebruikt in plaats van poort 22, zou de poortscan dit onthullen en zou de aanvaller kunnen proberen verbinding te maken met uw SSH-server op die poort. U kunt niet alleen een server op een niet-standaardpoort verbergen om uw systeem te beveiligen, hoewel het de server moeilijker te vinden maakt.
Havenscans worden niet alleen door aanvallers gebruikt. Poortscans zijn nuttig voor defensieve penetrerende testen. Een organisatie kan zijn eigen systemen scannen om te bepalen welke services worden blootgesteld aan het netwerk en ervoor zorgen dat deze veilig worden geconfigureerd.
Hoe gevaarlijk zijn poortscans?
Een poortscan kan een aanvaller helpen een zwakke plek te vindenwijzen aan te vallen en in te breken in een computersysteem. Het is echter slechts de eerste stap. Het feit dat je een open poort hebt gevonden, betekent niet dat je deze kunt aanvallen. Maar zodra u een open poort hebt gevonden waarop een luisterservice wordt uitgevoerd, kunt u deze scannen op kwetsbaarheden. Dat is het echte gevaar.
Op je thuisnetwerk heb je vrijwel zeker eenrouter zit tussen u en internet. Iemand op internet zou alleen uw poort aan een poort kunnen scannen en ze vinden niets anders dan potentiële services op de router zelf. Die router fungeert als een firewall, tenzij u afzonderlijke poorten van uw router naar een apparaat hebt doorgestuurd, in welk geval die specifieke poorten worden blootgesteld aan internet.
Voor computerservers en bedrijfsnetwerken,firewalls kunnen worden geconfigureerd om poortscans te detecteren en verkeer van het te scannen adres te blokkeren. Als alle services die worden blootgesteld aan internet veilig zijn geconfigureerd en geen bekende beveiligingslekken hebben, zouden poortscans niet eens te eng moeten zijn.
Soorten poortscans
In een "TCP volledige verbinding" poortscan, de scannerstuurt een SYN-bericht (verbindingsverzoek) naar een poort. Als de poort open is, antwoordt het externe systeem met een SYN-ACK-bericht (bevestiging). De scanner reageert dan met zijn eigen ACK (bevestigings) bericht. Dit is een volledige TCP-handshake en de scanner weet dat het systeem verbindingen op een poort accepteert als dit proces plaatsvindt.
Als de poort is gesloten, reageert het externe systeem met een RST-bericht (reset). Als het externe systeem gewoon niet aanwezig is op het netwerk, zal er geen reactie zijn.
Sommige scanners voeren een "TCP halfopen" -scan uit. In plaats van een volledige SYN-, SYN-ACK- en vervolgens ACK-cyclus te doorlopen, sturen ze gewoon een SYN en wachten op een SYN-ACK- of RST-bericht. Het is niet nodig om een laatste ACK te sturen om de verbinding te voltooien, omdat de SYN-ACK de scanner alles zou vertellen wat hij moet weten. Het is sneller omdat er minder pakketten moeten worden verzonden.
Andere soorten scans omvatten het sturen van vreemdeling,verkeerd ingedeelde soorten pakketten en wachten om te zien of het externe systeem een RST-pakket retourneert dat de verbinding verbreekt. Als dit het geval is, weet de scanner dat er een extern systeem op die locatie is en dat een bepaalde poort erop is gesloten. Als er geen pakket wordt ontvangen, weet de scanner dat de poort open moet zijn.
Een eenvoudige poortscan waarbij de software een voor een informatie over elke poort opvraagt, is gemakkelijk te herkennen. Netwerkfirewalls kunnen eenvoudig worden geconfigureerd om dit gedrag te detecteren en te stoppen.
Daarom werken sommige poortscantechniekenanders. Een poortscan kan bijvoorbeeld een kleiner aantal poorten scannen, of het volledige aantal poorten over een veel langere periode scannen, dus het is moeilijker te detecteren.
Havenscans zijn een eenvoudige beveiliging van brood en boterhulpmiddel als het gaat om penetrerende (en beveiligde) computersystemen. Maar het is slechts een hulpmiddel waarmee aanvallers poorten kunnen vinden die kwetsbaar zijn voor aanvallen. Ze geven een aanvaller geen toegang tot een systeem en een veilig geconfigureerd systeem kan zeker een volledige poortscan zonder schade doorstaan.
Beeldtegoed: xfilephotos / Shutterstock.com, Casezy idea / Shutterstock.com.
