Wat is poortscannen? Het is vergelijkbaar met een dief die door je buurt gaat en elke deur en elk raam in elk huis controleert om te zien welke open zijn en welke op slot. TCP (Transmission Control Protocol) en UDP (User Datagram Protocol) zijn twee van de protocollen die deel uitmaken van de TCP/IP-protocolsuite, die universeel wordt gebruikt om op internet te communiceren. Elk van deze heeft poorten 0 tot en met 65535 beschikbaar, dus in wezen zijn er meer dan 65.000 deuren om te vergrendelen.
Hoe poortscannen werkt
Software voor het scannen van poorten, in de meest basale staat, verzendt een verzoek om achtereenvolgens verbinding te maken met de doelcomputer op elke poort en noteert welke poorten reageerden of openstonden voor meer diepgaand onderzoek. Als de poortscan kwaadaardig is, wil de indringer over het algemeen liever onopgemerkt blijven. U kunt netwerkbeveiligingstoepassingen configureren om beheerders te waarschuwen als ze verbindingsverzoeken detecteren over een breed scala aan poorten van een enkele host.
Waarom waarschuwingen voor poortscannen mislukken
Om dit te omzeilen kan de indringer de poortscan uitvoeren in stroboscoop- of stealth-modus. Strobing beperkt de poorten tot een kleinere doelset in plaats van alle 65536 poorten te scannen. Stealth scanning maakt gebruik van technieken zoals het vertragen van de scan. Door de poorten over een langere periode te scannen, verkleint u de kans dat het doelwit een waarschuwing activeert. Door verschillende TCP-vlaggen in te stellen of verschillende soorten TCP-pakketten te verzenden, kan de poortscan verschillende resultaten genereren of open poorten op verschillende manieren lokaliseren. Een SYN-scan vertelt de poortscanner welke poorten luisteren en welke niet, afhankelijk van het type respons dat wordt gegenereerd. Een FIN-scan zorgt voor een reactie van gesloten poorten, maar open poorten en luisteren niet, dus de poortscanner kan bepalen welke poorten open zijn en welke niet. Er zijn verschillende methoden om de daadwerkelijke poortscans uit te voeren, evenals trucs om de bron van een poortscan te verbergen.
Hoe te controleren op poortscans
Het is mogelijk om uw netwerk te controleren op poortscans. De truc is, zoals bij de meeste dingen op het gebied van informatiebeveiliging, om de juiste balans te vinden tussen netwerkprestaties en netwerkveiligheid.
Log SYN-pakketpogingen in niet-luisterende poorten
U kunt controleren op SYN-scans door elke poging om een SYN-pakket te verzenden naar een poort die niet open is of luistert, te loggen. In plaats van elke keer dat er een poging wordt gedaan een waarschuwing te krijgen, moet u echter drempels bepalen om de waarschuwing te activeren. Je zou bijvoorbeeld kunnen zeggen dat een waarschuwing moet worden geactiveerd als er binnen een bepaalde minuut meer dan 10 SYN-pakketpogingen zijn naar niet-luisterende poorten.
Filters instellen om poortscanmethoden te detecteren
U kunt filters en traps ontwerpen om een verscheidenheid aan poortscanmethoden te detecteren, lettend op een piek in FIN-pakketten of gewoon een ongebruikelijk aantal verbindingspogingen naar een reeks poorten of IP-adressen vanaf een enkele IP-bron.
Voer uw eigen poortscans uit
Om ervoor te zorgen dat uw netwerk beschermd en beveiligd is, wilt u wellicht uw eigen poortscans uitvoeren. Een belangrijk voorbehoud hierbij is om ervoor te zorgen dat u de goedkeuring heeft van alle bevoegdheden voordat u aan dit project begint, zodat u zich niet aan de verkeerde kant van de wet bevindt. Om de meest nauwkeurige resultaten te krijgen, voert u de poortscan uit vanaf een externe locatie met niet-bedrijfsapparatuur en een andere ISP. Met software zoals Nmap kun je een reeks IP-adressen en poorten scannen en erachter komen wat een aanvaller zou zien als hij je netwerk zou scannen. Met name met NMap kunt u bijna elk aspect van de scan beheren en verschillende soorten poortscans uitvoeren om aan uw behoeften te voldoen.
Poorten blokkeren die u niet nodig heeft
Als u eenmaal ontdekt welke poorten als open reageren door uw netwerk te scannen, kunt u beginnen te bepalen of die poorten van buiten uw netwerk toegankelijk moeten zijn. Als ze niet nodig zijn, moet u ze afsluiten of blokkeren. Als ze nodig zijn, kunt u beginnen te onderzoeken voor welke soorten kwetsbaarheden en exploits uw netwerk openstaat door deze poorten toegankelijk te maken en te werken aan het toepassen van de juiste patches of maatregelen om uw netwerk zo goed mogelijk te beschermen.