Überwachung Ihrer Netzwerk-Ports: Beginnen Sie mit dem Andocken am Port

Die Überwachung von Ports ist eine notwendige Maßnahme, um sicherzustellen, dass Ihr Netzwerk auf einem optimalen Niveau läuft.

Denjenigen, die Neuengland nicht kennen, sei gesagt, dass viele Dörfer und Städte als Fischerstädte entstanden sind. Diese Gemeinden sind auch heute noch auf dem Meer tätig, und zahlreiche Unternehmen verschiffen ihre Produkte auf großen Schiffen. Wie erhalten diese Schiffe Zugang zu den Städten, um dort weiterhin Geschäfte zu machen? Indem sie mit ihren Schiffen und ihrer Besatzung an einem Hafen andocken, einer maritimen Einrichtung, in der Schiffe und Boote jeder Größe Fracht oder in manchen Fällen auch Passagiere aufnehmen und abladen.

Diejenigen, die in den Bereichen IT und Infrastrukturmanagement (IM) tätig sind, kennen sich mit "Netzwerk-Ports" oder "Switch-Ports" aus - höchstwahrscheinlich abseits des Wassers. Ports sind Teil von Netzwerkadressen, die als Zugangspunkte zum Netzwerk dienen. Ports sorgen auch für die gründliche Verteilung von Verbindungen und Datenpaketen.

Wie jeder andere Aspekt der Überwachung der Netzwerkinfrastruktur ist auch die Möglichkeit, verschiedene Ports zu scannen, für ein Unternehmen von Vorteil. Ganz zu schweigen davon, dass es viel Zeit spart, jeden einzelnen Port in einem langwierigen, manuellen Prozess zu überprüfen.

Wie kann man diese Zugangsbereiche schützen? Genauer gesagt, wie überwacht ein IT-Experte diese Ports für seine eigenen Geräte und die weitläufige Netzwerkinfrastruktur seines Unternehmens?

Dieser Blog widmet sich dem Port Monitoring, dem Buchstaben P in unserer wachsenden ABCs of ITIM-Reihe. In den folgenden Abschnitten werden wir die oben genannten rhetorischen Fragen beantworten.

Was ist ein Port?

Im Netz (im nicht-nautischen Sinne) können wir drei verschiedene Arten von Ports unterscheiden, die jedoch in der Regel entweder virtuell oder physisch sind:

• Eine Buchse oder ein Stecker für eine Hardware oder ein Zubehörteil (z. B. Ethernet-Anschlüsse für Cat6/Cat5e-Kabel).
• Eine von der Software definierte Nummer, die mit einem Netzprotokoll verbunden ist, das eine Kommunikation für einen bestimmten Dienst empfängt oder sendet.
• Eine Software wurde übersetzt oder konvertiert, um auf einer anderen Hardware oder einem anderen Betriebssystem zu laufen, als ursprünglich vorgesehen war.

Im Durchschnitt verfügt ein Unternehmen über mehr als 65.000 (die genaue Zahl liegt zwischen 65.336 oder laut TechTarget 65.535) Ports, die überwacht werden sollten. Obwohl nicht alle von ihnen ständig verwendet werden, übertragen viele dieser Ports Daten im Sekundentakt.

Was ist Port-Monitoring?

Die Port-Überwachung ist eine Standardmaßnahme für IT-Fachleute, bei der sie den Datenverkehr analysieren, der über verschiedene Eingangspunkte läuft. Bei der Portüberwachung wird der Verkehr analysiert, der von einem Port zu einem anderen Port an einem Netzwerk-Switch gespiegelt wird. Alternativ kann bei der Portüberwachung der Verkehr von einem Switch gespiegelt werden, der an einen Netzwerkanalysator angeschlossen ist. Mit einem Netzwerkanalysator können IT-Fachleute den Datenverkehr von einem Port zu einem anderen auf einem Switch oder angeschlossenen Switches spiegeln.

Wie funktioniert die Portüberwachung?

Bei der Portüberwachung werden in der Regel Netzwerk- oder Hardware-Überwachungstools eingesetzt, um den Status bestimmter Netzwerkports zu erfassen und zu analysieren. Diese Tools können so konfiguriert werden, dass sie verschiedene Parameter überwachen, darunter den Status des Ports, die Menge des über den Port fließenden Datenverkehrs und die Art des übertragenen Datenverkehrs. Die Port-Überwachung kann IT- und Netzwerkadministratoren dabei helfen, (neben anderen Aufgaben) Betriebs- und Ausfallzeiten effizient zu verwalten.

Was sind die wichtigsten Arten der Portüberwachung?

Der Portüberwachungsprozess sortiert die gefundenen Ports in eine der folgenden Kategorien:

• Offen: Der Zielhost antwortet mit einem Paket, das anzeigt, dass er diesen Port abhört. Es deutet auch darauf hin, dass der Dienst, der für den Scan verwendet wurde (in der Regel TCP oder UDP), ebenfalls in Gebrauch ist.
• Geschlossen: Der Zielhost hat das Anforderungspaket empfangen, aber mit einer Antwort geantwortet, die besagt, dass an diesem Anschluss kein Dienst lauscht.
• Gefiltert: Der Port-Scan stuft Ports als gefiltert ein, wenn ein Anforderungspaket gesendet, aber keine Antwort empfangen wird. Dies bedeutet in der Regel, dass das Anforderungspaket von einer Firewall herausgefiltert und verworfen wurde.

TCP (Transmission Control Protocol) und UDP (User Datagram Protocol) sind die beiden wichtigsten Methoden zur Datenübertragung. Obwohl sie häufig verwendet werden, haben die beiden sehr unterschiedliche Prozesse bei der Datenübertragung:

• TCP: Eine auf einer bidirektionalen Verbindung basierende Übertragung von Daten, die sich auf den Status des Ziels stützt, um eine bidirektionale Datenübertragung zu ermöglichen.
• UDP: Eine einfachere, richtungslose Übertragung, bei der die Datenpakete nicht auf einmal, sondern in Teilen gesendet werden.

Für Unternehmen, die hauptsächlich TCP verwenden, ist die häufigste Art von Scan der SYN-Scan. SYN-Scans stellen eine teilweise Verbindung zum Host an einem Zielport her, indem sie ein Paket senden und dann die Antwort des Hosts auswerten. Wenn das Anforderungspaket nicht von einer Firewall gefiltert oder blockiert wird, antwortet der Host mit einem SYN/ACK-Paket, wenn der Port offen ist, oder mit einem RST-Paket, wenn der Port geschlossen ist.

Eine andere Methode des TCP-Scannens ist der Connect-Scan, bei dem der Scanner versucht, über den TCP-Connect-Systemaufruf eine Verbindung zu einem Port auf dem Zielhost herzustellen und den gesamten Handshake-Prozess zu initiieren. Dies erzeugt eine Menge Paket-Overhead und ist leichter zu erkennen, was es zu einer weniger genutzten Methode des Port-Scannings durch Cyber-Kriminelle macht.

Andere Arten von TCP-Port-Scans umfassen Folgendes:

• NULL: Eine Art von Scan, der Pakete sendet, in deren Header keine Flags gesetzt sind.
• FIN: Nur Scans, bei denen das FIN-Bit festgelegt ist.
• XMAS: Scannen Sie Pakete mit aktivierten FIN-, PSH- und URG-Flag-Bits.

Beim Port-Scanning, einer gängigen Art der Port-Überwachung, überprüft der Endbenutzer den Status einer Reihe von Ports auf einem Netzwerkgerät. Netzwerkadministratoren verwenden diese Art von Tool, um bei der Suche nach offenen und anfälligen Ports in der Infrastruktur eines Unternehmens zu helfen. Das Scannen von Ports kann auch bei der Identifizierung von Fehlkonfigurationen helfen.

Eine andere Art der Portüberwachung ist die SNMP-Überwachung (Simple Network Management Protocol). SNMP ist ein häufig implementiertes Protokoll, mit dem Netzwerkadministratoren Netzwerkgeräte von einem zentralen Standort aus überwachen und verwalten können. Mithilfe von SNMP können Administratoren Kann den Status von Netzwerkports überwachen, Benachrichtigungen erhalten, wenn bestimmte Ereignisse auftreten, und Leistungsdaten für die Analyse sammeln.

Welche Metriken eines Ports können Sie überwachen?

Es gibt mehrere Metriken, die Sie im Auge behalten sollten, einschließlich des Prozentsatzes, der davon abhängt, ob es sich um einen Erweiterungsport oder einen Fabric-Port handelt, sowie der durchschnittlichen Größe und des Zeitrahmens einer Datenverkehrsübertragung. Die Administratoren sollten jedoch vorrangig die leistungsorientierten Kennzahlen analysieren. Nach dem Einsatz eines Port-Überwachungstools können IT- und Netzwerkteams die folgenden Leistungskennzahlen messen:

• Zu den wichtigsten Portmetriken gehören Aspekte der Bandbreite, einschließlich des Prozentsatzes der gesendeten und empfangenen Bandbreite. Zu den wichtigen Portmetriken gehören auch die Datenraten, mit denen sie gesendet oder empfangen werden.
• Die E/A-Rate umfasst die durchschnittliche Anzahl der Bilder pro Sekunde, die über einen Anschluss gesendet oder empfangen werden.
• Peak Data Rate ist genau so, wie es sich anhört: eine Messung, bei der das Anschlussüberwachungs-Tool die höchste Rate analysiert, mit der Daten über den Anschluss gesendet oder empfangen werden. Ein Unterschied zu dieser Art von Metrik besteht jedoch darin, wie sie verarbeitet werden: Ein Sendevorgang ist ein verarbeiteter Lese- oder Schreibvorgang, der durch den Bericht gekennzeichnet ist. Ein Empfangsvorgang ist ein verarbeiteter Schreibvorgang oder ein durch einen Bericht gekennzeichneter Lesevorgang.
• Die Frame-Fehlerraten sind komplexer als andere Metriken. Zu den analysierten Fehlern gehören der Prozentsatz der nichtsequenziellen Lesevorgänge, die in zwischengespeicherten Daten gefunden werden, und der Prozentsatz der nichtsequenziellen Schreibvorgänge, die im Cache verarbeitet werden.
• Port Protocol Error Rate ist eine weitere komplexe Metrik, die neben anderen Statistiken die durchschnittliche Anzahl der Frames pro Sekunde misst, die verworfen werden, weil Host-Puffer für den Port nicht verfügbar sind.
• Link Error Rates sind Messwerte, die sich auf die durchschnittliche Anzahl von Disparitätsfehlern beziehen, die pro Sekunde empfangen werden.

Fünf Vorteile der Portüberwachung

1. Besserer Einblick in die Nutzung von Ports. Bei der Überwachung der Switch-Ports eines Unternehmens kann ein IT-Fachmann sehen, welche Ports am häufigsten genutzt werden, aber auch die Effizienz des gesamten Netzwerks überwachen. Dadurch kann das Team Zeit und Geld sparen und den Arbeitsaufwand verringern.

2. Verbesserte Sicherheit für ein Netzwerk. Portüberwachungssoftware senkt die Risiken von IT-Fachleuten, die die Netzwerkinfrastruktur ihres Unternehmens davor schützen können, den Weg für eine Vielzahl von Arbeitsabläufen freizumachen.

3. Schützen Sie sensible Daten und andere damit verbundene Informationen. Häufig sind nicht genutzte Switch-Ports eine der häufigsten Sicherheitsschwachstellen. Um zu unserem nautischen Vergleich vom Anfang zurückzukehren: Ein ungenutzter Port dient als verfügbares Dock für jeden Cyber-Angreifer.

4. Verwalten Sie Ausfallzeiten und Betriebszeiten effektiv. Die Überwachung von Ports ist für die Aufrechterhaltung der Netzwerkverfügbarkeit von entscheidender Bedeutung, da sie für Transparenz sorgt. Mit diesen Erkenntnissen können Netzwerkadministratoren untersuchen, welche spezifischen Probleme Ausfallzeiten verursachen.

5. Beheben Sie Engpässe im Netzwerk eines Unternehmens. Ein automatisiertes Tool zur Portüberwachung kann IT- und Netzwerkexperten dabei helfen, Ressourcen zuzuweisen, um potenzielle Engpässe im Arbeitsablauf zu beseitigen.

Fünf Herausforderungen der Portüberwachung

1. Das Mapping von Ports ist in einer komplexen Netzwerkinfrastruktur problematisch. Da Netzwerke immer komplexer werden, sei es vor Ort oder in der Cloud, ist es nicht einfach, einen Überblick über die gesamte Infrastruktur zu erhalten, einschließlich der Netzwerkports.

2. Die richtigen Einblicke in die angeschlossenen Geräte, die mit einem bestimmten Port verbunden sind, zu erhalten. Während die Portüberwachung Administratoren einen guten Einblick in ihre Netzwerkaktivitäten gibt, ist die Kenntnis der genauen Details des angeschlossenen Geräts entscheidend, um andere Probleme zu entschärfen.

3. Physikalische Defekte können den Überwachungsprozess beeinträchtigen. Es mag selbstverständlich sein, aber beschädigte Kabel, Softwarefehler und schlecht konfigurierte Netzwerk-Switches sorgen für schlechte Leistungen im gesamten Netzwerk. Daher kann es schwierig sein, mit der Überwachung der Anschlüsse zu beginnen.

hier weiter

4. Verschiedene softwarebezogene Konfigurationen wirken sich ebenfalls auf die Portüberwachung aus. Netzwerk- und IT-Fachleute sollten auf Network Interface Controller (NIC) Karten achten, die angemessen angeschlossen werden müssen, sowie auf Spanning-Tree-Schleifen und Blockierungen oder Datenübertragungsprotokolle, die von einem Router oder Switch nicht erkannt werden.

5. Alle blinden Flecken in Ihren Ports können zu potenziell gefährlichen Sicherheitsverstößen führen. Es ist üblich, dass Unternehmen ihren Mitarbeitern erlauben, ihre eigenen Geräte mitzubringen. Doch diese Geräte sind wiederum mit großen Netzwerken verbunden. Eine automatisierte End-to-End-Lösung zur Überwachung der Ports kann ihnen den nötigen Einblick in die Ports dieser Geräte verschaffen.

So verwenden Sie selbst ein Port-Monitoring-Tool

Um diese (rhetorische) Frage zu beantworten, sollte ein IT- oder Netzwerkadministrator eine Art von Portüberwachungssoftware oder -tool verwenden. Andere IT- oder Netzwerkinfrastruktur-Teams werden Ressourcen und Zeit aufwenden, um die Ports ihres Unternehmens manuell zu überwachen. Daher ist der Einsatz einer Netzwerküberwachungslösung mit Automatisierungsfunktionen ideal, um Zeit und Geld zu sparen, wie z. B. Progress WhatsUp Gold.

So starten Sie die Überwachung mit Progress WhatsUp Gold

Die Netzwerkerkennungs-Tools von WhatsUp Gold helfen Administratoren, ihre Netzwerkumgebung abzubilden und die im Netzwerk befindlichen Geräte schnell zu erkennen. Die Software kann alle angeschlossenen Geräte erkennen und dabei ein umfassendes und genaues Bild der Port-zu-Port-Konnektivität dieser Geräte erstellen.

Darüber hinaus bietet das WhatsUp Gold-Tool zur Überwachung und Analyse des Netzwerkverkehrs einen noch besseren Einblick, welche Benutzer, Anwendungen und Protokolle Bandbreite verbrauchen. Oder ob es einen verdächtigen Port von angeschlossenen Geräten gibt.

Es lohnt sich immer, nach Lösungen für Netzwerkschwachstellen zu suchen, indem Sie einige der oben genannten Tools verwenden oder einen zertifizierten ethischen Hacker beauftragen, Ihr Sicherheitsniveau zu überprüfen. Wie Sie Ihre Port-Überwachungslösung implementieren, hängt vom Budget Ihres Teams ab und davon, wie viel Erfahrung es mit der jeweiligen Technologie hat.

Erfahren Sie mehr über WhatsUp Gold, einschließlich der Port-Überwachungsfunktionen, und wie Ihr Unternehmen davon profitiert.

Alle ABCs der Infrastrukturüberwachung anzeigen

Möchten Sie mit den Grundlagen der IT-Infrastrukturüberwachung beginnen? Unser alphabetisch geordneter Index ist ein hervorragender Ort, um Ihre Ausbildung zu beginnen oder zu erweitern. Sehen Sie sich alle unsere aktuellen Themen an.