Eines der Hauptprobleme regelmäßiger Portscans in großen Netzen ist ihr Aufwand: Mit der Serveranzahl wächst die Liste offener Ports schnell in eine Größenordnung, die manuell nicht mehr überschaubar ist. Notwendig wäre eine sorgfältige, deshalb sehr zeitintensive Auseinandersetzung mit den Scan-Ergebnissen – aber dafür fehlt oft das Personal. Zudem gibt es in vielen Organisationen keinen präzise definierten, zentral verfügbaren Soll-Zustand, mit dem das Ergebnis abgeglichen werden könnte. Das ist insbesondere dann so, wenn einzelne Abteilungen eigenständig neue Server in Betrieb nehmen dürfen.
Analysiert man seine Netze zudem von unterschiedlichen Standorten aus, etwa organisationsintern und von außen, hat man zusätzlich mit unterschiedlichen Ergebnislisten zu kämpfen. Die resultieren unter anderem aus Verbindungen, die Firewalls blockieren, oder den Scan-Zeitpunkten. Die manuelle Auswertung und das Erkennen von Veränderungen sind dann noch mühsamer.
Ein im Deutschen Forschungsnetz (DFN) entstandenes Open-Source-Werkzeug hilft bei der Automatisierung verteilter Portscans und deren Auswertung. Dr. Portscan ist ein Delta-Reporting Tool, das nahezu beliebige Portscan-Werkzeuge unterstützt, die parallel oder zeitversetzt in beliebigen Zeitintervallen beliebig überlappende Netz- und Portbereiche analysieren. Die Ergebnisse dieser Scan-Läufe werden automatisiert aggregiert und miteinander verglichen. Dabei entdeckte Veränderungen können in Berichte für verschiedene Zielgruppen einfließen oder als Parameter an Skripte und Programme übergeben werden. Auf dieser Basis können verfeinerte Diagnosen gestellt und das Ergebnis mit einem definierten Soll-Zustand abgeglichen werden.
Im Folgenden beschreiben wir den allgemeinen Aufbau verteilter Portscan-Infrastrukturen, die Architektur und Funktionsweise von Dr. Portscan und grundlegende Schritte zu Installation und Inbetriebnahme.
Der Einsatz von Portscans als proaktive Sicherheitsmaßnahme muss zunächst sorgfältig geplant werden, um zu aussagekräftigen Ergebnissen zu kommen. Mit den folgenden Fragestellungen sollte sich der Administrator dabei auseinandersetzen:
nmap
«
gibt es zahlreiche weitere kostenlose, aber auch kommerzielle Scanner. Auch Sicherheits- und Netzmanagement-Werkzeuge können explizit oder implizit Informationen über offene Ports liefern und somit als Datenquelle dienen.Abbildung 1 zeigt etwas vereinfacht die aktuelle Konfiguration als Beispiel, anhand dessen wir nun auf den Einsatz von Dr. Portscan eingehen.