Offene Ports und ihre Schwachstellen

Einer der ältesten Grundsätze guter Netzwerksicherheit lautet: Öffnen Sie nur Netzwerk-Ports, die notwendig sind, und stellen Sie sicher, dass Sie jeden nach außen offenen Port schützen.

Offene Ports bieten Angreifern die Möglichkeit, Ihr Netzwerk zu kompromittieren. In diesem Artikel sehen wir uns häufig geöffnete Ports an, ihre Schwachstellen und warum sie gefährlich sein können.

Was ist ein offener Port?

Ein offener Port ist ein Netzwerkanschluss, der Datenverkehr entweder über TCP oder UDP annimmt und die Kommunikation mit den zugrunde liegenden Servertechnologien ermöglicht. Offene Ports sind erforderlich, wenn Remote-Dienste gehostet werden, mit denen sich Endbenutzer verbinden können.

Warum sind Ports überhaupt offen?

Viele der im Internet verbreiteten Technologien, die die Kommunikation ermöglichen, sind auf offene Ports angewiesen, um zu funktionieren. Standardtechnologien wie Webserver, FTP-Dateiübertragungen, Voice-over-IP (VOIP), Namensauflösung und viele andere gängige Technologien, die den Netzwerkverkehr über das Internet ermöglichen, verwenden bestimmte Ports und Technologien für die Kommunikation.

Was ist der Unterschied zwischen TCP und UDP?

Sie werden feststellen, dass die Ports als TCP- oder UDP-Ports definiert sind. Sowohl TCP als auch UDP arbeiten in der Transportschicht des TCP/IP-Stacks und verwenden das IP-Protokoll. Was ist der Unterschied zwischen TCP und UDP? Das Transmission Control Protocol (TCP) ist verbindungsorientiert. Es enthält eine eingebaute Fehlerbehebung und Wiederholung der Übertragung.

Das User Datagram Protocol (UDP) ist ein verbindungsloses Protokoll, das keine Empfangsbestätigung erfordert. Dadurch wird die Leistung von UDP im Vergleich zu TCP verbessert, allerdings auf Kosten der garantierten Zustellung.

Häufig geöffnete Ports

Es giEs gibt bestimmte Netzwerkports, die mit Technologien und Netzwerkkommunikationsstandards in der Unternehmensumgebung, insbesondere in einem Windows-Netzwerk, verbunden sind. Welche sind das? Die folgenden Ports und die damit verbundenen Kommunikationstechnologien sind zu unterscheiden:

• TCP-Port 21 FTP (File Transfer Protocol) – Bietet eine Möglichkeit zur Übertragung von Dateien zwischen Computern, die auf dem einfachen Get- und Put-Konzept basieren, um Dateien entweder zu empfangen oder an einen entfernten Endpunkt zu senden. FTP ist nicht als sicheres Kommunikationsmittel gedacht.
• TCP-Port 22 SSH (Secure Shell) – SSH soll Administratoren die Möglichkeit bieten, sich über ein ungesichertes Netzwerk sicher mit einem Endpunkt zu verbinden.
• TCP-Port 23 Telnet – ermöglicht die Interaktion mit einem Netzwerk-Endpunkt über die Befehlszeile und wird manchmal als Tool für die Fernverwaltung verwendet
• TCP-Port 25 SMTP (Simple Mail Transfer Protocol) – ein Protokoll, das zur Weiterleitung von E-Mails von E-Mail-Server zu E-Mail-Server verwendet wird
• TCP- und UDP-Port 53 DNS (Domain Name System) – ein Protokoll, das für die Namensauflösung im Internet verwendet wird. Es durchläuft Port 53 über TCP- und UDP-Verbindungen. DNS ist verantwortlich für die Umwandlung von IP-Adressen, die nicht intuitiv sind, in menschenfreundliche Domänennamen, die in einen Webbrowser eingegeben werden
• TCP-Port 110 POP3 – Bekannt als Post Office Protocol, wird von E-Mail-Clients zum Synchronisieren und Herunterladen von E-Mails von entfernten E-Mail-Servern verwendet
• TCP-Port 145 IMAP – Internet Message Access Protocol synchronisiert und zeigt E-Mails an, ohne dass sie heruntergeladen werden müssen.
• TCP-Ports 80 und 443 HTTP und HTTPS – HTTP (Hypertext Transport Protocol) und HTTPS (Hypertext Transport Protocol over SSL) sind die Standardprotokolle und -ports der heutigen Webserver. HTTP-Port 80 ist das alte, unsichere Protokoll und der Port, der verwendet wird, während HTTPS das sichere Webserver-Protokoll und der Port ist, der für verschlüsselte Webkommunikation verwendet wird. Die meisten Unternehmen haben die Verwendung von HTTP generell abgelehnt, da es sich um Klartext und unsichere Kommunikation handelt.
• TCP-Port 81 – wird häufig als Web-Proxy-Port verwendet
• TCP- und UDP-Port 135, 137, 139 – Windows Remote Procedure Call (RPC) und Windows NetBIOS über TCP/IP sind in Windows-Netzwerken weit verbreitet. Diese kommunizieren über die TCP- und UDP-Ports 135, 137 und 139 und weisen in der Vergangenheit viele Sicherheitslücken auf.
• TCP-Port 1433 SQL – Microsoft SQL Server, der heute in vielen Unternehmen eingesetzt wird, kommuniziert über TCP-Port 1433.
• TCP-Port 3306 MySQL – Dieser Port wird für die Kommunikation mit MySQL-Datenbanken verwendet.
• TCP-Port 3389 RDP – Das Remote Desktop Protocol (RDP) wird verwendet, um Remote-GUI-Desktop-Sitzungen auf einem entfernten Windows-Computer anzuzeigen. Es wird häufig in Virtual Desktop Infrastructure (VDI)-Umgebungen verwendet.
• TCP-Port 5900 VNC – VNC ist ein Tool, das häufig für die Fernzugriffsverwaltung verwendet wird. Es kommuniziert über den TCP-Port 5900.

Schwachstellen von offenen Ports

Wie eingangs erwähnt, bieten offene Ports eine größere “Angriffsfläche” oder Gelegenheit für einen Angreifer, Schwachstellen, Exploits, Fehlkonfigurationen und andere Risiken aufgrund der erlaubten Netzwerkkommunikation über einen bestimmten Netzwerkport zu finden.

Es ist nicht unbedingt der offene Port, der das Risiko darstellt, sondern die zugrunde liegende Technologie und Infrastruktur, die diesen Port “abhört”. Schließlich sind der Port und der Listener nur die Tür. Die Technologie hinter der Tür ist es, die zu einer Kompromittierung führt. Ein Beispiel: Apache, NGINX oder Tomcat können die Webserver sein, die den Datenverkehr an Port 80/443 abhören. Daher können Angreifer nach bestimmten Schwachstellen in Apache, NGINX oder Tomcat suchen, um zu versuchen, die Umgebung anzugreifen.

Außerdem können Klartext und unverschlüsselte Protokolle zum “Schnüffeln” im Netzwerk führen. So kann ein Angreifer beispielsweise Kennwörter und andere vertrauliche Informationen, die im Klartext übertragen werden, mit einem Netzwerk-Tool, das den Netzwerkverkehr aufzeichnen kann (z. B. Wireshark), einsehen.

Wie man einen offenen Port schützt

Wenn es um den Schutz offener Ports geht, besteht der erste Schritt darin, nur Ports zu verwenden, die den Datenverkehr verschlüsseln. Dies bedeutet, dass ein Angreifer den Netzwerkverkehr nicht einfach abfangen und sensible Informationen entschlüsseln kann. Unternehmen sollten auch genau prüfen und entscheiden, ob ein offener Port notwendig ist. Wie eingangs erwähnt, vergrößert jeder offene Port die Angriffsfläche und das Potenzial für Kompromittierungen aufgrund von Schwachstellen, Fehlkonfigurationen und anderen Faktoren.

Offene Ports zum Internet sollten sich hinter einer modernen Firewall oder einem anderen Filtergerät befinden, um den Datenverkehr, der sich mit dem offenen Port verbindet, genau zu überprüfen. So wird sichergestellt, dass die Kommunikation mit der Technologie, die an diesem Port abgehört wird, gültig ist oder bösartige Absichten verfolgt.

Offene Ports sollten auch von Ihrem internen Netzwerk in einer so genannten DMZ oder demilitarisierten Zone abgetrennt werden. Wenn ein Angreifer den offenen Netzwerkport kompromittiert, ist es einfacher, die böswilligen Aktivitäten einzudämmen, wenn sie vom Rest des Netzwerks getrennt sind.

Bei passwortgeschützten Diensten, die an einem offenen Port abgehört werden, müssen Unternehmen die Passwörter schützen, die zur Authentifizierung der Dienste an diesen Ports verwendet werden. Abgesehen davon, dass niemals Klartextprotokolle verwendet werden dürfen, unterstreicht dieser Punkt die Notwendigkeit starker Passwortrichtlinien, die schwache, kompromittierte oder leicht erratbare Passwörter verhindern.

Zu guter Letzt, aber vielleicht am wichtigsten, sollten Sie sicherstellen, dass die zugrundeliegenden Technologien und Systeme, die den offenen Port abhören und darauf antworten, vollständig gepatcht sind, und dass Sicherheitsaktualisierungen so schnell wie möglich eingespielt werden. Angreifer suchen oft nach ungepatchten Sicherheitslücken, um einen offenen Port zu kompromittieren. Zusätzlich zu den oben erwähnten Strategien zum Schutz offener Ports, zu Audits und anderen Cybersicherheitsstrategien müssen Unternehmen sichere Passwörter durchsetzen und strenge Passwortrichtlinien verwenden.

Stärken Sie die Passwort-Sicherheit in Ihrem Unternehmen

Passwörter werden häufig zur Authentifizierung von Benutzern an offenen Ports verwendet. Leider sind passwortauthentifizierte Dienste, die offene Ports sichern, anfällig für Angriffe und die Kompromittierung von Passwörtern. Hierzu nachstehend bewährten Vorgehensweisen, die zu empfehlen sind:

• Verwenden Sie niemals Netzwerkprotokolle im Klartext
• Überprüfen Sie offene Netzwerk-Ports
• Verwenden Sie starke Passwortrichtlinien und Breached Password Protection

Mit Specops Password Policy können Unternehmen die systemeigenen Funktionen der Active Directory Password Policy erweitern und auf einfache Weise den Schutz vor kompromittierten Passwörtern und viele andere Funktionen wie z.B. mehrere Passwort-Wörterbücher, Passphrasen und längenbasierte Alterung hinzufügen.

Der kostenlose Specops Password Auditor ermöglicht es, die passwortrelevante Schwachstellen in Ihrem Active Directory schnell zu erkennen und die aktuell verwendeten Passwort-Richtlinien mit den Best-Practice-Empfehlungen der Industrie zu überprüfen.

Erfahren Sie mehr über Specops Password Policy und Specops Password Auditor und laden Sie hier eine kostenlose Testversion von Specops Password Policy herunter.