Anti-Portscan

Auf der Registerkarte Network Protection > Intrusion Prevention > Anti-Portscan werden die Optionen für die Portscan-Erkennung konfiguriert.

Portscans werden meist von Hackern durchgeführt, um in gesicherten Netzwerken nach erreichbaren Diensten zu suchen: Um in ein System einzudringen bzw. eine Denial-of-Service-Attacke (DoSClosed) zu starten, benötigen Angreifer Informationen zu den Netzwerkdiensten. Wenn solche Informationen vorliegen, sind Angreifer möglicherweise in der Lage, gezielt die Sicherheitslücken dieser Dienste auszunutzen. Netzwerkdienste, die die Internet-Protokolle TCPClosed und UDPClosed verwenden, sind über bestimmte Ports erreichbar und diese Port-Zuordnung ist im Allgemeinen bekannt, z. B. ist der Dienst SMTPClosed in der Regel dem TCP-Port 25 zugeordnet. Die von Diensten verwendeten Ports werden als „offen“ bezeichnet, da es möglich ist, eine Verbindung zu ihnen aufzubauen, wohingegen unbenutzte Ports als „geschlossen“ bezeichnet werden, da Versuche, eine Verbindung zu ihnen aufzubauen, scheitern. Damit Angreifer herausfinden können, welche Ports offen sind, verwenden sie ein spezielles Software-Werkzeug, den Portscanner. Dieses Programm versucht mit mehreren Ports auf dem Zielhost eine Verbindung aufzubauen. Falls dies gelingt, zeigt es die entsprechenden Ports als offen an und die Angreifer haben die nötigen Informationen darüber, welche Netzwerkdienste auf dem Zielhost verfügbar sind.

Da den Internetprotokollen TCP und UDP je 65535 Ports zur Verfügung stehen, werden die Ports in sehr kurzen Zeitabständen gescannt. Wenn nun von derselben Quell-IP-Adresse mehrere Versuche registriert werden, mit immer anderen Ports Ihres Systems Verbindung aufzunehmen bzw. Informationen an diese zu senden, dann handelt es sich mit ziemlicher Sicherheit um einen Portscan. Wenn ein vermeintlicher Angreifer Hosts oder Dienste in Ihrem Netzwerk scannt, wird dies von der Portscan-Erkennung entdeckt. Eine Möglichkeit dagegen vorzugehen ist, weitere Portscans von derselben Quell-IP-Adresse automatisch zu blockieren. Beachten Sie, dass die Portscan-Erkennung auf Internetschnittstellen beschränkt ist, also Schnittstellen mit Standardgateway.

Technisch gesehen liegt ein Portscan vor, wenn für eine einzelne Quell-IP-Adresse innerhalb von 300 ms eine Erkennungsrate (engl. Detection Score) von 21 Punkten erreicht wird. Diese Erkennungsrate setzt sich folgendermaßen zusammen:

  • Scan eines TCP-Zielports unter 1024 = 3 Punkte
  • Scan eines TCP-Zielports gleich oder größer als 1024 = 1 Punkt

Um die Portscan-Erkennung zu aktivieren, gehen Sie folgendermaßen vor:

  1. Aktivieren Sie auf der Registerkarte Anti-Portscan die Portscan-Erkennung.

    Klicken Sie auf den Schieberegler.

    Der Schieberegler wird grün und der Bereich Allgemeine Einstellungen kann nun bearbeitet werden.

  2. Nehmen Sie die folgenden Einstellungen vor:

    Aktion: Die folgenden Aktionen sind möglich:

    • Ereignis nur protokollieren: Es wird keine Maßnahme gegen den Portscanner ergriffen. Das Ereignis wird nur protokolliert.
    • Verkehr verwerfen: Weitere Pakete des Portscans werden verworfen. Der Portscanner wird diese Ports als „gefiltert“ melden.
    • Verkehr ablehnen: Die Verbindungsanfragen des Angreifers werden zurückgewiesen und eine ICMP-Antwort „destination unreachable/port unreachable“ (Ziel/Port unerreichbar) wird an den Initiator geschickt. Der Portscanner wird diesen Port als „geschlossen“ melden.

    Protokollierung begrenzen: Aktivieren Sie diese Option, um die Menge der Protokollnachrichten zu begrenzen. Die Portscan-Erkennung kann während eines Portscans viele Einträge erzeugen. So wird z. B. jedes SYN-Paket, das als Teil eines Portscans angesehen wird, im Firewallprotokoll festgehalten. Durch Aktivierung dieser Funktion wird der Protokollumfang auf fünf Zeilen pro Sekunde reduziert.

  3. Klicken Sie auf Übernehmen.

    Ihre Einstellungen werden gespeichert.