Poortscannen: wat is het en hoe werkt het?

Poortscannen
Afbeelding door DCStudio op Freepik

Volgens het SANS Institute is een van de meest voorkomende manieren waarop hackers kwetsbaarheden in uw systeem ontdekken, het scannen van open poorten. Houd er rekening mee dat poortscannen voor meer dan alleen kwade bedoelingen wordt gebruikt. Het heeft ook geldige toepassingen op gebieden zoals netwerkbeheer. Op deze pagina wordt uitgelegd wat een poortscanaanval is en wat de hulpmiddelen ervan zijn, hoe deze werkt en wat u kunt doen om te voorkomen dat deze tegen u wordt gebruikt.

Poortscannen 

Een poortscan is een typische aanpak die hackers gebruiken om open deuren of zwakke plekken in een netwerk te lokaliseren. Om te bepalen of een computer gegevens ontvangt of verzendt, nemen cybercriminelen vaak hun toevlucht tot poortscanaanvallen. Het kan ook onthullen of een bedrijf al dan niet actieve beveiligingsapparatuur zoals firewalls gebruikt. 

Wanneer hackers een bericht naar een poort sturen, bepaalt de reactie die ze ontvangen of de poort wordt gebruikt en of er potentiële gaten zijn die kunnen worden uitgebuit.

Bedrijven kunnen deze aanpak ook gebruiken om te testen op kwetsbaarheden door pakketten naar specifieke poorten te sturen en de reacties te analyseren. 

Wat zijn de havenscantechnieken?

Pakketten worden op bepaalde poortnummers afgeleverd met behulp van verschillende methoden om een ​​poortscan uit te voeren. Verschillende voorbeelden hiervan zijn onder meer:

#1. De Ping-scan

De meest elementaire poortscan is de ping-scan, beter bekend als een ICMP-verzoek (Internet Control Message Protocol). Deze methode voor het scannen van een netwerk lokaliseert actieve hosts op bepaalde IP-adressen. Om problemen te diagnosticeren, voeren netwerkbeheerders vaak ping-scans uit.

#2. Vanille-scan

Dit is nog een andere fundamentele methode, waarbij gelijktijdige verbindingen met alle 65,536 beschikbare poorten worden gemaakt. Er wordt eerst een verbindingsverzoek (SYN-vlag) verzonden en vervolgens wordt een bevestiging van de verbinding (SYN-ACK) teruggestuurd. De SYN-, SYN-ACK- en ACK-uitwisselingen vormen de TCP-handshake. Omdat firewalls alle verbindingen registreren, is de vanille-aanpaktechniek gemakkelijk detecteerbaar.

#3. TCP Open helft

De SYN-scan is een andere naam voor deze procedure. Het verzendt een SYN en wacht tot het doel een SYN-ACK teruggeeft, maar het antwoordt niet. Dit proces wordt niet geregistreerd omdat de TCP-verbinding is onderbroken. Als gevolg hiervan is het een uitdaging om een ​​TCP die half open is te detecteren. De afzender leert echter of de poort wel of niet toegankelijk is.

#4. TCP-verbinding

Net als bij de SYN-scan brengt de TCP-verbindingspoortscan een volledige TCP-verbinding tot stand. Het extra pakket dat het verzendt, maakt het beter merkbaar. Hierdoor wordt de TCP-verbindingsscan zelden gebruikt.

#5. UDP

Er zijn hier talloze zwakke UDP-services beschikbaar die hackers kunnen gebruiken. Hiertoe behoren niet alleen DNS-exfiltratie, maar ook

 Om deze methode te laten werken, is het noodzakelijk om een ​​op maat gemaakte lading voor het doel te leveren. Het verzenden van een DNS-query is de aanbevolen methode om de beschikbaarheid van een DNS-server te verifiëren.

#6. Kerst- en FIN-scans

De FIN-scan vindt plaats wanneer u de FIN-vlag naar een poort verzendt zonder dat u de verbinding wilt verbreken. U kunt het antwoord van het systeem gebruiken om meer te weten te komen over de status van de poort of de firewall. Wanneer een gesloten poort een ongevraagd FIN-pakket ontvangt, reageert deze onmiddellijk met een abort-pakket 

(RST). Het zal geen aandacht besteden aan de haven als deze open is.

Hoe u zich kunt verdedigen tegen poortscannen

Als u uw thuis- of bedrijfssysteem tegen deze cyberaanval wilt beschermen, is het niet de bedoeling om iemand te beletten uw poorten te scannen; dat zal gebeuren, wat u ook doet. De truc is om te voorkomen dat de hacker enige bruikbare informatie uit de scan haalt.

#1. Vergeet niet uw firewall bij te werken en te onderhouden.

Om poortmisbruik te voorkomen, moet uw firewall uw eerste verdedigingslinie zijn. Dit is nog een reden te meer waarom u altijd een firewall moet gebruiken wanneer u op internet surft.

#2. Verminder het aantal elektronische gadgets dat op uw thuisnetwerk is aangesloten

Het concept van op internet aangesloten gadgets is in de 21e eeuw steeds mainstream geworden. Computers, laptops en mobiele telefoons waren de eerste stap, maar waarom zouden we daar stoppen? Je koelkast, vriezer en beveiligingscamera’s zijn nu permanent aan elkaar gekoppeld.

Het probleem is dat elk gadget een poort nodig heeft om met internet te kunnen communiceren. Hoe kwetsbaarder uw systeem is, hoe waarschijnlijker het is dat een hacker een manier ontdekt om binnen te komen.

Het antwoord is om het aantal gadgets in uw huis dat verbinding kan maken met internet te beperken. Uw computer en telefoon zouden in orde moeten zijn, maar kies waar mogelijk voor de ‘domme’ versie van een product in plaats van de ‘slimme’ versie.

#3. Controleer of alle doorgestuurde poorten in gebruik zijn

In sommige gevallen moet u de poort van het programma openen via uw router en/of firewall. Hoe onzeker het ook is, soms is het hebben van een doorgestuurde poort vereist om effectief gebruik te kunnen maken van een beschikbare internetverbinding.

Maar wat gebeurt er als je geen port forward meer nodig hebt, bijvoorbeeld als je klaar bent met het gebruik van die ene app of game? Een port forward biedt inactief een toegangspunt voor hackers en blijft op zijn plaats als deze niet wordt verwijderd.

Daarom is het een goed idee om uw doorgestuurde poorten te controleren en alle poorten uit te schakelen die niet worden gebruikt. Als u zich niet kunt herinneren dat u een poort heeft doorgestuurd, zorg er dan voor dat uw huisgenoten of familieleden het goed vinden dat de poort wordt gesloten voordat u dat doet.

#4. Ongeautoriseerde toegang tot uw poorten voorkomen

Wanneer een hacker een poortscan uitvoert, kan hij de informatie gebruiken om een ​​open poort te ontdekken en in een systeem binnen te dringen. Zelfs als een indringer de gegevens van het apparaat niet kan lezen interne gegevens, kunnen ze er nog veel over leren en hoe ze het kunnen aanvallen door te kijken welke poorten open zijn. Update uw firewalls vaak en vermijd de aanschaf van te veel slimme apparaten.

Als u zich zorgen maakt over de veiligheid van uw router, moet u zich verdiepen in de vele manieren waarop deze niet zo veilig is als u misschien denkt. Hackers kunnen worden tegengehouden door een aantal preventieve maatregelen te nemen.

Hulpmiddelen voor poortscannen 

Poortscantools zijn stukjes software die precies dat doen: de beschikbare poorten op een computer of netwerk scannen en evalueren. U kunt deze instrumenten gebruiken om erachter te komen welke poorten open, gesloten of gefilterd zijn.

Er is een grote verscheidenheid aan zowel gratis als commerciële poortscanprogramma's beschikbaar. In dit gedeelte bespreek ik de voor- en nadelen van verschillende poortscantools.

#1. Acunetix-poortscanner

De Acutenix Port Scanning-tool is een krachtig programma voor het scannen van netwerken op open poorten en beveiligingsfouten. Het is eenvoudig te gebruiken en levert snel nauwkeurige resultaten op; het enige wat je nodig hebt is een webbrowser.

De belangrijkste functies van de Accunetix-poortscanner

  • Bliksemsnel en nauwkeurig scannen
  • Flexibele scaninstellingen: controleer een enkel IP-adres of een reeks IP's op open poorten. Het poortbereik of individuele poorten kunnen worden gescand.
  • SYN-, TCP- en UDP-scans zijn allemaal beschikbaar als scanmodi.
  • Een geavanceerde gebruikersinterface.
  • Multi-platform: omvat ondersteuning voor Linux, Mac OS X en Microsoft Windows

#2. Geavanceerde poortscanner 

Als het gaat om het vinden van netwerkfouten en open poorten, is de geavanceerde poortscanner een effectief en betrouwbaar hulpmiddel. Het is een snelle tool die zijn werk goed doet. Het is flexibel omdat het SYN-, TCP- en UDP-scans kan uitvoeren en voldoet aan de behoeften van een breed scala aan gebruikers. Het intuïtieve ontwerp en de flexibele scankeuzes maken het geschikt voor gebruikers van alle vaardigheidsniveaus. 

3. Boze IP-scanner

De Angry IP-poortscantool is een snel en efficiënt netwerk dat zelfs de grootste netwerken in korte tijd kan controleren. Het bevat een reeks scanopties, waaronder ping-scannen en het oplossen van hostnamen. Het is platformonafhankelijk en ondersteunt zowel opdrachtregel- als grafische gebruikersinterface-uitvoering.

Kenmerken van Angry IP-scanner

  • Om klanten te helpen snel open poorten en kwetsbaarheden in hun netwerk te vinden, is Advanced Port Scanner geoptimaliseerd om in korte tijd nauwkeurige bevindingen te retourneren.
  • Uitbreidbaar: u kunt het type gegevens toevoegen dat is verzameld via inplugbare modules.
  • De applicatie biedt veel controle over dit proces, waardoor gebruikers zich kunnen concentreren op een specifiek IP-adres of een reeks poorten.
  • Er is een opdrachtregelinterface en een grafische gebruikersinterface.

#4. Nessus-poortscanner

De commerciële kwetsbaarheidsscanner van Nessus heeft een robuuste aanpak en evaluatiefuncties. Deze poortscannertool kan open poorten, verouderde software en andere kwetsbaarheden vinden. Nessus kan zowel brede netwerkscans als nauw gerichte kwetsbaarheidsscans uitvoeren.

Kenmerken

  • De mogelijkheid om instellingen voor de scansnelheid en time-out te definiëren, samen met de mogelijkheid om doel-IP-adressen en poorten op te geven, zijn slechts enkele van de vele aanpasbare opties die dit hulpprogramma biedt.
  • Nessus biedt een volledige netwerkscan, waarmee open poorten, actieve services en beveiligingsfouten kunnen worden opgespoord.
  • De gebruiker kan zich richten op bepaalde delen van het netwerk die mogelijk zwak zijn door gebruik te maken van de gerichte tool voor het scannen op kwetsbaarheden.

Poortscanaanval 

Een poortscanaanval is een ernstige vorm van cyberaanval die zich richt op het scannen en exploiteren van open poorten. Hackers gebruiken de techniek van poortscannen om onbeschermde toegangspunten tot een systeem te vinden.

Poorten spelen een cruciale rol bij het monitoren van de inkomende en uitgaande gegevensstroom op een netwerk.

Gegevens en pakketten die via poorten worden verzonden, kunnen aan cybercriminelen onthullen of die poort al dan niet openstaat voor aanvallen.

Netwerkverdediging, zoals firewalls en antivirus software, kan worden ontdekt via een poortscanaanval. 

Dergelijke cyberaanvallers zoeken naar open poorten in een netwerk en proberen deze te kapen om gegevens te verzenden en te ontvangen. Cyberaanvallers gebruiken de ontdekte open poort om aanvallen uit te voeren op de beoogde computer.

Hoe u een poortscanaanval kunt voorkomen 

Hoewel u niet kunt voorkomen dat poorten worden gescand, kunt u wel stappen ondernemen om uw bedrijf veiliger te maken. Om indringers buiten te houden, moet uw beveiligingspersoneel zich concentreren op het afsluiten van alle potentiële toegangspunten. Laat ze zelf een poortscan uitvoeren om erachter te komen wat de hackers zouden kunnen ontdekken. Drie preventieve technieken tegen poortscanaanvallen zijn als volgt:

  • Zet een firewall op. Hiermee voorkom je illegale toegang tot je netwerk. Een firewall kan opdringerige poortscans voorkomen en regelen welke poorten zichtbaar zijn. Configureer het om beheerders te informeren als ze een enkele host detecteren die verbindingsverzoeken naar veel poorten verzendt.
  • Met behulp van TCP-wrappers kunnen beheerders verbindingen met servers toestaan ​​of weigeren op basis van client-IP-adressen en hostnamen.
  • Controleer op ongebruikte poorten met een poortscanner. Regelmatige scans op open poorten zullen eventuele beveiligingslekken in de infrastructuur aan het licht brengen.

Waarom is poortscannen illegaal? 

Tenzij de intentie om de privacy te schenden of ongeautoriseerde toegang te verkrijgen kan worden bewezen, is het scannen van poorten niet crimineel. Zoals we al hebben vermeld, is de primaire functie ervan het vergroten van de veiligheid van een online ruimte.

Kan poortscannen worden gedetecteerd? 

Moderne inbraakdetectiesystemen kunnen het scannen van SYN-poorten detecteren, algemeen bekend als half-open TCP-scannen. Om stealth verder te garanderen, combineerden aanvallers doorgaans SYN-scans met andere scantechnieken zoals FIN- en TTL-scans voordat ze het indringende pakket verzonden.

Wat zijn de drie soorten netwerkscannen? 

Er zijn drie hoofdcategorieën voor netwerkscannen:

  • Poortscannen is het proces waarbij wordt gezocht naar actieve poorten en services op een externe host.
  • Een netwerk scannen om de IP-adressen, besturingssystemen, topologie, enz. te leren kennen.
  • Het scannen op bekende fouten in een doelsysteem wordt een kwetsbaarheidsscan genoemd.

Hoe gebruiken hackers poortscannen? 

Aanvallers kunnen de veiligheid van het netwerk van een bedrijf beoordelen met behulp van een poortchecker of poortscanner. Hackers kunnen ontdekken of een poort open is en welke beveiligingslekken deze bevat, door een bericht naar die poort te sturen.

Waarom is Nmap slecht? 

Nmap is een effectief hulpmiddel voor het voorkomen van netwerkinbraak als het correct wordt gebruikt. Het misbruik van Nmap kan echter resulteren in juridische stappen, ontslag, uitzetting, gevangenisstraf of zelfs een ISP-verbod. Lees deze juridische informatie voordat u Nmap start om uw risico te verlagen.

Waarom gebruiken hackers Nmap?

Hackers gebruiken Nmap om toegang te krijgen tot een onbeveiligde poort op een systeem. Ze kunnen Nmap op een specifiek doelwit gebruiken om beveiligingslekken te lokaliseren en deze te exploiteren. Nmap wordt niet alleen door cybercriminelen gebruikt; IT-beveiligingsbedrijven gebruiken het ook om ‘hacker te spelen’ en de verdediging te testen.

Referentie 

0 aandelen:
Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Dit vind je misschien ook leuk