Ports - Türen zum PC
Auf TCP/IP basierende Anwendungen adressieren andere Computer
über die IP-Adresse und über eine Portnummer,
die den Dienst auf dem Zielrechner beschreibt.
Portnummern sind durch die IANA (http://www.iana.org) spezifieziert und in drei
Gruppen unterteilt:
1) well known ports - bekannte Ports mit Nummern:
0-1023
2) registered ports - registrierte Ports mit Nummern: 1024
- 49151 (1024 - 5000 werden auch als ephemeral ports - "vergängliche"
Ports bezeichnet)
3) dynamic and/ or private ports - dynamische Ports: 49152
- 65535
Für sicherheitstechnische Belange sind besonders die Ports der ersten
Gruppe von Relevanz, sie finden hier deshalb vorrangig Erwähnung.
Anfänglich waren dieser Gruppe 256 Nummern zugeordnet. Um für
die Zukunft genügend freie Ports vorhalten zu können, erhöhte
die IANA ihre Zahl auf 1024. Die auf diesem System fußende Kommunikation
ist plattformunabhängig. Das ist wichtig, bedenkt man, dass eine
Vielzahl verschiedener Computersysteme in der Lage sein sollen, über
das Internet miteinander zu kommunuzieren.
Um Daten empfangen/ senden zu können muss am Zielrechner mindestens
ein Port geöffnet sein, und genau da liegt das Problem: eine "offene
Tür" stellt ein Risiko dar. Es ist möglich, offene Ports
für das (unbefugte) Eindringen in ein fremdes System zu nutzen. Allerdings
muss differenziert werden, ob es sich hierbei um eine "Tür" handelt,
hinter der sich sicherheitsrelevante Inhalte verbergen oder nicht. Ein
offener Holzschuppen ist weniger gefährdet (und für Langfinger
kaum von Interesse) als eine offene Wohnungstür. Ähnlich verhält
es sich auch mit den Ports eines Computers. Gefahr besteht nur dann, wenn
ein Programm, das einen bestimmten Port verwendet, sicherheitsrelevanten
bzw. gefährlichen Code enthält.
Um im Internet surfen zu können muss wenigstens ein Port so lange
geöffnet sein, bis die angeforderten Daten übermittelt worden
sind. Das wird beim Etablieren einer Verbindung vom System selbständig
erledigt und ist relativ unkritisch. Ganz anders verhält sich das
allerdings mit bestimmten Ports (z.B. Port 139,
hinter dem sich der Dienst NetBIOS
verbirgt) die vom System permanent offen gehalten werden, um von außen
kommende Anfragen zu bearbeiten. NetBios ist eine Anwendungsprogrammierschnittstelle
für Windowssysteme, die von Programmen in einem lokalen Netz verwendet
werden kann. Es ist aber möglich, diesen Dienst über das
Internet zu nutzen und so in ein fremdes System einzudringen! Was
man dagegen tun kann ist in den Artikeln Netzsicherheit
und Netzsicherheit-jetzt!
beschrieben.
Im Allgemeinen ist festzustellen, dass besonders Betriebssysteme der Firma
Microsoft Sicherheitslücken aufweisen. Das gilt vor
allem für den Dienst NetBIOS, der für lokale Netze entwickelt
und für das Internet ungeeignet und unnötig ist sowie für
die Datei- und Druckerfreigabe für Microsoftnetzwerke (ebenfalls
überflüssig für den Datenverkehr im Internet, auf älteren
Systemen aber häufig vorkonfiguriert).
Wenn Sie erfahren möchten, welche Ports Ihr System geöffnet
hält, dann empfiehlt sich die Installation des Prorammes ActivePorts
von der Firma Smartline.
Das Programm ist Freeware, und Sie können es von folgender Location
herunterladen:
http://download.com.com/3001-2085-10121832.html (ca.460 kB Zip).
Wie bereits erwähnt, ist für jeden Port ein Dienst definiert.
In der folgenden Tabelle sind gängige und sicherheitsrelevante Ports
aufgelistet. Rot hinterlegte Ports sind deshalb besonders gefärdet,
da sie von vielen Windowssystemen offen gehalten werden, um Client-Anfragen
mit einem entsprechenden Server-Dienst zu bedienen.
Port |
Dienst |
Beschreibung |
21 |
FTP |
(engl. File Transfer Protocol
= Protokoll zur Dateiübertragung) dient meist dem Upload
auf einen Internet-Server. |
22 |
SSH |
(engl. Secure Shell = sichere
Anwendung) Remote-Zugang durch Datenverschlüsselung wesentlich
sicherer als Telnet. |
23 |
Telnet |
Älterer, unsicherer Dienst für
den Remote-Zugang auf einen Server. |
25 |
SMTP |
(engl. Simple Mail Transfer Protocol=
einfaches Postübertragungsprotokoll) dient der Annahme von
eingehender Mail. |
79
|
FINGER
|
zeigt Informationen über den
Benutzer eines angegebenen Systems an.
|
80 |
HTTP |
(engl. Hypertext Transfer Protocol
= Hypertext-Transportprotokoll) |
110 |
POP3 |
(engl. Post Office Protocol 3
= Postamt-Protokoll) Transportprotokoll zum Abruf von Mail
durch einen Client. |
113
|
IDENT
|
Identifikationsport, welches Zwecks
Identifikation und Authentifizierung zwischen Client und Server verwendet
wird.
|
119 |
NNTP |
(engl. Net News Transfer Protocol
= Netz-Neuigkeiten-Übertragungsprotokoll) Transportprotokoll
zur Übertragung von Newsgroup-Inhalten von einem, bzw. auf einem
Server. |
135
|
RPC
|
(engl. Remote Procedere Call =
Fernverbindungsanruf) wird von MS-Windows Client-Server-Anwendung
genutzt; dieser Port ist auf fast allen Windowssystemen geöffnet
und kann nur durch eine Firewall geschlossen werden.
|
137
|
NETBIOS-NS
|
(NETBIOS NameService = Netbios
Namensdienst) NetBIOS teilt Daten mit anderen Computern im Netzverbund.
|
138
|
NETBIOS-DGM
|
(NETBIOS DataGraM Service
= Netbios-Datendiest) NetBIOS teilt Daten mit anderen Computern
im Netzverbund.
|
139
|
NETBIOS-SSN
|
(NETBIOS SeSsioN Service =
Netbios-Sitzungsdienst) NetBIOS teilt Daten mit anderen Computern
im Netzverbund.
|
143 |
IMAP |
(engl. Interim Mail Access Protocol
= Zwischen-Postzugriff-Protokoll) dient dem direkten Zugriff auf
eine lokale Mailbox. |
194 |
IRC |
(engl. Internet Relay Chat = Internetübertragungs-Gebrabbel)
Internet-Chat-Protokoll. |
213
|
IPX
|
IPX über IP
|
443 |
HTTPS |
(Secure HyperText Transfer Protocol
= sicheres HTTP) zur verschlüsselten Übertragung sensibler
Web-Inhalte. |
445
|
Microsoft DS
|
Microsoft SMB über TCP/IP (unter
WIN2000 Ersatz für NetBios über TCP/IP auf Port 137-139)
|
500
|
ISAKMP
|
(Internet Security Association and Key
Management Protocol) nutzt IPsec, eine kryptografische
Erweiterung zu TCP/IP ähnlich SSL
|
1024-65535 |
ICQ |
min 1 Port in diesem Bereich muss
zur Verwendung von ICQ geöffnet sein. |
1080
|
SOCKS-PROXY
|
Internet Proxy Service
|
1243
|
SubSeven
|
Einer der am weitesten
verbreiteten Trojaner
|
3128
|
Masters Paradise
und RingZero
|
Trojanische Pferde
|
12345
|
NetBus
|
Einer der am weitesten
verbreiteten Trojaner
|
12348
|
BioNet
|
Einer der am weitesten
verbreiteten Trojaner
|
27374
|
SubSeven
|
Einer der am weitesten
verbreiteten Trojaner
|
31337
|
Back Orifice
|
Einer der am weitesten
verbreiteten Trojaner
|
Eine umfangreiche Auflistung der Ports, die von Trojanischen Pferden
genutzt werden findet sich auf der Seite: http://www.anti-trojan.net/de/trojportlist.aspx
von
.
Eine umfangreiche Liste über die Belegung vieler Ports der Klasse
1 und 2 samt Beschreibung finden Sie bei der ISS unter: http://www.iss.net/security_center/advice/Exploits/Ports
(englisch).
Eine komplette Auflistung aller Ports finden Sie bei der IANA: http://www.iana.org/assignments/port-numbers
Um herauszufinden welche Ports geöffnet sind empfielt sich ein Portscan.
Im Internet ist dies u.a. auf den Sites von Steve Gibson: http://www.grc.com.
und bei PC Flank: http://www.pcflank.com
möglich. Außerdem stellen beide fundierte und praxisorientierte
Text-Sammlungen zum Thema Sicherheit und Gibson diverse nützliche
Tools kostenlos zur Verfügung. (Gute Englischkenntnisse sind
Voraussetzung) Im Artikel Netzsicherheit
- Teil 1 finden sich auf dieser Site praktische Tipps zum Thema in
Deutsch!
zurück zur Startseite
von website-go!
|