You are here: Home » Dokumentation » Netzwerk » Portscans - darf ich das?
Sorry, this page is not translated yet.

Portscans – darf ich das?

Das RUS-CERT stellt regelmäßig fest, dass bezüglich des Status von Portscans und deren Durchführung erheblicher Klärungsbedarf besteht. Diese Seite soll einige Erläuterungen liefern.

Portscans sind nicht illegal

Portscans, also das systematische Testen von Hosts auf das Anbieten bestimmter (meist TCP-basierter) Dienste, sind per se nicht illegal. Die Internet-Protokolle bieten keine Möglichkeit jenseits des üblichen Transportmediums an, um die von einem Host angebotenen Dienste zu ermitteln. Um einen potentiellen Dienst zu nutzen, muss deswegen die Nutzung einfach versucht werden – und solche Zugriffe können nicht als illegal angesehen werden.

Im folgenden betrachten wir nur noch signifikante Portscans, also solche, die tausende von IP-Adressen betreffen oder wenige Hosts komplett scannen. Das Aufspüren von und die Beschäftigung mit kleineren Scans lohnt sich in der Regel nicht. Bitte haben Sie zudem Verständnis, dass das RUS-CERT aufgrund der Personalsituation nicht jedem Scan der Universitätsnetze von außen nachgehen kann. (Scans, die ihren Ursprung innerhalb der Universitätsnetze haben, werden zumindest an den zuständigen DV-Administrator gemeldet.)

Portscans korrelieren mit kompromittierten Hosts

Die Erfahrung des RUS-CERT zeigt, dass Scans, die von Maschinen an der Universität Stuttgart ausgehen, in der Regel nicht durch autorisierte Benutzer vorgenommen werden. Meistens wurden die Maschinen bereits über das Netz oder durch lokale Benutzer kompromittiert. Ähnliches gilt für Scans, die von außerhalb der Universitätsnetze durchgeführt werden.

Aus diesem Grund reagiert das RUS-CERT rasch mit einschneidenden Maßnahmen, wie beispielsweise der Sperre für das betroffene System am Perimeterrouter und der Benachrichtigung der zuständigen Systemadministratoren.

Portscans verstoßen gegen die Benutzungsordnung

Das Durchführen von Portscans verstößt gegen die Benutzungsordnung (Benutzungsordnung für die digitale Informationsverarbeitung und Kommunikationstechnik (IuK) an der Universität Stuttgart vom 18. Dezember 2006), insbesondere gegen Paragraph 3 Ziffer 2, Unterziffern b) bis d).

Portscans generieren Arbeit

Da Portscans wegen der starken Korrelation mit kompromitierten Hosts Maßnahmen durch das RUS-CERT erfordern (Sicherung von Logs, Ermittlung des Systembetreibers und dessen Benachrichtigung, Sperre am Perimeterrouter usw.), erzeugt ein einfacher Portscan, wenn er entdeckt wird, erhebliche Arbeit. Dies gilt auch für Scans, die in guter Absicht durch DV-Administrator an der Universität Stuttgart durchgeführt werden, auch wenn sie interne Netze betreffen. (Scans der eigenen Netze durch den zuständigen DV-Administrator sind in der Regel unproblematisch, wenn die Benutzer rechtzeitig informiert sind.) Wir müssen Sie daher nachdrücklich auffordern, selbst keine Portscans vorzunehmen.

Falls Sie verdächtiges Verhalten feststellen, melden Sie es bitte an das RUS-CERT, und recherchieren nicht auf eigene Faust. Möglicherweise bearbeitet das RUS-CERT diesen Vorfall bereits, weshalb so auch Doppelarbeit vermieden wird.

Portscans durch das RUS-CERT

Bei Bedarf führt das RUS-CERT selbst Scans durch. Diese werden nach Möglichkeit per Mail an die Netzadministratoren-Liste angekündigt.
Diese Scans gehen grundsätzlich vom Host

netmon.cert.uni-stuttgart.de 129.69.16.242

aus. In Ihrem eigenen Interesse sollten Sie diesen Host an einer eventuell vorhanden Firewall nicht restriktiver als z.B. Systeme aus den Universitätsnetzen behandeln.