SECURITY ANLEITUNG

Port Scanner: Identifizieren Sie exponierte Dienste und die Angriffsflaeche

Wie TCP-Port-Scanning funktioniert, nach welchen Diensten Sie suchen sollten und wie Sie die Angriffsflaeche Ihres Servers reduzieren.

TCP-Ports: Die Eingangstore Ihres Servers

Jeder Netzwerkdienst lauscht auf einem oder mehreren TCP- (oder UDP-)Ports: der Webserver auf Port 80 (HTTP) und 443 (HTTPS), SSH auf 22, SMTP auf 25, die Datenbank auf 3306 (MySQL) oder 5432 (PostgreSQL). Jeder offene Port ist ein potenzieller Einstiegspunkt fuer einen Angreifer: Wenn der Dienst eine Schwachstelle hat, ermoeglicht der offene Port deren Ausnutzung. Die goldene Regel der Netzwerksicherheit ist das Prinzip der minimalen Rechte: Exponieren Sie nur die unbedingt notwendigen Ports.

Der Port Scanner fuehrt einen systematischen Scan der TCP-Ports eines Hosts durch und identifiziert, welche offen (ein Dienst antwortet), geschlossen (kein Dienst, der Host antwortet mit RST) oder gefiltert (keine Antwort, eine Firewall blockiert den Verkehr) sind. Fuer jeden offenen Port identifiziert er den zugehoerigen Dienst und, wenn moeglich, die Softwareversion. Diese Information ist der Ausgangspunkt fuer jedes Sicherheitsaudit oder Server-Hardening.

Welche Ports ueberpruefen

Gaengige Ports und zugehoerige Dienste
$ port-scan --host esempio.com

PORT    STATO     SERVIZIO
22/tcp  open      SSH (OpenSSH 8.9)
80/tcp  open      HTTP (nginx/1.24)
443/tcp open      HTTPS (nginx/1.24)
3306/tcp filtered MySQL
5432/tcp closed   PostgreSQL
8080/tcp open     HTTP-Proxy ← non necessario?

Porte aperte: 4 | Filtrate: 1 | Chiuse: 1

Fuer einen Webserver sind die notwendigen Ports typischerweise nur 80 und 443. SSH (22) sollte nur von autorisierten IPs ueber Firewall oder VPN erreichbar sein. Datenbankports (3306, 5432, 27017) sollten niemals im Internet exponiert sein. Ports wie 8080, 8443, 3000, 9090 weisen oft auf Entwicklungsdienste oder Admin-Panels hin, die nicht oeffentlich sein sollten. Ueberpruefen Sie auch E-Mail-Ports (25, 587, 993, 995) nur auf Servern, die E-Mail verwalten.

Hardening und Reduzierung der Angriffsflaeche

Nach dem Scan handeln Sie bei jedem unnoetig offenen Port: Deaktivieren Sie ungenutzte Dienste und konfigurieren Sie die Firewall, um den Verkehr zu blockieren. Unter Linux verwenden Sie ufw oder iptables, um Whitelist-Regeln zu erstellen (alles verweigern, dann explizit nur die notwendigen Ports erlauben). Ueberpruefen Sie die Konfiguration mit einem neuen Scan. Fuer SSH erwaegen Sie einen Portwechsel (von 22 auf einen anderen), Authentifizierung nur mit Public Key und fail2ban zum Blockieren von Brute-Force-Angriffen.

Vervollstaendigen Sie das Sicherheitsaudit, indem Sie das SSL-Zertifikat auf HTTPS-Ports mit SSL Check und die HTTP-Sicherheitsheader mit Security Headers ueberpruefen. Fuer Mailserver ueberpruefen Sie auch, dass sie keine Open Relays sind, mit Open Relay Test. Ein Server mit nur den notwendigen offenen Ports, aktualisierten Diensten und gehaerteter Konfiguration ist deutlich widerstandsfaehiger gegen Angriffe als einer mit Standardkonfiguration.

Port-Scanning sollte eine regelmaessige Praxis sein, kein einmaliges Ereignis. Jedes Software-Update, jede neue Installation, jede Konfigurationsaenderung kann neue Ports oeffnen. Automatisieren Sie periodische Scans und vergleichen Sie die Ergebnisse mit der Baseline, um unautorisierte Aenderungen zu identifizieren. Ein Dienst, der erscheint, wo er nicht sein sollte, ist ein Alarmsignal, das sofortige Untersuchung verdient.

Port Scanner kostenlos testen
Scannt offene TCP-Ports und identifiziert aktive Dienste
Port Scanner verwenden >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →