Sicheres Netzwerk und Nmap

Tutorial - Portscanner und Ports

29.11.2012
Von 
Seine erste Berührung mit Informatik erfolgte an einem C64 samt Floppy VC 1541. Von Anfang an nutzte er diesen faszinierenden Heimcomputer nicht nur zum Daddeln, sondern auch für die Basic-Programmierung. Unter anderem half er seinen damals etwas müden Kopfrechnen-Fähigkeiten auf die Sprünge, indem er ein Programm schrieb, das immer zwei zufällig ausgewählte Zahlen zur Multiplikation stellte. Im Hintergrund lief ein Timer. Nur wenn er das Ergebnis innerhalb des vorgegebenen Zeitraums, der leider manchmal zu knapp bemessen war, richtig eintippte, bekam er einen Punkt gutgeschrieben. Seine Highscore-Ergebnisse waren durchwachsen, seine Programmierkenntnisse dafür umso besser. Der Lehrstuhl, an dem er als studentische Hilfskraft angestellt war, gehörte seinerzeit zu den Vorreitern in Sachen IT. Man übersetzte damals die griechischen Inschriften der antiken Stadt Hierapolis – heute ist dieses türkische Pamukkale bekannt durch seine Kalksinter-Terrassen. Die wissenschaftlich korrekt erfassten und kommentierten Inschriften bearbeiteten Dirscherl und Kollegen zunächst in Wordperfect. Anschließend landeten die Texte in einer Datenbank, die auf CD gepresst und für sündhaft viel Geld weltweit verkauft wurde. Über dieses epigraphische Datenbankprojekt, diverse C-Programmierereien auf Unix-Systemen und seine ersten Experimente mit Linux landete er schließlich professionell bei der IT. Seit den späten 1990-ern nutzt er Linux als Produktivsystem, seit Anfang der 2000-er Jahre ist Linux sein hauptsächliches OS. Nach vielen Jahren mit Suse Linux und Open Suse und zwischendurch Ausflügen zu Red Hat und Debian landete er bei Ubuntu und erledigt damit alle Arbeiten. Linux und C ist er bis heute treu geblieben – nach einem Ausflug zu PHP und MySQL. Mittlerweile bastelt er auch mit Arduino. Bei pcwelt.de betreut er vor allem Business-IT-Themen und hat den Auto & Technik-Bereich von Null beginnend aufgebaut. Seine Tests der Infotainmentsysteme in modernen Fahrzeugen gehören zu den ausführlichsten Tests, die man dazu überhaupt finden kann. Daneben schreibt er zudem fast täglich aktuelle Meldungen aus der IT-Welt.

OS anhand Fingerprinting bestimmen

Das Betriebssystem-Fingerprinting ist in Bezug mit Portscans anzusprechen, da alle OS einen individuellen Fingerabdruck im Internet zurücklassen. Dieser wird mittels der TCP/IP-Stack-Implementation ausgelesen. Diese Vorgehensweise heißt OS-Fingerprinting. Portscanner probieren mittels Fingerabdruck das Betriebssystem zu erkennen. Diese Methode benützen auch Angreifer. Aus diesem Grund informieren sich Administratoren, wie Ihr System nach außen erscheint.

Es gibt eine aktive und eine passive Methode das Betriebssystem zu erkennen. Bei der aktiven versendet das Analyse-Programm an den zu überwachenden Zielrechner Datenpakete. Der Zielhost beantwortet die Pakete. Der Scanner versucht aus der Mitteilung das Betriebssystem herauszulesen. Dieses Verfahren übermittelt genauere Resultate als das passive Vorgehen. Administratoren identifizieren so das OS mithilfe der aktiven Methode.

Scannen des eigenen Netzwerks ist legal. Daher probieren Sie ruhig das aktive Verfahren in Ihrem eigenen System aus. Die passive Methode liest dagegen nur den Datenverkehr an den beobachteten Computer mit und liefert weniger genaue Resultate. Zudem bleibt die Untersuchung der Datenpakete für den überwachten Zielrechner verborgen.

Der Befehl "nmap -sT -O Clientname" versucht aktiv das Betriebssystem des Hosts zu erkennen. Das "-O" schaltet den "Enable OS detection"-Mode ein. Anwender hängen das Attribut "-p und die Portnummer" an, wenn sie einen bestimmten Port überprüfen wollen. TCP/IP-Stacks bleiben wirkungslos, wenn Rechner so eingestellt sind, dass sie keine Details über sich bekanntgeben oder unrichtige Informationen dem Angreifer mitteilen.

IDS (Intrusion Detection Systeme) helfen Administratoren dabei Portscans zu identifizieren. Aus diesem Grund bietet Nmap die Option Stealth-Scan, einen versteckten Scan, an. Hierfür bedarf es Root-Rechte.

Nmap und Zenmap, welches im nachfolgenden Abschnitt vorgestellt wird, haben Konkurrenten. Xprobe2 und p0f untersuchen Ports und probieren das OS herauszufinden.