 "PO-20582-Fotolia-Sean_Gladwell_Fotolia-Lupe.jpg")
Rechtlicher Hinweis
Einige der im Artikel besprochenen Programme fallen in die Kategorie "dual use". Der Anwender entscheidet über deren produktiven oder destruktiven Einsatz. Der Versuch, mit ihnen ohne die explizite Zustimmung der Besitzer Schwachstellen in fremden Netzen oder Rechnern ausfindig zu machen, ist strafbar und wird gemäß des "Hackerparagraphen" (§202c) mit Haftstrafen von bis zu einem Jahr geahndet.
Das Wissen über die Funktionsweise der Kommunikation zwischen Rechnern im Netz bildet eine unentbehrliche Grundlage für das Security Auditing, weswegen dieser Artikel sich im ersten Drittel damit beschäftigt. Der zweite Abschnitt führt Sie in den Einsatz der Portscanner Nmap und Portbunny ein. Schließlich erfahren Sie im letzten Teil, wie Sie mithilfe des Vulnerability-Scanners Nessus Sicherheitslücken auf den Rechnern Ihres Netzwerks aufspüren.
OSI-Modell
Das Transmission Control Protocol / Internet Protocol, kurz TCP/IP, ist aus der modernen Internetkommunikation nicht mehr wegzudenken. Beinahe alle Rechner verwenden es, um sich miteinander zu unterhalten, aber nur wenige Anwender wissen, was dabei vor sich geht.
Das OSI-Schichtenmodell [1] dient zum besseren Verständnis der Netzwerktechnik und als Referenz zur Implementierung. Es unterteilt die verschiedenen Aufgaben des Netzwerkes auf sieben Schichten.
Die erste Schicht (Bitübertragungsschicht, "Physical Layer") beschreibt den Standard auf der Hardware-Ebene, etwa für Kabel, Stecker und einfache Verteiler (Hubs). Die zweite Schicht (Sicherungsschicht, "Data Link Layer") behandelt die Kommunikation zwischen den einzelnen, in einem Netzwerk direkt verbundenen Komponenten, etwa zwischen zwei Netzwerkkarten. Die Kommunikation zwischen verschiedenen Netzwerken, zum Beispiel über IP, regelt Schicht 3 (Vermittlungsschicht, "Network Layer") des Modells. Hier könnte leicht der Eindruck entstehen, dass jede Schicht mit der gegenüberliegenden kommuniziert. Tatsächlich werden jedoch die Pakete der einzelnen Schichten in die jeweils darunter liegende Schicht eingepackt, auf Layer 1 zum Gegenüber gesendet, und dort in umgekehrter Reihenfolge wieder ausgepackt und nach oben gereicht.
Das Internet Protokoll (IP) ermöglicht das Versenden einzelner Pakete von Host zu Host. IP-Pakete finden selbständig ihren Weg von A nach B, Router leiten sie dabei in andere Netze weiter. Damit Pakete nicht wegen Netzwerkfehlern bis in alle Ewigkeiten von Router zu Router wandern, besitzen sie ein Time-To-Live-Feld (TTL). Jeder Router zählt dieses Nummernfeld beim Weitertransport um eine Stelle herunter. Kommt der Wert bei 0 an, verwirft der Router das Paket. Um den Absender davon in Kenntnis zu setzen, sendet er diesem ein ICMP-Paket. Das Internet Control Message Protocol dient einzig und allein dazu, Informationen über den Zustand des Netzwerks zu versenden. Im OSI-Modell befindet es sich auf der gleichen Ebene (Schicht 3) wie IP. Neben Nachrichten über abgelaufene TTLs informiert ICMP auch über nicht erreichbare Netzwerke und Hosts. Auch das bekannte Tool ping versendet ICMP-Pakete.
Ports
Gäbe es nur das Internet-Protokoll, könnte immer nur ein einziges Programm mit einem anderen auf der Gegenseite Daten austauschen. Aus diesem Grund gibt es die vierte Schicht des OSI-Modells, die Transportschicht ("Transport Layer"). Hier kommen Protokolle wie TCP oder UDP zum Einsatz. Beide weisen ein Paket einem von 216 verfügbaren Ports zu. Mit deren Hilfe ordnet das Betriebssystem ein Paket einem bestimmten Dienst zu.
Die 65.535 möglichen Ports teilen sich in drei Bereiche auf: Die Ports mit den Nummern von 0 bis 1023 enthält die so genannten "well-known" Ports, welche die Internet Assigned Numbers Authority (IANA, [2]) vergibt. Ein Großteil der alltäglich benutzen Protokolle operieren in diesem Bereich. Unter Linux dürfen nur Programme, die mit Root-Rechten laufen, diese Ports öffnen, weswegen man sie auch als privilegierte Ports bezeichnet.
Die Ports 1024 bis 49 150 nennt man registrierte Ports. Als Anwendungshersteller kann man bei der IANA einen solchen Port für seine Applikation registrieren lassen. Der letzte Bereich von 49 151 bis 65 535 enthält die komplett freien privaten Ports. Die Datei /etc/services enthält eine Liste bekannter Ports samt der Dienstnamen sowie einer kurzen Beschreibung dazu.
Die Zuordnung von Diensten zu Ports ist jedoch unverbindlich. Praktisch alle Dienste erlauben die freie Wahl, auf welchem Port sie lauschen sollen. Gerade für sicherheitsrelevante Programme, die nur ein kleiner Personenkreis benutzt, verwenden Admins häufig Portnummern abseits des Standards, um sie einer zu schnellen Entdeckung – beispielsweise durch Portscanner – zu entziehen.
Ports besitzen nur die Zustände offen oder geschlossen. Entweder horcht eine Applikation auf dem Port oder nicht. Wartet ein Programm am entsprechenden Port auf eine neue Verbindung, so erhältman auf Anfragen ein Antwortpaket mit gesetzten SYN-ACK-Flags. Ist der Port nicht belegt, kommt stattdessen ein Paket mit gesetzten RST-ACK Flags zurück. In jedem Fall darf ein Anfragender bei Kontaktversuchen sowohl zu offenen als auch zu geschlossenen Ports eine Antwort erwarten.
Bleibt diese aus, kommen dafür zwei Ursachen in Frage: Entweder ist das Paket auf der Strecke verloren gegangen, oder eine Firewall hat es verworfen. Dies ist eines der Hauptprobleme beim Portscanning: Es lässt sich bei einzelnen Pakten nicht mit Bestimmtheit sagen, ob der Port gefiltert ist – also eine Firewall das Paket verwirft – oder das Paket nur verloren gegangen ist.
Einem Freund empfehlen
