Timing für effiziente unentdeckte Portscans

Timing für effiziente unentdeckte Portscans

Marc Ruef
Marc Ruef
Oliver Kunz
Oliver Kunz
Lesezeit: 6 Minuten

Im Rahmen eines Penetration Tests wurden an uns eher spezielle Anforderungen gestellt:

Die Zugriffe sollten möglichst effizient durchgeführt werden, ohne dadurch auf den Systemen eine Alarmierung auszulösen.

Da die Infrastruktur nicht durch den Kunden selbst, sondern durch einen externen Partner betreut wurde und dieser in das Security Testing nicht involviert werden sollte, wussten wir nicht um das ideale Timing-Verhalten für unsere Zugriffe. Doch ein solches sollte von zentraler Wichtigkeit sein, um automatisierte Zugriffe während einer frühen Phase der Auswertung durchführen zu können. Wir sahen uns also mit diametral entgegengesetzten Bedürfnissen konfrontiert:

Effizienz gegen Unentdeckbarkeit

Recherche

Um unsere Zugriffsmöglichkeiten bestmöglich abstecken zu können, haben wir uns deshalb um das Zusammentragen von Informationen zur Erkennung von vielen Zugriffen (typischerweise in Form eines Portscans oder Floodings) bemüht. Dabei definiert sich der entsprechende Threshold aus zwei Werten:

Um diese Daten für bekannte Produkte finden zu können, wurden verschiedene Quellen genutzt:

Resultate

Die folgende Tabelle zeigt die Zugriffe (Req) pro Sekunde (Sec). Um einen vereinheitlichten Vergleich gewährleisten zu können, werden in der letzten Spalte mit nR/1S die Anzahl Zugriffe (nR) pro Sekunde (1S) ausgewiesen. Der arithmetische Durchschnitt dieses Werts liegt bei 85.928.

Produkt Req Sec nR/1S
Aolynk Broadband Router 5 1 5
Astaro Firewall 100 1 100
Avira Internet Security 50 5 10
Billion BiPAC 100 1 100
Bullguard Internet Security 6 0.6 10
Checkpoint Firewall-1 30 20 1.5
Checkpoint Safe@Office 30 20 1.5
Checkpoint UTM-1 30 20 1.5
Checkpoint VPN-1 30 20 1.5
Checkpoint ZoneAlarm 30 20 1.5
Cisco ASA/PIX 8 120 0.07
cPanel lfd 11 260 0.04
Deerfield VisNetic Firewall 3 10 0.3
Inmon Traffic Sentinel 5 600 0.01
Juniper JunOS 10 0.01 2000
Juniper IDP 20 120 0.17
Juniper ScreenOS 10 5 2
Logsurfer+ 100 300 0.33
McAfee Sidewinder 5 30 0.17
Microsoft ISA 10 60 0.17
Microsoft TMG 10 60 0.17
Outpost Firewall 8 1 8
Port Scan Attack Detector 5 5 1
scanlogd 7 3 2.33
Snort 5 60 0.08
SonicWALL 300 1 300
Sophos Endpoint Protection 3 0.3 10
Sophos UTM 3 0.3 10
Watchguard Edge 10 1 10
Zyxel Zywall 30 60 0.5

Bei dieser Recherche fielen verschiedene Aspekte auf, die die Arbeit nicht gerade einfacher gestaltet haben:

Timing verschiedener Produkte zur Erkennung von Portscans

Fazit

Als verlässlichen Richtwert für den Threshold einer Port Scan Detection gilt der Standardwert der Checkpoint Produkte. Dort wird bei 30 Anfragen innert 20 Sekunden aufgeschlagen. Dies ergibt einen maximalen Durchschnitt von 1.5 Paketen pro Sekunde, was ebenfalls dem Median der vorliegenden Werte entspricht.

Sieht man sich also mit den gleichen paradoxen Anforderungen konfrontiert, wie im Rahmen unseres Projekts, sollte man ca. 1.3 Pakete pro Sekunde anstreben, um einer Entdeckung und Alarmierung zu entgehen. Die Abweichung von 0.2 wird hier als Puffer gewählt, um der Entdeckung auch ganz sicher entgehen zu können. Bei einem Einsatz von nmap wird entsprechend der Schalter —max-rate 1.3 genutzt, um diesen Anforderungen gerecht werden zu können.

Diese Betrachtung ist natürlich nur in der Lage, die Standardeinstellungen eines Produkts zu berücksichtigen. Die weiterführenden Empfehlungen von Herstellern, Kunden und Experten sowie die effektiv applizierten Einstellungen müssen natürlich in ihrer individuellen Weise berücksichtigt werden.

Über die Autoren

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Oliver Kunz

Oliver Kunz ist seit 2010 im Bereich der Informationssicherheit aktiv. Hauptsächlich setzt er sich mit Incident Response, Computerforensik und der Sicherheit von mobilen Geräten auseinander.

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv