Wo liegt die Ursache des Problems der Netzwerk-Ports? Liegt es in der genutzten Technologie, an der Technologie, die auf den Ports genutzt wird oder an der Technologie, die potenzielle Angreifer verwenden?
Über die Netzwerke reisen die Datenpakete von und zu nummerierten Netzwerk-Ports, die mit bestimmten IP-Adressen und Endpunkten verbunden sind. Hierfür können auf der Transportschicht sowohl das TCP- als auch das UDP-Protokoll verwendet werden. Alle Ports sind potenziell gefährdet. Kein Port ist von sich aus sicher. Jeder Port und der zugrunde liegende Dienst weist seine Risiken auf. Das Risiko hat seine Ursache in der Version des Dienstes, ob jemand diesen Dienst richtig konfiguriert hat, und wenn dieser Dienst Passwörter nutzt, ob diese stark genug ausgelegt sind. Aber es gibt noch viele weitere Faktoren, die bestimmen, ob ein Port oder ein Dienst als sicher zu betrachten ist. Hierzu gehört beispielsweise, ob der Port einfach von einem Angreifer ausgewählt werden kann, um seine Angriffe durchführen zu können bzw. eine Malware durch diesen Port auf ein Angriffsziel zu schleusen.
Was erhöht das Sicherheitsrisiko der Ports?
In der TCP/IP-Welt gibt es insgesamt 65.535 TCP-Ports und weitere 65.535 UDP-Ports. Zu den bekanntesten Ports gehören:
- TCP-Port 21: Dieser verbindet FTP-Server mit dem Netzwerk. Viele FTP-Server verfügen von Konzept her über zahlreiche Schwachstellen. Hierzu gehören: anonyme Authentifizierungsfunktionen, Directory-Traversals und Cross-Site-Scripting.
- TCP-Port 23: Der virtuelle Terminalservice Telnet war von Anfang an unsicher. Telnet sendet die Daten immer vollständig in Klartext. Die Angreifer können über diesen Port bequem die Daten abhören, Befehle über Man-in-the-Middle-Angriffe injizieren und auch aus der Ferne heraus Code einschleusen.
- TCP/UDP-Port 53: Während einige Netzwerk-Ports gute Einstiegspunkte für Angreifer darstellen, werden Andere als gute Fluchtwege genutzt. Die TCP/UDP-Port 53 für DNS bieten eine Exit-Strategie. Sobald die Hacker in ein Netz eingedrungen sind, müssen sie nur noch dafür sorgen, dass die „erbeuteten“ Daten auch sicher aus dem Unternehmen herausgeschafft werden können. Hierzu wird eine Software genutzt, die die Daten in DNS-Verkehr verwandelt. Der DNS-Verkehr wird in den Unternehmen selten überwacht und noch seltener gefiltert. Die erbeuteten Daten werden somit sicher über das Netz hinweg auf deren DNS-Server übertragen. Dort werden die DNS-Daten wieder in ihre ursprüngliche Form übersetzt.
- TCP-Port 80: Je häufiger ein Port verwendet wird, desto einfacher wird dieser für Angriffe genutzt. Auf Basis des TCP-Ports 80 arbeitet HTTP und übermittelt den Web-Verkehr. Zu den bekannten Angriffe auf Web-Clients (die über Port 80 kommunizieren, gehören SQL-Injektionen, Fälschung von Cross-Site-Anfragen, Cross-Site-Scripting und Puffer-Overruns.
- TCP-Port 1080: Einige Angreifer nutzen auch individuelle Ports für ihre Aktivitäten. Der TCP-Port 1080 wird von sicheren Socket- (SOCKS-)Proxies genutzt. Trojanische Pferde und Würmer wie Mydoom und Bugbear nutzen oftmals den Port 1080 bei Angriffen. Hat ein Netzwerkadministrator den SOCKS-Proxy nicht eingerichtet, dann ist dessen Existenz ein klarer Hinweis auf schädliche Aktivitäten im Netz.
Meist nutzen Hacker solche Portnummern, die sich leicht merken lassen (beispielsweise 234, 6789, 666 oder 8888). Einige Backdoor- und Trojaner-Softwaren nutzen für den Empfang von Daten den TCP-Port 4444.
Der Web-Verkehr verwendet jedoch nicht nur den Port 80 allein. HTTP-Verkehr verwendet auch die TCP-Ports 8080, 8088 und 8888. Bei den Servern, die über diese Ports kommunizieren, handelt es sich weitgehend um ältere Systeme, die nicht gemanaged werden. Allerdings kann es sich bei Servern auf diesen Ports auch um HTTP-Proxies handeln, die, wenn diese nicht vom jeweiligen Netzwerkadministrator installiert wurden, einen Hinweis auf ein Sicherheitsproblem darstellen können.
So genannte Elite-Angreifer haben die TCP und UDP-Ports 31337 für die bekannte Back-Orifice-Hintertür und einige andere bösartige Software-Programme genutzt.
Bei Back-Orifice (oft abgekürzt als BO) handelt es sich um ein Fernwartungswerkzeug für Microsoft-Windows. Da dieses Werkzeug versteckt eingesetzt und sein Programmname beliebig gewählt werden kann, wird es häufig als illegales Hintertür-Programm genutzt. Sobald Back-Orifice auf einem „aus der Ferne zu wartenden“ (oder angegriffenen) Rechner installiert ist, kann der „Fernwartungstechniker“ (oder Angreifer) diesen Rechner über das Internet oder das lokale Netzwerk unbemerkt unter seine Kontrolle bringen.
Auf dem TCP-Port 31337 arbeiten beispielsweise Sockdmini, Back-Fire, icmp_pipe.c, Back-Orifice-Russisch, Freak88, Baron-Night und BO-Client. Ein Beispiel für die Nutzung von UDP-Port 31337 ist Deep-BO.
Schwache Passwörter machen SSH und den Port 22 zu leichten Angriffszielen. Der Port 22 heißt auch Secure-Shell-Port, der den Zugriff auf Remote-Shells auf physischen Servern ermöglicht. Durch Standard-Anmeldeinformationen oder leicht zu erratene Benutzernamen und Passwörter ist ein solches System sehr anfällig für solche Angriffe.
Viele Hacker können immer noch die IRC-Mechanismen (Ports 6660 bis 6669) nutzen. Eigentlich müssten die vielen IRC-Schwachstellen (beispielsweise Unreal-IRCD für triviale Remote-Ausführung) bekannt und sollten daher speziell geschützt sein bzw. nicht mehr genutzt werden. Auch der UDP-Port 161 ist für Angreifer verführerisch, weil darüber das SNMP-Protokoll auf die vernetzten Maschinen zugreift. Über die #SNMP-Mechanismen können die Server auf Benutzernamen, Netzwerkfreigaben und anderen Informationen untersucht werden.
Absicherung der Ports, der Services und der Schwachstellen
Die Unternehmen können SSH durch Nutzung der SSH-Public-Key-Authentifizierung schützen, das Login als Root deaktivieren und SSH einfach auf eine andere Portnummer verschieben. Wenn ein Benutzer eine Verbindung zu #SSH auf einer hohen #Portnummer (beispielsweise #Port 25.000) herstellt, wird es für die Angreifer schwieriger eine Angriffsfläche für den SSH-Dienst zu finden.
Will ein Unternehmen IRC betreiben, dann sollte dieser immer hinter einer Firewall aktiviert werden. Dadurch wird verhindert, dass eine Kommunikationsverbindung von IRC-Services zu Ressourcen außerhalb des eigenen Netzwerks aufgebaut werden kann. Die Schutzmaßnahme kann so aufgebaut werden, dass externe Nutzer ihren IRC-Dienst nur auf Basis eines #VPNs nutzen können.
Fortlaufende Port-Nummern und vor allem lange Zahlensequenzen deuten nur selten auf eine legitime Verwendung von Ports hin. Der Netzadministrator sollte daher regelmäßig die genutzten Ports auf Auffälligkeiten untersuchen. Das Überwachen und das Filtern der DNS-Verkehre schützt vor ungewollten Zugriffen auf das Netzwerk. Auch sollte sich mittlerweile herumgesprochen haben, dass die Telnet-Dienste (Port 23) niemals über das öffentliche Internet zur Verfügung gestellt werden sollten. Auch im internen Netz hat #Telnet seine Probleme und gilt auch hier als Sicherheitsrisiko. Eventuell lässt sich der Einsatz dieses Protokolls vollständig vermeiden.
Aus Sicherheitsgründen sollten alle unbenutzten Ports geschlossen werden. Host-basierte Firewalls in Kombination mit netzwerkbasierten #Firewalls sorgen für eine durchgehende Überwachung der Datenverkehre. Regelmäßige Port-Scans als fester Bestandteil eines Pen-Tests, stellt sicher, dass keine Ports unkontrolliert offen stehen. Hier ist besonders auf SOCKS-Proxies oder andere Service zu achten, die nicht vom zuständigen Administrator eingerichtet wurden.
Die Härtung der Geräte und das #Patchen der Software oder Service sollte ebenfalls eine Selbstverständlichkeit sein. Neue bzw. unbekannte Schwachstellen in alten und neuen Software-Versionen ermöglichen den Angreifern eventuell einen Zugriff über die Netzwerk-Ports. Aus diesem Grund sollte man immer nur die neueste Versionen der genutzten Dienste einsetzen. Diese Dienste sollten korrekt (bzw. angemessen) konfiguriert werden und es dürfen nur starke Passwörter genutzt werden. Über Zugriffslisten steuert man, wer auf die Ports und die Dienste zugreifen kann.
#Netzpalaver
