Der c't-Netzwerkcheck

Würmer wie Blaster dringen ohne Zutun des Anwenders über offene Ports in die Systeme ihrer Opfer ein. Ein solcher offener Port ist eine Adresse, auf der ein Programm Pakete aus dem Netz entgegennimmt. So lauscht der Webserver auf Port 80 (HTTP), Microsofts Datei- und Druckerfreigaben bedienen Prozesse auf den Ports 135, 137 bis 139 (NetBIOS) und 445 (SMB über TCP).

Was im lokalen Netz gute Dienste beispielsweise zum schnellen Transfer von Dateien von einem Rechner zum anderen leistet, bedeutet im Internet Alarmstufe rot: Immer wieder werden Fehler in den beteiligten Programmen bekannt, über die Angreifer oder Würmer direkt auf das System zugreifen können.

Für die üblichen Internet-Anwendungen wie Surfen und Mailen braucht man keine offenen Ports, dafür genügen Verbindungen von „drinnen nach draußen“. Ein normaler Arbeitsplatzrechner sollte im Internet deshalb auch keine Dienste anbieten, also keine Ports zum Internet öffnen. Das gilt auch für Router und Firewalls. Leider sieht die Realität anders aus: Viele Systeme im Internet haben unnötig offene Ports. heise Security stellt deshalb in Zusammenarbeit mit dem Datenschutzbeauftragten des Landes Niedersachsen den c't-Netzwerkcheck bereit, mit dem Sie Ihre Systeme ohne Gefahr selbst testen können: Vorkonfigurierte Tests überprüfen die gängigen Ports für Dienste auf Routern, Windows- und Unix/Linux-Systemen.

Die Ausgabe ist so gestaltet, dass sie auf den ersten Blick signalisiert, woran der Tester ist: Beruhigendes Grün steht für Ports, die entweder geschlossen sind, weil kein Dienstprogramm aktiv ist, oder bei denen eine (Personal) Firewall die Pakete weggefiltert hat. Nur bei roten Zeilen muss der Anwender aktiv werden: Hier konnte das Testprogramm eine Verbindung mit dem getesteten Rechner aufbauen.

In diesem Fall sollte man sich vergewissern, um welchen Dienst es sich handelt und ob man den tatsächlich benötigt. Wenn nicht, stehen zwei Möglichkeiten offen: Entweder man schaltet den Dienst ab oder man sorgt dafür, dass eine (Personal) Firewall sicherstellt, dass dieser Port aus dem Internet nicht mehr zu erreichen ist. In der Tradition des c't-Browser- und -Emailchecks stellt der Netzwerkcheck natürlich auch die notwendigen Informationen bereit, um seinen Rechner nach dem Test abzusichern.

Der Netzwerkcheck überprüft lediglich, ob das System offene Ports aufweist. Dazu versucht der Rechner heisescan.lfd.niedersachsen.de (192.129.8.3), eine Verbindung zu diesen Ports aufzubauen, was nach unserem Kenntnisstand keine Schäden hervorrufen kann. Der Test unternimmt keine Versuche, Sicherheitslücken auszunutzen oder sogar in das System einzubrechen.

Um Missbrauch zu verhindern, kann man außerdem immer nur sein eigenes System scannen - also das, von dem die aktuelle Anfrage stammt. Anwender, die hinter einer Firewall oder einem Proxy sitzen, können ihr lokales System allerdings nicht testen, da der Scan-Rechner nur die Adresse der Zwischenstation sieht. Bitte geben Sie die IP-Adressen von Proxies und Firewalls nicht ohne explizites Einverständnis der Betreiber als Zieladresse ein.

Die Ergebnisse der Tests werden für die Erstellung allgemeiner Statistiken tageweise anonymisiert gespeichert. Weder Tageszeit noch IP-Adresse, aus denen sich die Identität rekonstruieren ließe, werden mit den Scan-Ergebnissen zusammen abgelegt.

Alle Tests beziehen sich nur auf das Internet-Protokoll TCP, UDP-Tests lassen sich in einem solchen Szenario nicht zuverlässig realisieren. Hinter den Kulissen werkelt der bewährte Port-Scanner nmap. Wer also Zugriff auf ein externes System hat, kann damit detailliertere Scans durchführen als dieser auf Durchsatz optimierte Test.

Sie finden den c't-Netzwerkcheck auf www.heise.de/security/dienste/portscan/ oder in der linken Navigationsspalte von heise Security gleich unter dem c't-Browsercheck und dem c't-Emailcheck. (ju)