Warum TCP-Traffic-Spitzen auf Port 0 (Zero) einen Alarm auslösen sollten
Steigt der Traffic auf TCP-Port Zero, könnte das ein Vorbote weiterer Angriffe sein. Die richtige Konfiguration der Firewall minimiert die Risiken.
Cisco berichtete Ende 2013, dass bei Traffic-Spitzen auf TCP-Port 0 („Zero“) die Alarmglocken läuten sollten, da es sich dabei um Vorboten für weitere und noch schwerwiegendere Angriffe handeln könnte. Wie kann man entsprechende Traffic-Spitzen erkennen und analysieren und vor allem: Wie sollten Unternehmen darauf reagieren?
Nachdem diese Berichte von Cisco ausgegeben wurden, stand ich mit mehr Fragen als Antworten da. Hauptsächlich deshalb, weil Cisco das Ziel des beobachteten Port-Zero-Traffics nicht weiter spezifiziert hatte, um nicht zu viele Anhaltspunkte zum Ziel des möglichen Angriffes zu enthüllen.
TCP-Port Zero ist ein ungebräuchlicher Port und nicht alle Betriebssysteme können damit etwas anfangen. Die Internet Assigned Numbers Authority hat diesen für Untersuchungs-Zwecke (Research) deklariert. Aus diesem Grund könnte der von Cisco erwähnte Traffic vielleicht nur genau das gewesen sein – Forschung. Warum war Cisco aber dann so besorgt wegen des erhöhten Datenverkehrs auf TCP-Port Zero? Die Antwort liegt in der Eigenart des Ports selbst.
Oftmals erkennen Paket-Sniffer den Ursprung von Paketen, die auf einer zugewiesenen Netzwerk-Karte eintreffen, als Traffic von TCP-Port Zero. In Wirklichkeit stimmt das aber gar nicht. Um was handelt es sich hier also dann? Diese Pakete könnten einfach TCP-Traffic ohne einen Layer-4-Header sein. Somit hat der Sniffer diese einfach mit Ursprung Port Zero betitelt, um irgendetwas anzugeben. Man kann dies oft bei Traffic über das Internet Control Message Protocol (ICMP) beobachten, wenn der Ausgangs-Host einen Ping-Versuch an einen anderen Netzwerkknoten verschickt. Technisch gesehen könnte es sich im Falle des Cisco-Berichts also bei vielen Paketen des als TCP-Port Zero betitelten Traffics um eine große Anzahl an Ping-Versuchen handeln. Möglicherweise waren also digitale Späher am Werk.
Was sollte eine Firma also in so einem Fall tun? Finden Sie zunächst einmal heraus, ob Ihr Netzwerk ICMP-Versuche erlaubt oder nicht. Die meisten Firmen-Netzwerke erlauben dies, weil ICMP ein idealer Mechanismus zur Fehlersuche ist. Einige Netzwerke erlauben ICMP-Traffic von externen Netzwerken aber nicht und schützen sich somit vor so genannten Ping-Floods sowie anderen ähnlichen Denial-of-Service-Angriffen (DoS). Ob ICMP erlaubt ist oder nicht, sollten Sie je nach Anwendungsfall entscheiden.
Weiterhin sollten Sie evaluieren, ob die Firewall-Infrastruktur Traffic von TCP-Port Zero entdecken kann. Wenn ja, kann sie den Datenverkehr von diesem Port auch blockieren? Weil TCP-Port Zero als reserviert eingestuft ist, erkennen viele Firewalls den Traffic von Port Zero nicht und können diesen somit auch nicht abweisen.
Nehmen wir an, Sie erlauben keinen ICMP-Traffic und die Konfiguration der Firewall müsste jeglichen Traffic mit Ursprung von TCP-Port Zero abweisen. Lässt Ihre Firewall dennoch Datenverkehr von TCP-Port Zero durch, dann sollten Sie vielleicht Kontakt mit Ihrem Firewall-Anbieter aufnehmen. Dies wäre ein klares Anzeichen dafür, dass im Firewall-Betriebssystem etwas faul ist.