Wer andern eine Grube gräbt
Automatische Abwehrfunktionen kommen in Mode, selbst Hardware-Router versuchen mittlerweile Port-Scans zu blockieren. Doch viel zu oft richten solche Schutzfunktionen mehr Schaden an, als sie nĂĽtzen.
Vor zwei Jahren begannen die Hersteller von Personal Firewalls ein neues, tolles Feature in ihre Produkte einzubauen: Erkennt der Wächter einen Port-Scan, blockiert er den vermeintlichen Verursacher für einen gewissen Zeitraum. Dumm nur, dass sich die Absenderadressen solcher Scans quasi beliebig fälschen lassen. So beförderte in unseren Tests ein vorgetäuschter Port-Scan auch ohne weiteres den DNS-Server des Providers auf die schwarze Liste der wehrhaften Firewall. Als Resultat konnte der Anwender für die Dauer der Sperre das Internet nicht mehr nutzen. Der Browser zeigte nur noch an, dass er die gesuchte Seite nicht finden könne, eingebauter Denial-of-Service sozusagen.
Und jetzt fangen die Hersteller von Hardware-Routern mit genau dem gleichen Unsinn an. Immer mehr Produkte schmücken sich mit der Aussage "Blockiert Port-Scans". Das klingt gut -- ist aber eher gefährlich als nützlich. Zum einen lassen sich diese Blockaden durch entsprechend langsame Scans recht einfach umgehen. Zum anderen fallen sie natürlich genauso auf gefälschte Absenderadressen herein. Erschwerend kommt hinzu, dass zumindest die einfachen Modelle nicht einmal anzeigen, was sie gerade warum sperren und auch keine Ausnahmeregeln für wichtige Dienste zulassen.
Das Problem der vorgetäuschten Scans ist real. Schon aus den immer häufigeren Anfragen, warum denn der Heise-Server einen Rechner scanne, lässt sich schließen, dass sich Port-Scans mit gefälschter Absenderadresse steigender Beliebtheit erfreuen. (Nein, der heise-online-Web-Server führt keine Port-Scans durch). Sollte sich diese Funktion allgemein durchsetzen, finden bald auch immer mehr Script-Kiddies Spaß daran, wenn sich ahnungslose Surfer den Ast absägen, auf dem sie surfen. Wer kommt schon darauf, dass der Router den Server der Postbank für einen bösen Port-Scanner hält, wenn das Online-Banking nicht funktioniert?
Klar, der Kampf um Marktanteile ist hart und irgendwie muss man sich von der Konkurrenz absetzen. DMZ und Stateful Inspection hat jeder (zumindest auf der Verpackung), jetzt muss das nächste Alleinstellungsmerkmal her. Doch wenn der Kampf um neue Vorzeigefunktionen so weiter geht, kommen als Nächstes die vollautomatisierten Gegenangriffe: Strike Back - ein falscher Ping und das System startet einen kompletten Nessus-Scan gegen den vermeintlichen Übeltäter.
Die einzig sinnvolle Reaktion auf einen Port-Scan besteht darin, sein eigenes System mal wieder auf mögliche Sicherheitsprobleme wie offene Ports, nicht eingespielte Patches und so weiter zu überprüfen. Automatische Sperren gegen vermeintliche Port-Scanner sind kompletter Unfug und schaden mehr als sie nützen - Punkt
