5.8. Best�tigen, welche Ports auf Verbindungen abh�ren
Nachdem Sie die Netzwerk-Dienste konfiguriert haben, ist es wichtig, zu �berpr�fen, welche Ports die Netzwerkschnittstellen im System tats�chlich abh�ren. Alle offenen Ports k�nnen Beweis f�r ein unbefugtes Eindringen sein.
Es gibt zwei grundlegende Herangehensweisen f�r das Auflisten der Ports, die das Netzwerk abh�ren. Die weniger zuverl�ssige Methode ist, den Netzwerkstack durch Befehle wie netstat -an oder lsof -i abzufragen. Diese Methode ist daher unzuverl�ssiger, da die Programme sich nicht vom Netzwerk aus mit dem Computer verbinden, sondern eher pr�fen, was auf dem System ausgef�hrt wird. Aus diesen Grund sind diese Applikationen h�ufig Ziel f�r Ersetzungen durch Angreifer. Durch diese Methode versuchen Cracker ihre Spuren zu verwischen, wenn diese unbefugt Netzwerkports ge�ffnet haben.
Ein etwas zuverl�ssigerer Weg f�r das Pr�fen, welche Ports das Netzwerk abh�ren, ist mit einem Port-Scanner wie z.B. nmap.
Der folgende Befehl, von einer Konsole aus eingegeben, stellt fest, welche Ports auf TCP-Verbindungen aus dem Netzwerk mith�ren.
Die Ausgabe dieses Befehls sieht wie folgt aus:
Starting nmap 3.55 ( https://www.insecure.org/nmap/ ) at 2004-09-24 13:49 EDT
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1653 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
111/tcp open rpcbind
113/tcp open auth
631/tcp open ipp
834/tcp open unknown
2601/tcp open zebra
32774/tcp open sometimes-rpc11
Device type: general purpose
Running: Linux 2.4.X|2.5.X|2.6.X
OS details: Linux 2.5.25 - 2.6.3 or Gentoo 1.2 Linux 2.4.19 rc1-rc7)
Uptime 12.857 days (since Sat Sep 11 17:16:20 2004)
Nmap run completed -- 1 IP address (1 host up) scanned in 5.190 seconds |
Diese Ausgabe zeigt, dass das System portmap ausf�hrt, dadurch, dass der Dienst sunrpc vorhanden ist. Es wird jedoch auch ein unbekannter Dienst auf Port 834 ausgef�hrt. Um zu pr�fen, ob dieser Port zu der offiziellen Liste bekannter Dienste geh�rt, geben Sie folgendes ein:
cat /etc/services | grep 834 |
Dieser Befehl erh�lt keine Ausgabe. Dies bedeutet, dass der Port im reservierten Bereich (0 bis 1023) liegt und Root-Zugang zum �ffnen ben�tigt, jedoch nicht mit einem bekannten Dienste assoziiert ist.
Als n�chstes k�nnen Sie Informationen �ber den Port mittels netstat oder lsof abrufen. Um Port 834 mit Hilfe vonnetstat zu pr�fen, geben Sie folgenden Befehl ein:
Dieser Befehl erh�lt folgende Ausgabe:
tcp 0 0 0.0.0.0:834 0.0.0.0:* LISTEN 653/ypbind |
Das Vorhandensein eines offenen Ports in netstat ist beruhigend, da ein Cracker, der einen Port heimlich auf einem geknackten System �ffnet, das Anzeigen des Ports durch diesen Befehl h�chstwahrscheinlich nicht zulassen w�rde. Desweiteren zeigt die Option [p] die Prozess-ID (PID) des Dienstes an, der diesen Port ge�ffnet hat. In diesem Fall geh�rt der offene Port zu ypbind (NIS), ein RPC-Dienst, der zusammen mit dem portmap-Dienst abl�uft.
Der lsof-Befehl zeigt �hnliche Informationen an, da auch hiermit offene Ports mit Diensten verkn�pft werden:
Unten finden Sie den betreffenden Teil der Ausgabe f�r diesen Befehl:
ypbind 653 0 7u IPv4 1319 TCP *:834 (LISTEN)
ypbind 655 0 7u IPv4 1319 TCP *:834 (LISTEN)
ypbind 656 0 7u IPv4 1319 TCP *:834 (LISTEN)
ypbind 657 0 7u IPv4 1319 TCP *:834 (LISTEN) |
Wie Sie sehen, k�nnen diese Tools eine Menge Informationen �ber den Status von Diensten auf einem Computer geben. Diese Tools sind flexibel und liefern eine Vielzahl von Informationen zu den Netzwerkdiensten und zur Konfiguration. Es wird deswegen dringend empfohlen, die man-Seiten zu lsof, netstat, nmap und services zu lesen.
