Sådan forhindrer du portscanningsangreb

En port er et kommunikationsendepunkt, der letter dataoverførsel mellem to enheder eller en applikation og en enhed. Hvis en port er åben, bruges den til en bestemt tjeneste eller applikation og lytter aktivt til anmodninger, der sendes til den pågældende applikation. Hvis de applikationer, der bruger åbne porte, ikke er korrekt patchet, kan disse porte udnyttes og bruges til at iværksætte angreb. En portscanning er en metode, der bruges til at finde åbne porte på et netværk. En portscanning afslører åbne porte i netværket og netværkssikkerhedsenheder, såsom firewalls, der er installeret mellem afsender og modtager.

Normalt udføres portscanning af et netværk under penetrationstest for at vurdere netværkssikkerhedens styrke. Cyberangribere bruger dog også denne metode til at identificere sårbare porte i netværket og forstå målets netværkssikkerhed. Når den bruges af cyberangribere, kaldes den et portscanningsangreb.

Sådan forekommer et portscanningsangreb

En angriber forsøger at oprette forbindelse til målværten ved at kommunikere med alle de 65536 tilgængelige systemporte. Firewalls reagerer på dette angreb på en af ​​tre måder, afhængigt af portens status:

• Hvis porten er åben, omdirigerer den trafikken til den specifikke vært.
• Hvis porten er lukket, omdirigeres trafikken ikke. Firewallen reagerer dog med en "Afvist"-meddelelse.
• Hvis porten er blokeret af din firewall, reagerer den ikke på anmodningen.

Så selvom en bestemt port er lukket, får angriberen kendskab til enheden bag den port. En vellykket forbindelse via en åben port vil give angriberne mulighed for at trænge ind i netværket.

Portscanning udføres normalt i to tilstande: strobe og stealth.

Når en angriber kun scanner et par porte, f.eks. færre end 20 porte, på et givet tidspunkt, kaldes det strobe-tilstanden for portscanning. Når en angriber derimod lytter til en port i længere tid, f.eks. i en måned, og gradvist udfører portscanning, kaldes det stealth-tilstand. I begge tilstande går angriberen ubemærket hen. Stealth-tilstand for portscanning er dog relativt vanskelig at opdage, da angriberne kan etablere kommunikation med applikationen uden at gennemgå handshake-processen.

Sådan forhindrer du portscanningsangreb

• Udfør portscanningen før angriberen: Det første skridt i at forhindre ondsindede aktører i at komme ind på dit netværk ved hjælp af et portscanningsangreb er at køre hyppige portscanninger selv for at identificere sårbare porte og blokere dem.
• Implementer adaptive firewalls: Du kan ikke blokere alle porte på grund af TCP/IP-adfærdsreglerne for firewalls. Desuden vil blokering af alle porte blokere den nødvendige kommunikation, der er nødvendig for din virksomhed. Derfor anbefaler vi, at du bruger en adaptiv firewall, der kun blokerer porte, når en ondsindet IP-adresse forsøger at scanne den.
• Opsæt tomme værter eller honeypots: En anden måde er at omdirigere de ondsindede anmodninger til fælder. Når angribere udfører portscanning, kan du konfigurere din firewall til at omdirigere åbne porte til en "tom vært" eller "honeypots". Det kræver en stor konfigurationsindsats at udføre denne vildledende forsvarsmekanisme, men den er meget effektiv.

Hurtigt tip:

Selv når du har implementeret de adaptive firewalls og opsat fælder, skal du stadig udføre en analyse af oprindelsen af ​​ondsindet trafik. På denne måde kan du blokere disse IP-adresser på din firewall på netværksniveau og reducere omfanget og virkningen af ​​angrebet.

Sådan hjælper en loghåndteringsløsning

EventLog Analyzer, en omfattende loghåndteringsløsning, hjælper dig med en detaljeret rapport om alle portscanningsforsøg og giver dig også besked i realtid, når portscanningen finder sted, via sit responssystem ved hændelser i realtid. Se, hvordan denne løsning kan hjælpe dig med at håndtere portscanningsangreb.

Hvad så nu?