Lücken schließen: Sicherheitstests für rundum sichere Anwendungen

Sie müssen weder einen Hacker beauftragen um die Sicherheit Ihrer Anwendungen zu überprüfen, noch müssen Sie unzählige teure Hackertools kaufen. Doch sollten Sie über ein genau definiertes Verfahren zur Identifizierung potenzieller Probleme verfügen.

Wenn Sie die nachfolgend geschilderten fünf Schritte ausführen, können Sie problemlos häufig missbrauchte Schwachstellen lokalisieren und gegebenenfalls beheben oder entschärfen.

Schritt 1: Der Port-Scan

Als erstes müssen Sie einen Port-Scan für Ihre Clients und Server durchführen um unnötigerweise geöffnete Übertragungsports zu bestimmen. Von Diensten wie FTP, NetBIOS, echo und gotd genutzte Ports sind häufige Ursachen von Sicherheitsproblemen. Als Daumenregel für TCP- und UDP-Ports gilt: Deaktivieren Sie alle Dienste oder Listener, die Sie zum Ausführen Ihrer Anwendung nicht benötigen.

Ein Port-Scan ist ein Test, mit dem bestimmt werden kann, welche TCP- und UDP-Ports eines Zielsystems geöffnet sind, also auf eine Verbindung warten. Da auf den meisten Computern viele dieser Listener standardmäßig aktiviert sind, versuchen Hacker häufig durch Port-Scanning ihres Ziels dessen offene Ports zu ermitteln, bevor sie dann einen Angriffsplan ausarbeiten. Wenn diese Ports erst einmal bekannt sind, können sie ganz leicht missbraucht werden.

Solche Port-Scanning-Tools, so genannte Port-Scanner, sind im Internet erhältlich. Viele von ihnen basieren auf Linux, so zum Beispiel Nmap, Strobe und Netcat, um einige leistungsfähige Tools zu nennen. Mein bevorzugter Linux-basierter Port-Scanner ist Nmap. Es gibt auch verschiedene gute Port-Scanner auf Basis von Microsoft Windows, von denen ich den WS_Ping ProPack von Ipswitch empfehlen kann. WS_Ping ProPack ist ein kostengünstiges und vielseitig einsetzbares Tool zur Problembehebung in Netzwerken, das eine Vielzahl an Funktionen in einem einfach zu benutzenden Paket bietet.

Wenn Sie sich einen Port-Scanner beschafft haben, sollten Sie einen Testlauf für all Ihre TCP- und UDP-Ports durchführen um zu sehen, welche Ports geöffnet sind. Vergleichen Sie die Liste offener Ports mit der Liste der für die Systemfunktion relevanten Ports und schließen Sie alle unnötig geöffneten Ports. Um in Microsoft-basierten Betriebssystemen offene Ports zu schließen, müssen häufig deren Dienste neu konfiguriert oder die Registrierungseinstellungen geändert werden. UNIX- und Linux-Systeme sind ein wenig einfacher zu handhaben: Je nach Version genügt es meist, eine Zeile in einer Konfigurationsdatei auszukommentieren.

Themenseiten: Anwendungsentwicklung, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Lücken schließen: Sicherheitstests für rundum sichere Anwendungen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *