Nmap: Offene Ports erkennen
Der quelloffene und kostenlose Portscanner Nmap (was für Network Mapper steht) eignet sich hervorragend um offene Ports in Ihrem Netzwerk zu entdecken (also Ports, an denen ein Dienst auf einkommende Anfragen und Datenpakete lauscht). Sie können damit ganz einfach das Antwortverhalten Ihres Netzwerks nach außen hin überprüfen. So entdecken Sie Dienste und dadurch geöffnete Ports, die Sie vielleicht gar nicht benötigen und können Sie deaktivieren respektive die Ports schließen bevor ein Angreifer diese zum Eindringen in Ihr System ausnutzt. Dienste, die Sie benötigen und deshalb nicht abschalten können, sollten Sie möglichst so konfigurieren, dass nicht von jedem beliebigen Rechner der Zugriff darauf möglich ist, sondern nur von bestimmten Rechnern, beispielsweise nur von PCs aus Ihrem Intranet. Die lässt sich bei Linux zum Beispiel mittels TCP-Wrapper umsetzen. Zudem sollten Sie Ihre Firewall so restriktiv konfigurieren, wie es nur irgendwie möglich und sinnvoll ist.
Da Portscanner ein typisches Werkzeug von Hackern sind, um fremde Netzwerke auf erste lohnenswerte Einstiegsmöglichkeiten zu testen, sollten Sie Ihr Netzwerk unbedingt regelmäßig scannen, um unentdeckte Schwachstellen rechtzeitig und noch vor potenziellen Angreifern zu entdecken. Ganz besonders wichtig ist ein umfassender Portscan, wenn Sie neue Dienste auf Ihrem Rechner/Server oder in Ihrem Netzwerk installiert und gestartet haben oder dessen Konfiguration verändert haben.
Mit Nmap ermitteln Sie auf den überprüften Clients die jeweils darauf geöffneten Ports. Beim Portscan werden sowohl TCP als auch UDP unterstützt. Typischerweise wird Nmap von der Kommandozeile aus gestartet, ganz einfach geht das mit folgendem Befehl: "nmap -v -A targethost". Bei targethost geben Sie die IP-Adresse des zu überprüfenden Rechners ein. Doch Nmap besitzt noch viel mehr Optionen für den professionellen Einsatz, die Sie auf der Kommandozeile mitangeben können. Wenn Sie beispielsweise nur Ports für TCP-Verbindungen suchen, sollten Sie nmap -sT eingeben. Eine Liste der Optionen finden Sie auf dieser Seite.
Jedes Betriebssystem hinterlässt seinen eigenen Fingerabdruck im Internet, beispielsweise anhand der TCP/IP-Stack-Implementation. Diesen Vorgang nennt man OS-Fingerprinting. Ein Portscanner kann versuchen, anhand dieses Fingerabdrucks das Betriebssystem zu identifizieren. Fingerprinting kann aktiv (hier schickt das Analyseprogramm selbst Datenpakete an den zu untersuchenden Rechner. Vorteil: Die Analyse fällt exakter aus. Nachteil: Der Portscan kann entdeckt werden) und passiv (hier liest das Scannerprogramm nur den Traffic an den überwachten Rechner mit. Das führt zu weniger exakten Ergebnissen, diese Art des Scannens wird aber nicht entdeckt) erfolgen. Ein aktiver Versuch zur Identifizierung des Betriebssystems des Zielrechners mit abgeschickten TCP-Paketen sieht beispielsweise so aus: nmap -sT -O Clientname (wenn man den Scanvorgang beschleunigen will, kann man zusätzlich mit "-p" auch noch gezielt den Port angeben, an den Nmap das Datenpaket schicken soll). Das "-O" steht für "Enable OS detection". Schutzmaßnahmen gegen Fingerprinting bestehen etwa darin, dass der Zielrechner so konfiguriert ist, dass er keine Informationen über sich preis gibt oder dass er sogar falsche Informationen sendet um den Angreifer zu verwirren.
Übrigens: Ihren Arbeitsplatzrechner können Sie mit "nmap -v -A localhost" bequem auf offene Ports scannen. Das klappt aber nur, wenn Sie eine Linux-Maschine haben, bei Windows-Rechner funktioniert der localhost-Scan nicht. Das "-v" schaltet den Verbose-Modus ein, in dem Nmap anzeigt, was es gerade macht.
Admins können einen Portscan unter Umständen mit Intrusion-Detection-Systemen erkennen. Nmap kann deshalb so konfiguriert werden, das er verborgen scannt: das nennt man dann einen Stealth-Scan. Dafür sind Rootrechte erforderlich.
Wer keine Lust auf die Kommandozeile hat, kann auch eine grafische Oberfläche für Nmap nutzen. Mehr dazu lesen Sie auf der nächsten Seite.