We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Wat zijn poortscans?

Poortscans maken het mogelijk te bepalen welke poorten in een netwerk geopend zijn en kunnen worden gebruikt om gegevens te ontvangen of te verzenden. Daarnaast kunnen ze worden gebruikt om gegevenspakketjes te verzenden naar specifieke poorten op een host en de reacties vervolgens te analyseren om kwetsbaarheden op te sporen. Poortscans kunnen niet worden uitgevoerd zonder eerst een lijst van de actieve hosts vast te stellen en deze hosts toe te wijzen aan hun respectieve IP-adressen. Pas nadat er een grondige netwerkscan is uitgevoerd en een lijst van de hosts is samengesteld, kan er een goede poortscan worden uitgevoerd. Het geheel van IP-adressen, hosts en poorten stelt het scanprogramma in staat geopende of kwetsbare serverlocaties op te sporen met als doel om de beveiligingsniveaus te analyseren.

Met behulp van dergelijke scans kunnen de aanwezige beveiligingsmiddelen worden gedetecteerd, zoals een firewall tussen de server en het apparaat van de gebruiker.

Zowel cyberaanvallers als beheerders kunnen deze scans gebruiken om het beveiligingsbeleid van een netwerk te onderzoeken en eventuele kwetsbaarheden op te sporen, en (in het geval van cyberaanvallers) zwakke eindpuntapparaten voor hun snode karretje te spannen.

De protocollen die in het algemeen worden gebruikt voor poortscans zijn TCP (Transmission Control Protocol) en UDP (User Datagram Protocol). Beide maken gegevensoverdracht via internet mogelijk, maar ze verschillen qua werking. TCP is een betrouwbare methode voor gegevensoverdracht in twee richtingen via een verbinding waarbij wordt vertrouwd op de status van de bestemming om een verzending te voltooien. UDP is een verbindingsloos protocol dat niet erg betrouwbaar werkt. De gegevens worden verzonden zonder rekening te houden met de status van bestemming. Daardoor is er geen garantie dat de gegevens aankomen. Er zijn verschillende methoden om poortscans uit te voeren met behulp van deze twee protocollen. Ze worden uitgelegd in het technische gedeelte hieronder.

Wat is een poort?

Computerpoorten vormen het centrale doorvoerpunt voor de gegevensstromen van een programma of internet naar een apparaat of een andere computer in het netwerk en vice versa. Hier worden gegevens geparkeerd die worden uitgewisseld via elektronische, softwarematige of programmagerelateerde mechanismen. Met het oog op de consistentie en voor programmeerdoeleinden worden de poorten genummerd. De combinatie van poortnummer en IP-adres vormt de essentiële informatie die internetproviders bijhouden om aan verzoeken te voldoen. De poorten lopen van 0 tot 65.536 en worden gerangschikt op volgorde van populariteit.

De poorten 0 tot en met 1023 zijn bekende poortnummers die bedoeld zijn voor internetgebruik, hoewel ze ook specifieke doelen kunnen dienen. Ze worden beheerd door de Internet Assigned Numbers Authority (IANA). Deze poorten worden gebruikt voor prominente toepassingen als Apple QuickTime, MSN, SQL-services en dergelijke. Misschien komen bepaalde poortnummers en de eraan toegewezen services u bekend voor:

  • Poort 20 (UDP) wordt gebruikt voor File Transfer Protocol (FTP), het protocol voor bestands- en gegevensoverdracht
  • Poort 22 (TCP) wordt gebruikt voor Secure Shell (SSH), het protocol voor beveiligd aanmelden, ftp en port forwarding
  • Poort 53 (UDP) wordt gebruikt voor het domeinnaamsysteem (DNS), waarmee namen worden omgezet in IP-adressen
  • Poort 80 (TCP) wordt gebruikt voor HTTP, het protocol voor de communicatie op het world wide web

De nummers 1024 tot en met 49.151 worden beschouwd als 'geregistreerde poorten', wat inhoudt dat ze zijn geregistreerd door softwarebedrijven. De poorten 49.151 tot en met 65.536 zijn dynamische en privépoorten, die door vrijwel iedereen kunnen worden gebruikt.

Wat voor resultaten levert een poortscan op?

Bij poortscans wordt de status van het netwerk of de server teruggemeld aan de gebruiker, met vermelding van een van de volgende drie categorieën: geopend, gesloten of gefilterd.

Geopende poorten:

De doelserver of het doelnetwerk accepteert actief verbindingen of datagrammen en reageert met een pakketje dat aangeeft dat er wordt ‘geluisterd’. Daarnaast is ook de service die wordt gebruikt voor de scanbewerking (meestal TCP of UDP) actief. Poortscans worden in het algemeen uitgevoerd om geopende poorten op te sporen en zijn dan ook van grote waarde voor cybercriminelen die op zoek zijn naar een aanvalsroute. Beheerders proberen deze poorten te barricaderen door deze te beschermen met firewalls, zonder de toegang voor legitieme gebruikers te beperken.

Gesloten poorten:

De server of het netwerk heeft het verzoek ontvangen, maar er is geen service op die poort die 'luistert'. Een gesloten poort blijft toegankelijk en kan handig zijn om aan te tonen dat een host zich op een bepaald IP-adres bevindt. Deze poorten moeten nog steeds worden bewaakt, want ze kunnen worden geopend en leiden tot kwetsbaarheden. Beheerders doen er goed aan deze poorten te blokkeren met een firewall. In dat geval spreken we van 'gefilterde' poorten.

Gefilterde poorten:

Er is een pakketje met een verzoek verzonden, maar de host reageert niet en luistert ook niet. Dat betekent meestal dat het pakketje met het verzoek is uitgefilterd en/of geblokkeerd door een firewall. Pakketjes komen niet op hun bestemming aan en de aanvallers tasten in het duister. Vaak verschijnt er een foutmelding als 'bestemming onbereikbaar' of 'communicatie verboden'.

Wat voor poortscantechnieken zijn er?

Er zijn verschillende poortscantechnieken waarmee pakketjes om verschillende redenen naar bestemmingen kunnen worden gestuurd.

Hieronder worden enkele van de vele technieken beschreven en de werking ervan uitgelegd:

  • De eenvoudigste poortscans heten ‘pingscans’. Dit zijn IMCP-verzoeken (Internet Control Message Protocol). Met pingscans wordt een geautomatiseerde stroom van ICMP-verzoeken uitgestuurd naar verschillende servers om deze te verleiden tot een reactie. Beheerders kunnen deze techniek gebruiken voor probleemoplossingsdoeleinden of de pingfunctie uitschakelen met behulp van een firewall. Daardoor is voor het criminelen onmogelijk het netwerk via een pingopdracht te vinden.
  • Bij een halfopen scan of ‘SYN-scan’ wordt er alleen een SYN-bericht (van 'synchroniseren') verzonden en wordt er geen verbinding gemaakt, hoewel het doelapparaat dat wel verwacht. Dit is een snelle en geniepige techniek om geopende poorten op doelapparaten op te sporen.
  • XMAS-scans zijn nog geruislozer en onopvallender. Soms worden FIN-pakketten (berichten met de betekenis 'er zijn geen gegevens meer beschikbaar van de afzender') niet opgepikt door firewalls, omdat die meestal op zoek zijn naar SYN-pakketten. Daarom worden bij XMAS-scans pakketjes verzonden met alle vlaggen, waaronder FIN. Daarbij wordt geen reactie verwacht, wat erop zou kunnen wijzen dat de poort geopend is. Als er een RST-reactie wordt ontvangen, is de poort gesloten. Dit is een nog geniepiger manier om erachter te komen wat voor beveiliging en firewall worden gebruikt in een netwerk, omdat deze scanbewerking zelden in de logboeken opduikt.

Hoe kunnen cybercriminelen poortscans gebruiken als aanvalsmethode?

Volgens het SANS Institute zijn poortscans erg in trek bij cybercriminelen die op zoek zijn naar kwetsbare servers om aan te vallen.

Deze criminelen gebruiken een poortscan vaak als eerste stap bij het zoeken naar een doelwit. Met behulp van de scanbewerking onderzoeken ze de beveiligingsniveaus van diverse organisaties om te bepalen wie er een sterke firewall heeft en wie mogelijk een kwetsbare server of kwetsbaar netwerk heeft. Er zijn verscheidene TCP-protocoltechnieken waarmee aanvallers hun netwerklocatie kunnen verbergen en die hen in staat stellen met behulp van 'decoy traffic' poortscans uit te voeren zonder hun netwerkadres bloot te geven aan het doelnetwerk.

Ze tasten netwerken en systemen af om de status van de poorten te achterhalen: geopend, gesloten of gefilterd. Op basis van de status ‘geopend’ of ‘gesloten’ weten hackers dat uw netwerk de scanbewerking heeft ontvangen. Vervolgens kunnen zij het beveiligingsniveau vaststellen en bepalen wat voor besturingssysteem uw bedrijf gebruikt. De poortscan is een oude techniek die het noodzakelijk maakt de beveiliging aan te passen en de dreigingsinformatie up-to-date te houden, aangezien protocollen en beveiligingstools zich dagelijks ontwikkelen. Poortscanmeldingen en firewalls helpen u om verkeer naar uw poorten te controleren en om te voorkomen dat uw netwerk wordt gedetecteerd met schadelijk gegevensverkeer.