Poortscans maken het mogelijk te bepalen welke poorten in een netwerk geopend zijn en kunnen worden gebruikt om gegevens te ontvangen of te verzenden. Daarnaast kunnen ze worden gebruikt om gegevenspakketjes te verzenden naar specifieke poorten op een host en de reacties vervolgens te analyseren om kwetsbaarheden op te sporen.
Voordat een poortscan kan worden uitgevoerd, moeten de actieve hosts eerst in kaart worden gebracht en toegewezen aan hun respectieve IP-adressen. Deze activiteit, “hostdetectie” genaamd, begint met het uitvoeren van een netwerkscan.
Het doel van poort- en netwerkscans is om de ordening van IP-adressen, hosts en poorten vast te stellen, om open of kwetsbare serverlocaties op te sporen en beveiligingsniveaus vast te stellen. Het bestaan van beveiligingsmaatregelen als een firewall tussen de server en het apparaat van de gebruiker kan worden vastgesteld met zowel poortscans als netwerkscans.
Na het uitvoeren van een grondige netwerkscan en het samenstellen van een lijst met actieve hosts, kunnen er poortscans worden uitgevoerd om in het netwerk op zoek te gaan naar open poorten die mogelijk onbevoegde toegang toestaan.
Hierbij zij opgemerkt dat zowel cyberaanvallers als IT-beheerders netwerk- en poortscans kunnen gebruiken om het beveiligingsbeleid van een netwerk te onderzoeken en eventuele kwetsbaarheden op te sporen, en (in het geval van cyberaanvallers) misbruik te maken van zwakke eindpuntapparaten. Het detecteren van hosts tijdens het scannen van een netwerk is vaak de eerste stap die aanvallers gebruiken voordat zij tot de aanval overgaan.
Omdat beide scans nog steeds een belangrijk werktuig zijn in de gereedschapskist die aanvallers gebruiken, kunnen IT-beheerders die netwerken tegen aanvallers willen beschermen aan de hand van de resultaten van netwerk- en poortscans belangrijke informatie verzamelen over de beveiligingsniveaus van het netwerk.
Wat zijn poorten en poortnummers?
Computerpoorten vormen het centrale doorvoerpunt voor de gegevensstromen van een programma of internet naar een apparaat of een andere computer in het netwerk en andersom. Hier worden gegevens geparkeerd die worden uitgewisseld via elektronische, softwarematige of programmagerelateerde mechanismen.
Met het oog op de consistentie en voor programmeerdoeleinden worden de poorten genummerd. De combinatie van poortnummer en IP-adres vormt de essentiële informatie die internetproviders bijhouden om aan verzoeken te voldoen. De poorten lopen van 0 tot 65.536 en worden gerangschikt op volgorde van populariteit.
De poorten 0 tot en met 1023 zijn bekende poortnummers die bedoeld zijn voor internetgebruik, hoewel ze ook specifieke doelen kunnen dienen. Ze worden beheerd door de Internet Assigned Numbers Authority (IANA). Deze poorten worden gebruikt voor prominente toepassingen als Apple QuickTime, MSN, SQL-services en dergelijke. Misschien komen bepaalde poortnummers en de eraan toegewezen services u bekend voor:
- Poort 20 (UDP) wordt gebruikt voor File Transfer Protocol (FTP), het protocol voor bestands- en gegevensoverdracht
- Poort 22 (TCP) wordt gebruikt voor Secure Shell (SSH), het protocol voor beveiligd aanmelden, ftp en port forwarding
- Poort 53 (UDP) wordt gebruikt voor het domeinnaamsysteem (DNS), waarmee namen worden omgezet in IP-adressen
- Poort 80 (TCP) wordt gebruikt voor HTTP, het protocol voor de communicatie op het world wide web
De nummers 1024 tot en met 49.151 worden beschouwd als 'geregistreerde poorten', wat inhoudt dat ze zijn geregistreerd door softwarebedrijven. De poorten 49.151 tot en met 65.536 zijn dynamische en privépoorten, die door vrijwel iedereen kunnen worden gebruikt.
Welke protocollen worden er gebruikt voor poortscans?
De protocollen die in het algemeen worden gebruikt voor poortscans zijn TCP (Transmission Control Protocol) en UDP (User Datagram Protocol). Beide maken gegevensoverdracht via internet mogelijk, maar ze verschillen qua werking.
TCP is een betrouwbare methode voor gegevensoverdracht in twee richtingen via een verbinding waarbij wordt vertrouwd op de status van de bestemming om een verzending te voltooien. UDP daarentegen is “verbindingsloos” en onbetrouwbaar. Gegevens die via het UDP-protocol worden verzonden, worden afgeleverd zonder rekening te houden met de status van bestemming. Daardoor is er geen garantie dat de gegevens aankomen.
Met behulp van deze twee protocollen kunnen er op verschillende manieren poortscans worden uitgevoerd.
Wat voor poortscantechnieken zijn er?
Er zijn diverse poortscantechnieken, afhankelijk van het specifieke doel. Hierbij zij opgemerkt dat ook cybercriminelen een specifieke poortscan kiezen die aansluit bij hun doel of aanvalsstrategie.
Hieronder worden enkele van de technieken beschreven en de werking ervan uitgelegd:
- Pingscans: De eenvoudigste poortscans worden “pingscans” genoemd. In een netwerk wordt een ping-opdracht gebruikt om te verifiëren of een netwerkgegevenspakket foutloos naar een IP-adres kan worden gestuurd. Pingscans zijn ICMP-verzoeken (Internet Control Message Protocol) waarmee een geautomatiseerde stroom van ICMP-verzoeken wordt uitgestuurd naar verschillende servers om deze te verleiden tot een reactie. IT-beheerders kunnen deze techniek gebruiken voor probleemoplossingsdoeleinden of de pingscan uitschakelen met behulp van een firewall. Daardoor is het voor aanvallers onmogelijk het netwerk via een pingopdracht te vinden.
- Halfopen of SYN-scans: Een halfopen scan of SYN-scan (van “synchroniseren”) is een tactiek die aanvallers gebruiken om de status van een poort vast te stellen zonder een volledige verbinding tot stand te brengen. Bij een dergelijke scan wordt er alleen een SYN-bericht verzonden maar geen verbinding gemaakt, hoewel het doelapparaat dat wel verwacht. Dit is een snelle en geniepige techniek om geopende poorten op doelapparaten op te sporen.
- XMAS-scans: XMAS-scans zijn nog geruislozer en onopvallender voor firewalls. Zo worden er gewoonlijk FIN-pakketten verstuurd vanaf een server of client om een verbinding te beëindigen na afloop van een “drieweg TCP-handshake” en een geslaagde gegevensoverdracht. Dit wordt aangegeven met het bericht “er zijn geen gegevens meer beschikbaar van de afzender”. FIN-pakketten worden vaak niet opgemerkt door firewalls omdat er voornamelijk op SYN- pakketten wordt gelet. Om die reden worden er bij XMAS-scans pakketjes verzonden met alle vlaggen, waaronder FIN. Daarbij wordt geen reactie verwacht, wat erop zou kunnen wijzen dat de poort geopend is. Als de poort gesloten is, zou er een RST-reactie worden ontvangen. De XMAS-scan duikt zelden op in controlelogboeken en is simpelweg een geniepige manier om meer te weten te komen over de bescherming en de firewall van een netwerk.
Wat voor resultaten levert een poortscan op?
Bij poortscans wordt de status van het netwerk of de server onthuld, met vermelding van een van de volgende drie categorieën: geopend, gesloten of gefilterd.
- Open poorten: Open poorten geven aan dat de doelserver of het doelnetwerk actief verbindingen of datagrammen accepteert en reageert met een pakketje dat aangeeft dat er wordt “geluisterd”. Daarnaast is ook de service die wordt gebruikt voor de scanbewerking (meestal TCP of UDP) actief.
Poortscans worden in het algemeen uitgevoerd om geopende poorten op te sporen en zijn dan ook van grote waarde voor cybercriminelen die op zoek zijn naar een aanvalsroute. De uitdaging voor beheerders is om te proberen deze poorten te barricaderen door ze te beschermen met firewalls, zonder de toegang voor legitieme gebruikers te beperken.
- Gesloten poorten: Gesloten poorten geven aan dat de server of het netwerk het verzoek heeft ontvangen, maar dat er geen service op die poort is die “luistert”. Een gesloten poort blijft toegankelijk en kan handig zijn om aan te tonen dat een host zich op een bepaald IP-adres bevindt. IT-beheerders moeten gesloten poorten in het oog houden, omdat ze kunnen worden geopend, waardoor kwetsbaarheden kunnen ontstaan. IT-beheerders doen er goed aan deze gesloten poorten te blokkeren met een firewall. In dat geval spreken we van “gefilterde” poorten.
- Gefilterde poorten: Gefilterde poorten geven aan dat er een pakketje met een verzoek verzonden is, maar dat de host niet reageert en ook niet luistert. Dat betekent meestal dat het pakketje met het verzoek is uitgefilterd en/of geblokkeerd door een firewall. Als pakketjes niet aankomen op hun bestemming, tasten de aanvallers in het duister. Vaak verschijnt er bij gefilterde poorten een foutmelding als ‘”bestemming onbereikbaar” of “communicatie verboden”.
Hoe kunnen cybercriminelen poortscans gebruiken als aanvalsmethode?
Volgens het SANS Institute zijn poortscans erg in trek bij aanvallers die op zoek zijn naar kwetsbare servers om aan te vallen.
Deze criminelen gebruiken een poortscan vaak als eerste stap bij het zoeken naar een doelwit. Met behulp van de poortscan onderzoeken ze de beveiligingsniveaus van diverse organisaties om te bepalen wie er een sterke firewall heeft en wie mogelijk een kwetsbare server of kwetsbaar netwerk heeft. Er zijn verscheidene TCP-protocoltechnieken waarmee aanvallers hun netwerklocatie kunnen verbergen en die hen in staat stellen met behulp van “decoy traffic” poortscans uit te voeren zonder hun netwerkadres bloot te geven aan het doelnetwerk.
Aanvallers tasten netwerken en systemen af om de status van de poorten te achterhalen, of ze nu geopend, gesloten of gefilterd zijn.
Voorbeeld: aan de hand van de status “geopend” of “gesloten” weten hackers dat de scanbewerking uw netwerk heeft bereikt. Vervolgens kunnen zij bepalen wat voor besturingssysteem uw bedrijf gebruikt en het beveiligingsniveau vaststellen.
De poortscan is een oudere techniek die het noodzakelijk maakt de beveiliging aan te passen en de dreigingsinformatie up-to-date te houden, aangezien de ontwikkeling van protocollen en beveiligingstools niet stilstaat. Met behulp van poortscanmeldingen en firewalls kunt u verkeer naar uw poorten controleren en voorkomen dat aanvallers achterpoortjes in uw netwerk detecteren.