Offene Ports am DSL-Router

Nach einem UDP-Scan meines DSL-Routers melden die Dienste scan.sygate.com und www.port-scan.de zahlreiche offene Ports. In der Router-Konfiguration sind keine Port-Freigaben aktiv. Außerdem habe ich die inaktiven, ab Werk vorhandenen alle gelöscht, ohne dadurch eine Verbesserung zu erzielen. Die Option „Änderungen der Sicherheitseinstellungen über UPnP gestatten“ ist ebenfalls nicht aktiv. Wo kommen die offenen Ports her?

Das hat damit zu tun, wie UDP-Portscans ablaufen: Der Scanner schickt ein UDP-Paket an einen Port. Sofern dieser nicht für einen Dienst geöffnet ist, antworten viele Router mit einem Paket „Port unreachable“ im Protokoll ICMP. Wenn er ein solches Paket empfängt, wertet der Scanner den Port als geschlossen.

Wenn an dem Port jedoch ein Dienst hängt, kommt kein solches ICMP-Paket zurück. Ob ein anderes Paket kommt, hängt von dem konkreten Dienst ab. Um unabhängig vom Dienst beliebige Ports scannen zu können, verlassen sich einfache Scanner auf das Port-unreachable-Paket: Bleibt es aus, melden sie den Port als offen.

Jedoch verwerfen viele Router kommentarlos UDP-Pakte, die an geschlossene Ports gehen, und verschicken kein „Port-unreachable“-Paket. Das führt dazu, dass voreilige Scanner dann alle Ports als offen werten.

Um die Scan-Zeit in Grenzen zu halten, probieren Online-Scanner nicht alle Ports durch, sondern nur eine Auswahl an potenziell gefährdeten. Bei einem Router, der unangeforderte Pakete einfach verwirft, erscheinen daher nicht alle UDP-Ports als offen, sondern nur die, die der Scanner geprüft hat. ()