Das Scannen eines Netzwerkes

Das Scannen eines Netzwerkes ist der Prozess durch belauschen des Netzwerkverkehrs und aktives Senden von Probedatenpaketen Informationen über ein Netzwerk zu erlangen. So können Sie unter anderem darüber ermitteln, wie viele Geräte an Ihrem Heimnetzwerk angeschlossen sind, welche IP Adressen diese besitzen, teilweise den Namen der Rechner, welcher Arbeitsgruppe diese zugehörig sind und welches Betriebssystem auf den Geräten läuft. Zusätzlich können Sie für einzelne Geräte einen Eindruck bekommen, wie risikoreich es ist diese Geräte direkt im Internet zu betreiben und nicht im vergleichsweise sicheren Hafen des eigenen Heimnetzwerkes.

Welchen Nutzwert hat solch ein Netzwerkscan für kleine, bzw. Heimnetzwerke?

• Wenn Sie mit einer fremden Netzwerkumgebung nicht vertraut sind, den Überblick über das eigene Netzwerk verloren haben oder den Verdacht haben, dass sich ein oder mehrere unbekannte Geräte mit Ihrem Netzwerk verbunden haben, dann können Sie sich über einen Netzwerkscan einen Überblick verschaffen und die Teilnehmer in einem Netzwerk ermitteln.

• Bei Ausgabe von Informationen des sogenannten NETBIOS Protokolls, können Sie die Information gewinnen, ob sich Computer mit Windows, bzw. Linux Betriebssystem in einer Arbeitsgruppe befinden. Ist das nicht der Fall, könnte dies schon die Ursache sein warum der Austausch von Dateien zwischen zwei Computern fehlschlägt.

• Ein Portscan auf Geräte, welche direkt dem Internet angeschlossen sind, gibt Ihnen eine Indikation auf potentielle Sicherheitsschwachstellen. Achten Sie bei einem solchen Portscan darauf, dass sich die Netzwerkschnittstelle in einem Modus befindet, welche dem Zielszenario entspricht. So müsste z.B. die Netzwerkschnittstelle eines Notebooks auf das öffentliche Profil eingestellt sein, um realistische Ergebnisse zu erzielen. Verfügt ein Gerät über mehrere Netzwerkschnittstellen, so können Sie diese entweder alle Untersuchen oder wenigstens diejenige, welche die Verbindung zum Internet herstellt.

• Ein Netzwerk bzw. Portscan und die Beschäftigung mit der Funktionsweise ist auch eine gute Möglichkeit mehr über Netzwerktechnik und deren Protokolle zu lernen.

Notiz: Ein Netzwerkscanner ist nur ein Werkzeug und wie meistens, kann auch dieses Werkzeug für einen unlauteren Zweck eingesetzt werden. So sind Netzwerkscans auch eine beliebte Methode für Hacker, um mehr über ein Netzwerk und die daran angeschlossenen Geräte zu erfahren. Mit diesem Wissen können Schwachstellen entdeckt und ausgenutzt werden. Darum soll es hier in diesem Kapitel allerdings nicht gehen.

Die folgenden zwei Abschnitte beschäftigen sich näher mit:

• Der prinzipiellen Funktionsweise von Netzwerkscannern.
• Der Durchführung und Auswertung eines Netzwerkscans.

Die prinzipielle Funktionsweise von Netzwerkscannern

Der Datenaustausch zwischen Computern basiert auf einer Vielzahl von Protokollen. Jedes Protokoll übernimmt dabei bestimmte Funktionen, welche in Standards mehr oder weniger genau niedergeschrieben sind. Das beinhaltet ebenfalls Definitionen auf welche Eingaben ein Protokoll wie zu reagieren hat und welche Ausgaben von einer Gegenstelle erwartet werden. Diese Reaktionen und die entsprechenden Ausgaben auf bestimmte Eingaben machen sich Netzwerkscanner zunutze.

Zwei einfache Beispiele: 1) Das Netzwerktool “Ping” hat schon öfters Erwähnung gefunden. Es ist sehr nützlich, um festzustellen ob ein anderes Gerät erreichbar ist und das Netzwerk zu diesem Gerät auf Internet Protokoll (IP) Ebene funktioniert. Ein Gerät sendet einen Ping, ein Empfänger antwortet, wenn es denn einen Empfänger unter einer bestimmten IP Adresse gibt. Es ist nun sehr einfach einen ganzen IP Adressraum per Ping abzufragen und zu schauen auf welchen IP Adressen Geräte antworten.

2. Das Address Resolution Protocol (ARP) sorgt dafür das Geräte die physikalische MAC Adresse eines anderen Gerätes in Erfahrung bringen, um Datenpakete an das korrekte Gerät über eine Ethernet, WLAN oder PowerLine Verbindung zuzustellen. Um solch eine MAC Adresse zu ermitteln, sendet ein Gerät eine ARP Anfrage an alle Geräte in einem vordefinierten IP Adressraum und fragt, ob denn ein Gerät mit einer bestimmten IP Adresse existiert. Ist das der Fall, dann antwortet dieses Gerät und sendet seine MAC Adresse in der Antwort mit. Ein Netzwerkscanner kann nun ebenfalls eine Vielzahl von ARP Anfragen einfach mal auf Probe versenden und dabei einen ganzen IP Adressraum abdecken. Die Antworten geben einem dann ebenfalls ein Bild über die angeschlossenen Geräte.

Nach diesem Prinzip funktionieren auch Portscans, nur das hier nicht ein IP Adressraum gescannt wird, sondern ein Portnummernbereich des TCP oder UDP Protokolles eines bestimmten Gerätes. Wieder ein einfaches Beispiel:

1. Um eine Transport Control Protocol (TCP) Verbindung herzustellen, wird ein kurzer Handshake durchgeführt. Das heißt ein Gerät sendet eine Verbindungsanfrage an ein anderes Gerät. Ist dieses Gerät verfügbar und hinter der Portnummer in der Anfrage steckt eine Anwendung, welche eine solche Verbindung annimmt, dann wird die Verbindungsanfrage bestätigt. Das anfragende Gerät sendet seinerseits eine finale Bestätigung und fängt mit der Datenübertragung an. Für einen einfachen Portscan reicht es nun aus, solche Verbindungsanfragen auf Probe über einen ganzen Portnummernbereich zu senden. Wird eine Verbindungsanfrage bestätigt, dann weiß der Portscanner, dass der entsprechende Port auf dem Zielgerät offen ist.

Es gibt noch eine Vielzahl weiterer Methoden, um Informationen über ein Zielgerät bzw. ein Netzwerk zu sammeln. Jede Methode hat dabei Vor- und Nachteile. So ist die Verwendung von “Ping” nicht immer zuverlässig, da manche Geräte mit Absicht nicht antworten, um Ihre Anwesenheit nicht zu verraten. Ein Netzwerkscan mit ARP ist da zuverlässiger, funktioniert aber nur über den IP Adressraum eines Subnetzes.

Wenn Sie jetzt den Eindruck gewinnen, dass die Durchführung eines Netzwerk-, bzw. Portscans etwas tiefere Netzwerkkenntnisse benötigen, dann liegen Sie halbrichtig. “Halb”, weil viele Scannertools so benutzerfreundlich aufgebaut sind, dass die benötigten Kenntnisse auf ein Minimum beschränkt werden. Des Weiteren funktionieren in den meisten Fällen die einfachen Methoden, so dass eine Auswahl von alternativen Scanmethoden nicht mehr notwendig ist. Wenn Sie allerdings nicht genau Wissen, was und wie Ihr präferiertes Scannertool funktioniert, dann sollten Sie auch entsprechend Vorsicht mit den Resultaten eines Scans walten lassen und diese eher als Indikation betrachten, denn als eine in Stein gemeißelte Aussage. Des Weiteren ist es dann auch ratsam einen gewissen Pragmatismus walten zu lassen und sich nicht zu sehr verunsichern zu lassen, wenn sich nicht alles klären lässt.

Notiz: In Eingangsabsatz dieses Abschnittes wurde erwähnt das Funktionen mehr oder weniger genau in Standards definiert sind. Diese Ungenauigkeit, bzw. unterschiedliche Interpretationen eines Standards resultieren in leicht unterschiedlichen Implementierungen von Netzwerkprotokollen. Diese Unterschiede sind für die Kompatibilität unerheblich und ein Netzwerk funktioniert. Sie können aber im ganzen ein Profil ergeben, was es ermöglicht Informationen über das auf dem Scanziel verwendete Betriebssystem und die Betriebssystemversion zu gewinnen.

Das Durchführen und Auswerten eines Netzwerkscans

Um einen Netzwerk-, bzw. Portscan durchzuführen bedient man sich in der Regel eines lokal zu installierenden Softwaretools oder eines externen Webdienstes. Entsprechende Softwaretools und Webdienste können schnell mittels einer Websuche und der Verwendung von Schlüsselwörtern wie “Netzwerk Scanner”, “Network Scanner”, “Port Scanner”, “Netzwerkcheck” gefunden werden. Für die Suche nach Webdiensten hilft die zusätzliche Verwendung des Schlüsselwortes “online” weiter.

Lokaler Netzwerkscan: Im einfachsten Fall müssen Sie für einen lokalen Scan Ihres Heimnetzwerkes nur das installierte Softwaretool starten, den zu scannenden IP Adressbereich eingeben und dann den Scan selbst initiieren. Für den IP Adressbereich geben Sie einfach den Adressbereich Ihres Heimnetzwerkes ein. Den IP Adressbereich Ihres Heimnetzwerkes können Sie aus Ihrem Internet-Router auslesen (Fritz!Box: Heimnetz -> Heimnetzübersicht -> Netzwerkeinstellungen -> IPv4 Adressen). In den meisten Fällen ist Ihr Heimnetzwerk als Voreinstellung Ihres Internet-Routers einem IP Adressbereich aus dem Bereich der privaten 192.168. zugeordnet, mit einem Bereich für 254 Geräte. Das bedeutet, dass Sie in der Praxis bei Kenntnis einer IP Adresse aus Ihrem Heimnetzwerk z.B. 192.168.1.1, annehmen können, dass sich der IP Adressbereich für Ihre Geräte in Ihrem Heimnetzwerk von 192.168.1.1 bis 192.168.1.254 erstreckt.

Im folgenden der Screenshot des Resultats eines Internet-Protokoll Scans auf vorhandene Netzwerkgeräte im Heimnetzwerk des Autors dieses Kapitels, unter Verwendung des Tools “Angry IP Scanner”.

Stellen Sie bei einem solchen Scan Geräte fest, welche Sie Ihrem Heimnetzwerk nicht zuordnen können und als evtl. Risiko einstufen, dann können Sie versuchen herauszufinden, um welches Gerät es sich genau handelt und dieses physisch von Ihrem Netzwerk trennen. Alternativ bietet z.B. eine Fritz!Box die Möglichkeit Geräte für den Internetzugriff zu sperren (Internet -> Filter -> Kindersicherung).

Im obigen Beispiel wurde nur nach vorhandenen Netzwerkgeräten gescannt. Ein zusätzlicher Portscan bringt für Heimnetzwerke in der Regel keinen Mehrwert, da die Geräte in einem Heimnetzwerk durch die Firewall des Internet-Routers vom Internet abgeschirmt sind. Ausnahme ist ein Portscan auf die externe IP Adresse Ihres Internet-Routers. Hierbei gilt es zu beachten, dass ein solcher Scan auf die externe IP Adresse Ihres Internet-Routers durchgeführt wird und nicht auf die interne IP Adresse. Die externe IP Adresse ist die von Ihrem Internetanbieter an Ihren Internet-Router vergebene IP Adresse für Ihren Internet-Anschluss.

Werden Ihnen als Resultat eines Portscans offene Ports angezeigt, dann sind diese erst einmal an sich noch kein Beinbruch, bzw. eine existierende Sicherheitslücke. Offene Ports sind für bestimmte Dienste notwendig und normal. Haben Sie z.B. einen Fernzugriff auf Ihren Internet-Router eingerichtet, dann öffnet Ihr Internet-Router einen TCP Port. Läuft Ihr Telefonanschluss über Voice over IP (VoIP), dann werden auch hier offene Ports benötigt. Sind die Anwendungen hinter den offenen Ports sauber und sicher programmiert, dann ist auch kein unauthorisierter Zugriff auf Ihr Netzwerk oder Ihren Internet-Router möglich. Da Software immer Fehler aufweisen kann, besteht aber ein Risiko das möglicherweise eine der Anwendungen eine Schwachstelle aufweist, welche ausgenutzt werden kann. Aus diesem Grund wird im allgemeinen versucht die Anzahl der offenen Ports auf ein Minimum zu begrenzen. Benötigen Sie z.B. keinen Fernzugriff auf Ihren Internet-Router, dann sollten Sie diese Funktion schließen.

Wenn Ihr Portscan einen oder eine Reihe offener Ports gefunden hat, dann gilt es die Anwendungen, bzw. Funktionen hinter diesen offenen Ports zu ermitteln. Viele Ports sind per Standardisierung einer festen Anwendung zugeordnet und diese können dann über eine Web Recherche relativ einfach gefunden werden. Ihr Internetanbieter, bzw. der Hersteller Ihres Internet-Routers kann eventuell ebenfalls weiterhelfen. Ports im Bereich von 49152 bis 65535 können aber beliebig und auch dynamisch Anwendungen zugeordnet werden. Somit ist es für den Normalanwender nicht mehr wirklich praktikabel entsprechend zugehörige Anwendungen herauszufinden. Dafür haben es aber auch potentielle Angreifer schwerer, da diese ebenfalls die dahinterliegenden Anwendungen erst einmal nicht kennen. Als Resultat ist das Sicherheitsrisiko für offene Ports in diesem Bereich geringer, als für Ports aus dem standardisierten Bereich (1-49151).

Abschließend noch eine Anmerkung zu den Scanner Tools. Nicht nur das es viele solcher Tools gibt, je nach Tool haben Sie noch mehr oder weniger vielfältige Optionen bezüglich der durchzuführenden Scans, der zu sammelnden Information und der Darstellung. Es ist somit einfach nicht praktikabel alle Möglichkeiten, in einem generischen Kapitel wie diesem hier, zu beschreiben. So ist z.B. das Scanner Tool “nmap” ein sehr mächtiges Tool, mit einer großen Anzahl von Feinheiten und Optionen, welche per Kommandozeilenparameter gesteuert werden. Die Bedienung erfolgt dabei rein über die Kommandozeile. Erst das optionale Program “zenmap”, bietet Ihnen eine grafische Bedienoberfläche. Doch selbst dann ist es hilfreich die Dokumentation von “nmap” zu lesen, um die Optionen und Scanverfahren besser einschätzen und verwenden zu können.

Webdienste für einen Netzwerk-/Portscan:

Webdienste für einen Netzwerk- oder Portscan sind meistens einfach aufgebaut und entsprechend unkompliziert zu bedienen. Auf der anderen Seite sind die durchgeführten Scans, dann auch entsprechend einfach gehalten und können nicht variiert werden. Um aber einen schnellen Eindruck zu bekommen, ob evtl. eine Sicherheitschwachstelle existiert, sind die Webdienste durchaus geeignet.

Als Eingabe wird in der Regel nur die derzeitig gültige IP Adresse Ihres Internetanschlusses benötigt. Nach der Eingabe können Sie den Portscan Ihres Internetanschlusses schon starten und die Resultate nach kurzer Wartezeit auslesen.

Notiz: Beginnt die IP Adresse mit “192.168.”, “10.” oder “172.16.” bis “172.31.” dann ist das eine IPv4 Adresse aus dem sogenannten privaten IP Adressbereich. Die IP Adresse ist somit entweder nicht die gesuchte IP Adresse Ihres Internetanschlusses oder Ihr Internet-Router liegt hinter einer Adressübersetzungsfunktion Ihres Internetanbieters (siehe auch DS-Lite). Im zweiten Fall ist die Verwendung eines Webdienstes nicht möglich und auch nicht nötig, da das Gerät für die Adressübersetzungsfunktion Ihren Internetanschluss abschirmt. Die Aussage im letzten Absatz bezüglich des nicht möglichen Portscans bezieht sich auf das Internet Protokoll Version 4. Ein DS-Lite Anschluss verfügt über eine eindeutige, extern im Internet gültige IPv6 Adresse. Ein Portscan dieser IPv6 Adresse ist möglich, sofern ein Webdienst IPv6 unterstützt.

Neben der einfachen Bedienbarkeit haben Webdienste oft den Vorteil das Resultate etwas verständlicher Ausgegeben werden, z.B. direkt mit der für einen Port definierten Anwendung. Das erleichtert dann bei festgestellten Risiken die Ursachenfindung und -behebung.