PO-20582-Fotolia-Sean_Gladwell_Fotolia-Lupe.jpg

© Sean Gladwell, Fotolia

Risikoanalyse von Netzwerken

Unter der Lupe

Nur verriegelte Türen halten Einbrecher ab. Clevere Werkzeuge wie Port- und Security-Scanner fördern potenzielle Sicherheitslücken zutage und helfen Ihnen so dabei, die Rechner in Ihrem Netz besser gegen Angreifer abzusichern.

Rechtlicher Hinweis

Einige der im Artikel besprochenen Programme fallen in die Kategorie "dual use". Der Anwender entscheidet über deren produktiven oder destruktiven Einsatz. Der Versuch, mit ihnen ohne die explizite Zustimmung der Besitzer Schwachstellen in fremden Netzen oder Rechnern ausfindig zu machen, ist strafbar und wird gemäß des "Hackerparagraphen" (§202c) mit Haftstrafen von bis zu einem Jahr geahndet.

Das Wissen über die Funktionsweise der Kommunikation zwischen Rechnern im Netz bildet eine unentbehrliche Grundlage für das Security Auditing, weswegen dieser Artikel sich im ersten Drittel damit beschäftigt. Der zweite Abschnitt führt Sie in den Einsatz der Portscanner Nmap und Portbunny ein. Schließlich erfahren Sie im letzten Teil, wie Sie mithilfe des Vulnerability-Scanners Nessus Sicherheitslücken auf den Rechnern Ihres Netzwerks aufspüren.

OSI-Modell

Das Transmission Control Protocol / Internet Protocol, kurz TCP/IP, ist aus der modernen Internetkommunikation nicht mehr wegzudenken. Beinahe alle Rechner verwenden es, um sich miteinander zu unterhalten, aber nur wenige Anwender wissen, was dabei vor sich geht.

Das OSI-Schichtenmodell [1] dient zum besseren Verständnis der Netzwerktechnik und als Referenz zur Implementierung. Es unterteilt die verschiedenen Aufgaben des Netzwerkes auf sieben Schichten.

Die erste Schicht (Bitübertragungsschicht, "Physical Layer") beschreibt den Standard auf der Hardware-Ebene, etwa für Kabel, Stecker und einfache Verteiler (Hubs). Die zweite Schicht (Sicherungsschicht, "Data Link Layer") behandelt die Kommunikation zwischen den einzelnen, in einem Netzwerk direkt verbundenen Komponenten, etwa zwischen zwei Netzwerkkarten. Die Kommunikation zwischen verschiedenen Netzwerken, zum Beispiel über IP, regelt Schicht 3 (Vermittlungsschicht, "Network Layer") des Modells. Hier könnte leicht der Eindruck entstehen, dass jede Schicht mit der gegenüberliegenden kommuniziert. Tatsächlich werden jedoch die Pakete der einzelnen Schichten in die jeweils darunter liegende Schicht eingepackt, auf Layer 1 zum Gegenüber gesendet, und dort in umgekehrter Reihenfolge wieder ausgepackt und nach oben gereicht.

Das Internet Protokoll (IP) ermöglicht das Versenden einzelner Pakete von Host zu Host. IP-Pakete finden selbständig ihren Weg von A nach B, Router leiten sie dabei in andere Netze weiter. Damit Pakete nicht wegen Netzwerkfehlern bis in alle Ewigkeiten von Router zu Router wandern, besitzen sie ein Time-To-Live-Feld (TTL). Jeder Router zählt dieses Nummernfeld beim Weitertransport um eine Stelle herunter. Kommt der Wert bei 0 an, verwirft der Router das Paket. Um den Absender davon in Kenntnis zu setzen, sendet er diesem ein ICMP-Paket. Das Internet Control Message Protocol dient einzig und allein dazu, Informationen über den Zustand des Netzwerks zu versenden. Im OSI-Modell befindet es sich auf der gleichen Ebene (Schicht 3) wie IP. Neben Nachrichten über abgelaufene TTLs informiert ICMP auch über nicht erreichbare Netzwerke und Hosts. Auch das bekannte Tool ping versendet ICMP-Pakete.

Ports

Gäbe es nur das Internet-Protokoll, könnte immer nur ein einziges Programm mit einem anderen auf der Gegenseite Daten austauschen. Aus diesem Grund gibt es die vierte Schicht des OSI-Modells, die Transportschicht ("Transport Layer"). Hier kommen Protokolle wie TCP oder UDP zum Einsatz. Beide weisen ein Paket einem von 216 verfügbaren Ports zu. Mit deren Hilfe ordnet das Betriebssystem ein Paket einem bestimmten Dienst zu.

Die 65.535 möglichen Ports teilen sich in drei Bereiche auf: Die Ports mit den Nummern von 0 bis 1023 enthält die so genannten "well-known" Ports, welche die Internet Assigned Numbers Authority (IANA, [2]) vergibt. Ein Großteil der alltäglich benutzen Protokolle operieren in diesem Bereich. Unter Linux dürfen nur Programme, die mit Root-Rechten laufen, diese Ports öffnen, weswegen man sie auch als privilegierte Ports bezeichnet.

Die Ports 1024 bis 49 150 nennt man registrierte Ports. Als Anwendungshersteller kann man bei der IANA einen solchen Port für seine Applikation registrieren lassen. Der letzte Bereich von 49 151 bis 65 535 enthält die komplett freien privaten Ports. Die Datei /etc/services enthält eine Liste bekannter Ports samt der Dienstnamen sowie einer kurzen Beschreibung dazu.

Die Zuordnung von Diensten zu Ports ist jedoch unverbindlich. Praktisch alle Dienste erlauben die freie Wahl, auf welchem Port sie lauschen sollen. Gerade für sicherheitsrelevante Programme, die nur ein kleiner Personenkreis benutzt, verwenden Admins häufig Portnummern abseits des Standards, um sie einer zu schnellen Entdeckung – beispielsweise durch Portscanner – zu entziehen.

Ports besitzen nur die Zustände offen oder geschlossen. Entweder horcht eine Applikation auf dem Port oder nicht. Wartet ein Programm am entsprechenden Port auf eine neue Verbindung, so erhältman auf Anfragen ein Antwortpaket mit gesetzten SYN-ACK-Flags. Ist der Port nicht belegt, kommt stattdessen ein Paket mit gesetzten RST-ACK Flags zurück. In jedem Fall darf ein Anfragender bei Kontaktversuchen sowohl zu offenen als auch zu geschlossenen Ports eine Antwort erwarten.

Bleibt diese aus, kommen dafür zwei Ursachen in Frage: Entweder ist das Paket auf der Strecke verloren gegangen, oder eine Firewall hat es verworfen. Dies ist eines der Hauptprobleme beim Portscanning: Es lässt sich bei einzelnen Pakten nicht mit Bestimmtheit sagen, ob der Port gefiltert ist – also eine Firewall das Paket verwirft – oder das Paket nur verloren gegangen ist.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...