Port scan

Een port scan is een van de meest gebruikte verkenningsstechnieken in cybersecurity. Bij een port scan stuurt een aanvaller of beveiligingsspecialist geautomatiseerde verzoeken naar de netwerkpoorten van een systeem om te bepalen welke poorten open, gesloten of gefilterd zijn. Elke open poort vertegenwoordigt een actieve dienst die mogelijk kwetsbaar is voor misbruik. Port scanning vormt vaak de eerste stap in een gerichte cyberaanval, maar het is ook een essentieel onderdeel van legitieme beveiligingsaudits en penetratietesten. In de huidige dreigingsomgeving scannen geautomatiseerde bots continu het internet af op zoek naar kwetsbare systemen.

Het concept van port scanning bestaat al sinds de vroege dagen van het internet. Tools zoals Nmap, Masscan en Zmap zijn inmiddels standaard gereedschap voor zowel aanvallers als verdedigers. Het verschil zit uitsluitend in de intentie: een ethisch hacker gebruikt port scanning om kwetsbaarheden te vinden voordat kwaadwillenden dat doen, terwijl een aanvaller dezelfde informatie gebruikt om een aanvalsroute te plannen. Port scanning is daarmee een neutraal hulpmiddel dat zowel offensief als defensief wordt ingezet in de cybersecuritypraktijk van vrijwel elke organisatie.

Hoe werkt een port scan?

Een port scan werkt door netwerkpakketten te versturen naar specifieke poorten op een doelsysteem en de reacties te analyseren. TCP/IP-netwerken gebruiken 65.535 poorten per protocol (TCP en UDP), en elke poort kan een andere dienst hosten. Poort 80 draait bijvoorbeeld vaak een webserver, poort 22 SSH, poort 443 HTTPS en poort 3389 Remote Desktop Protocol. Door systematisch pakketten naar deze poorten te sturen, brengt een scanner in kaart welke diensten actief zijn en welke softwareversies daarop draaien.

Er bestaan verschillende scantechnieken met elk hun eigen voor- en nadelen. Bij een TCP connect scan wordt een volledige verbinding opgezet via de three-way handshake (SYN, SYN-ACK, ACK). Dit is betrouwbaar maar ook goed detecteerbaar omdat de volledige handshake in logbestanden wordt vastgelegd. Een SYN-scan (ook wel half-open scan genoemd) stuurt alleen een SYN-pakket en analyseert de reactie zonder de handshake te voltooien. Dit is sneller en moeilijker te detecteren omdat er geen volledige verbinding wordt opgezet en er minder logregels worden gegenereerd op het doelsysteem.

UDP-scans zijn aanzienlijk trager omdat UDP een verbindingsloos protocol is dat geen bevestiging stuurt bij open poorten. De scanner moet wachten op een time-out of een ICMP-foutmelding om te bepalen of een poort open of gesloten is. Geavanceerde technieken zoals FIN-scans, XMAS-scans en NULL-scans sturen pakketten met ongebruikelijke vlagcombinaties om firewalls te omzeilen. Bij een FIN-scan wordt een pakket met alleen de FIN-vlag gestuurd. Gesloten poorten reageren met een RST-pakket, terwijl open poorten het pakket negeren. Deze technieken werken niet op alle besturingssystemen maar zijn nuttig tegen eenvoudige packet-filter firewalls die alleen op SYN-pakketten filteren.

De resultaten van een port scan worden ingedeeld in drie categorieen. Open betekent dat een dienst actief luistert en verbindingen accepteert. Gesloten betekent dat de poort bereikbaar is maar er geen dienst op draait. Gefilterd betekent dat een firewall of ander beveiligingsapparaat het verkeer blokkeert, waardoor de scanner niet kan bepalen of de poort open of gesloten is. Sommige scanners rapporteren ook de status open of gefilterd wanneer het onduidelijk is welke van de twee van toepassing is op basis van de ontvangen reactie.

Hoe herken je een port scan?

Port scans genereren kenmerkend netwerkverkeer dat je met de juiste monitoring kunt detecteren. Een intrusion detection system (IDS) herkent patronen zoals een groot aantal verbindingspogingen vanuit een enkel IP-adres naar meerdere poorten in korte tijd. Dit patroon is typisch voor een sequentiele port scan en wijkt duidelijk af van normaal gebruikersverkeer dat doorgaans slechts enkele specifieke poorten benadert.

Langzame scans (ook wel stealth scans of slow scans genoemd) zijn aanzienlijk moeilijker te detecteren. Hierbij spreidt de aanvaller de scanpogingen over uren of zelfs dagen, zodat het verkeer opgaat in normaal netwerkgebruik. Distributed scans gebruiken meerdere bron-IP-adressen om patroonherkenning nog complexer te maken. Moderne SIEM-oplossingen correleren events over langere perioden en detecteren ook deze subtielere patronen door anomaliedetectie en gedragsanalyse toe te passen op historische verkeersdata en real-time monitoring te combineren met bekende dreigingsindicatoren.

Concrete indicatoren van een port scan zijn: ongebruikelijk hoge aantallen half-open verbindingen, RST-pakketten zonder voorafgaande communicatie, verbindingspogingen naar ongebruikelijke poorten zoals poort 4444 of 31337, en verzoeken vanuit bekende scantools herkenbaar aan specifieke TCP-window sizes of TTL-waarden. Het loggen en analyseren van firewall-denies is een eenvoudige maar effectieve methode om scanactiviteit te signaleren en de bron te identificeren.

Hoe bescherm je je tegen een port scan?

Volledige bescherming tegen port scans is niet realistisch, omdat elke publiek bereikbare dienst in principe scanbaar is. De strategie richt zich daarom op het minimaliseren van het aanvalsoppervlak en het detecteren van scanactiviteit. Begin met het sluiten van alle poorten die niet strikt noodzakelijk zijn voor de bedrijfsvoering. Gebruik een firewall met standaard-deny beleid: alles is geblokkeerd tenzij expliciet toegestaan.

Implementeer netwerksegmentatie zodat een aanvaller die toegang krijgt tot een segment niet automatisch alle andere segmenten kan scannen. Gebruik port knocking of single packet authorization (SPA) voor gevoelige beheerpoorten zoals SSH. Bij port knocking moet een gebruiker eerst een specifieke reeks poorten in de juiste volgorde benaderen voordat de werkelijke poort opengaat. Dit maakt de poort onzichtbaar voor standaard port scanners en voegt een extra authenticatielaag toe bovenop het reguliere wachtwoord of de SSH-sleutel.

Schakel banners uit op diensten waar mogelijk. Banners geven informatie over softwareversies, wat aanvallers helpt bij het selecteren van geschikte exploits. Rate limiting op firewall-niveau beperkt het aantal verbindingspogingen per IP-adres per tijdseenheid, wat geautomatiseerde scans aanzienlijk vertraagt. Combineer dit met automatische blokkering via tools als fail2ban die herhaalde scanpogingen detecteert en het bron-IP automatisch blokkeert voor een configureerbare periode.

Voer regelmatig zelf port scans uit op je eigen infrastructuur via vulnerability scanning. Dit geeft inzicht in welke poorten onbedoeld openstaan en welke diensten onnodig draaien. Documenteer het verwachte poortenlandschap en vergelijk scanresultaten hiermee om afwijkingen snel te identificeren. Integreer port scanning in je reguliere beveiligingsprocessen en voer scans uit na elke significante netwerkwijziging of systeemupdate.

Veelgestelde vragen over port scan

Is een port scan illegaal?

Een port scan op je eigen systemen is legaal en zelfs aanbevolen als beveiligingsmaatregel. Het scannen van systemen van derden zonder expliciete toestemming kan strafbaar zijn onder de Wet computercriminaliteit. Bij penetratietesten leg je de scope en toestemming altijd vast in een schriftelijke overeenkomst voordat je begint.

Welke tools worden gebruikt voor port scanning?

Nmap is de meest gebruikte port scanner en biedt uitgebreide opties voor verschillende scantypen, OS-detectie en service-identificatie. Masscan is geoptimaliseerd voor het snel scannen van grote IP-ranges. Zmap kan het volledige IPv4-adresbereik in minder dan vijf minuten scannen bij voldoende bandbreedte.

Wat is het verschil tussen een port scan en een vulnerability scan?

Een port scan identificeert open poorten en actieve diensten op een systeem. Een vulnerability scan gaat een stap verder en controleert of die diensten bekende kwetsbaarheden bevatten. Vulnerability scanners gebruiken databases met bekende CVE-registraties om risicos te classificeren en te prioriteren op basis van ernst en exploiteerbaarheid.

Hoe snel kan een port scan worden uitgevoerd?

Een SYN-scan van de 1.000 meest gebruikte poorten duurt met Nmap enkele seconden op een lokaal netwerk. Een volledige scan van alle 65.535 TCP-poorten kan minuten tot uren duren, afhankelijk van netwerkcondities, firewallgedrag en de geconfigureerde scansnelheid van de gebruikte tool.

Kan een VPN beschermen tegen port scans?

Een VPN verbergt je werkelijke IP-adres, waardoor directe scans op je thuisnetwerk of kantoornetwerk moeilijker worden. Publiek bereikbare diensten achter een vast IP-adres blijven echter scanbaar, ongeacht VPN-gebruik. De effectiefste bescherming is het minimaliseren van het aantal open poorten en publiek bereikbare diensten op je netwerk.

Bescherm je netwerk tegen ongewenste scans. Vergelijk Pentesting aanbieders op IBgidsNL.