We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Hva er portskanning?

Portskanning er en metode som brukes for å finne ut hvilke porter på et nettverk som er åpne og kan motta eller sende data. Det er også en prosess for å sende datapakker til bestemte porter på en vertsenhet og analysere svarene for å finne sårbarheter. Portskanningen kan bare skje etter at det er opprettet en liste over aktive verter og en oversikt over IP-adressene deres. Når nettverket er grundig skannet og en vertsliste opprettet, kan selve portskanningen utføres. Organiseringen av IP-adresser, vertsenheter og porter gjør det mulig for skanningen å finne åpne eller sårbare serverplasseringer for å bedømme sikkerhetsnivåene.

Skanningene viser hva slags sikkerhet som er på plass, for eksempel en brannmur mellom serveren og brukerens enhet.

Både angripere og administratorer kan bruke slike skanninger til å kontrollere sikkerhetstiltakene på et nettverk og finne sårbarheter. For en angriper er målet å utnytte svakheter i inngangsportene.

De generelle protokollene som brukes til portskanning er TCP og UDP. Begge er dataoverføringsmetoder på Internett, men de bruker ulike mekanismer. TCP er en pålitelig, toveis, forbindelsesbasert dataoverføringsmetode som benytter seg av mottakerens status for å kunne fullføre en sending. UDP bruker ikke forbindelser og er upålitelig. Dataene sendes uten å ta hensyn til mottakeren, og det er derfor ingen garanti for at dataene kommer fram. Det finnes flere metoder for å utføre portskanninger ved hjelp at disse to protokollene, noe vi skal forklare i avsnittet om teknikker nedenfor.

Hva er en port?

Porter på datamaskiner er inngangs- og utgangspunktene for dataflyten mellom programmer eller Internett og en enhet eller en annen datamaskin i nettverket. De er en slags parkeringsplass for data som skal utveksles via elektroniske mekanismer, programvare eller programmeringsrelaterte metoder. Portnumre brukes til å opprettholde samsvar og til programmeringsformål. Portnummeret i kombinasjon med IP-adressen utgjør den helt nødvendige informasjonen som alle Internettleverandører trenger for å utføre forespørsler. Portnumre går fra 0 til 65 536 og rangeres ut ifra popularitet.

Portnumre fra 0 til 1023 er velkjente porter som brukes til Internett-formål, men de kan også brukes til andre formål. De administreres av IANA (Internet Assigned Numbers Authority). Disse portene brukes av store firmaer, organisasjoner og populære tjenester. Du gjenkjenner kanskje noen av de meste vanlige portene, og tjenestene de er tilordnet:

  • Port 20 (UDP) er tilordnet FPT (File Transfer Protocol) og brukes til dataoverføring.
  • Port 22 (TCP) er tilordnet protokollen SSH (Secure Shell) for sikker pålogging, FTP og videresending av porter.
  • Port 53 (UDP) brukes for DNS (Domain Name System), som knytter navn til IP-adresser.
  • Port 80 (TCP) brukes for HTTP-protokollen på weben (WWW).

Numrene fra 1024 til 49 151 regnes som registrerte porter og er reservert av programvareselskaper. Numrene fra 49 151 til 65 536 er dynamiske og private porter som kan brukes av alle.

Hvilke typer resultater får man fra portskanning?

Portskanning viser brukeren statusen til nettverket eller serveren i tre kategorier: åpen, lukket eller filtrert.

Åpne porter betyr:

Målserveren eller -nettverket godtar aktivt tilkoblinger eller datagrammer og svarte med en pakke som viser at den lytter. Det betyr også at tjenesten som brukes for skanningen (som regel TCP eller UDP) også er i bruk. Funn av åpne porter er som oftest målet med portskanning, og for nettkriminelle som leter etter en angrepsvinkel er slike funn en seier. Administratorer prøver å sperre disse portene ved å installere brannmurer for å beskytte dem, uten at tilgangen for legitime brukere blir sperret.

Lukkede porter betyr:

Serveren eller nettverket mottok forespørselen, men ingen tjenester lytter på den porten. Lukkede porter kan fortsatt være tilgjengelige, og de kan være nyttige for å vise at en vert finnes på en IP-adresse. Disse portene bør likevel overvåkes, siden de kan bli åpnet og utgjøre en sårbarhet. Administratorer bør vurdere å blokkere dem med en brannmur, hvor de i stedet blir «filtrerte» porter.

Filtrerte porter betyr:

En pakke med en forespørsel ble sendt, men verten hverken svarte eller lyttet. Det betyr som regel at forespørselspakken ble filtrert ut eller blokkert av en brannmur. Pakkene når ikke målet, og angriperne får dermed ikke noe mer informasjon. Svaret de får tilbake er ofte feilmeldinger av typen «målet kunne ikke nås» eller «kommunikasjon ikke tillatt».

Portskanningsteknikker

Det finnes flere forskjellige portskanningsteknikker som sender ut pakker.

Nedenfor beskriver vi noen av teknikkene.

  • Den enkleste formen for portskanning kalles ping-skanning. De sendes i form av ICMP-forespørsler (ICMP står for «Internet Control Message Protocol»). Ping-skanninger sender automatisk ut en mengde ICMP-forespørsler på en gang til ulike servere, for å fiske etter svar. Administratorer kan bruke denne teknikken til å søke etter feil, eller de kan deaktivere pinging ved hjelp av en brannmur, slik at det blir umulig for ondsinnede aktører å finne nettverket ved hjelp av ping-teknikken.
  • Halvåpne skanninger eller «SYN»-skanning sender bare en synkroniseringsmelding og fullfører ikke tilkoblingen. Dette er en raskt og lur teknikk som brukes til å finne åpne porter på enheter.
  • Juletreskanninger (XMAS) er enda stillere og mindre merkbare. Noe ganger slipper FIN-pakker ubemerket gjennom brannmurer fordi de for det meste ser etter SYN-pakker. Derfor sender juletreskanninger pakker med alle flagg, inkludert FIN, og forventer ingen respons, som betyr at porten er åpen. Hvis svaret er RST betyr det at porten er lukket. Dette er bare en lurere måte å finne informasjon om nettverkets beskyttelse og brannmur på, siden den sjelden vises i logger.

Hvordan kan datakriminelle bruke portskanning som angrepsmetode?

Portskanning er ifølge SANS-instituttet blant de mest populære taktikkene i bruk av angripere for å lete etter sårbare servere for å gjøre innbrudd.

De nettkriminelle bruker ofte portskanning som et innledende trinn når de sikter seg inn på nettverk. De bruker skanningen til å teste sikkerhetsnivået til ulike nettverk for å finne ut hvilke som har en sterk brannmur og hvilke servere eller nettverk som kan være sårbare. Flere TCP-protokollteknikker gjør det faktisk mulig for angripere å skjule sin egen nettverksplassering og bruke luretrafikk for å utføre portskanninger, uten å avsløre nettverksadressen overfor målet.

De tester nettverk og systemer for å se hvordan hver port reagerer (åpen, lukket eller filtrert). Svar om åpne og lukkede porter gir hackere beskjed om at skanningen har fått kontakt med nettverket. De datakriminelle kan deretter finne ut nivået på sikkerheten og hvilken type operativsystem bedriften bruker. Portskanning er en gammel teknikk som krever sikkerhetsendringer og oppdatert trusselinformasjon, siden protokoller og sikkerhetsverktøy utvikler seg hele tiden. Portskanningsvarsling og brannmurer er nødvendige for å overvåke datatrafikken til portene og sørge for at ondsinnet trafikk ikke oppdager nettverket.