Mehr Netzwerk-Sicherheit

Ports scannen mit Nmap und Zenmap

Ports schließen oder absichern

Damit ein Rechner mit dem Internet kommunizieren kann, müssen also zwingend einige Ports offen sein. Jeder offene Port ist aber ein potenzielles Einfallstor für Angreifer, wenn die an dem Port lauschende (also bereit stehende) Anwendung eine Sicherheitslücke aufweist. Um absolute Sicherheit zu bekommen, müsste man alle Ports schließen, doch dann ist keine Internetverbindung mehr möglich. Ergo müssen einige Ports offen bleiben. Somit gilt die Faustregel: So viele Ports wie nötig und so wenige wie möglich freischalten. Konkret bedeutet das, dass man Dienste, die man nicht benötigt, einfach abschaltet, bevor ein Angreifer diese zum Eindringen in Ihr System ausnutzt.

Der Anwender sollte aber wissen, welche Ports aktuell auf seinem Rechner tatsächlich erreichbar sind und welche Anwendungen an welchen Ports „lauschen“. Ports für Dienste, die man benötigt, beispielsweise für Mails, für das Surfen, für Instant Messaging oder weil man Filesharing macht, sollten zumindest überwacht werden. Beispielsweise durch einen Sniffer, der aufzeichnet, wann welche Datenpakete über welchen Port an welche Zieladresse abgingen beziehungsweise eintrafen. Wireshark ist hierfür ein geeignetes Tool.

Dienste, die Sie benötigen und deshalb nicht abschalten können, sollten Sie möglichst so konfigurieren, dass nicht von jedem beliebigen Rechner der Zugriff darauf möglich ist, sondern nur von bestimmten Rechnern, beispielsweise nur von PCs aus Ihrem Intranet. Unter Linux können Sie den Zugriff auf bestimmte Dienste ergänzend auch via TCP-Wrapper steuern (hosts.deny und hosts.allow). Zudem sollten Sie Ihre Firewall so restriktiv konfigurieren, wie es nur irgendwie möglich und sinnvoll ist.

Für jedes Betriebssystem existieren einige einfache Tools, mit denen Sie in wenigen Sekunden ermitteln können, welche Ports auf Ihrem System geöffnet sind. Diese Tools sollten Sie kennen und zumindest eines davon regelmäßig nutzen, um Ihren Rechner oder Ihr Heim- beziehungsweise Firmennetzwerk auf Einfallstore zu scannen, bevor das ein Angreifer macht.