Ports - Türen zum PC
Wozu dienen Ports?
Auf TCP/IP basierende Anwendungen adressieren andere Computer über die IP-Adresse und über eine Portnummer, die den Dienst auf dem Zielrechner beschreibt.
Portnummern sind durch die IANA ( http://www.iana.org ) spezifiziert und in drei Gruppen unterteilt:
1) well known ports - bekannte Ports mit Nummern: 0-1023
2) registered ports - registrierte Ports mit Nummern: 1024 - 49151 (1024 - 5000 werden auch als ephemeral ports - "vergängliche" Ports bezeichnet)
3) dynamic and/ or private ports - dynamische Ports: 49152 - 65535
Für sicherheitstechnische Belange sind besonders die Ports der ersten Gruppe von Relevanz, sie finden hier deshalb vorrangig Erwähnung. Anfänglich waren dieser Gruppe 256 Nummern zugeordnet. Um für die Zukunft genügend freie Ports vorhalten zu können, erhöhte die IANA ihre Zahl auf 1024. Die auf diesem System fußende Kommunikation ist plattformunabhängig. Das ist wichtig, bedenkt man, dass eine Vielzahl verschiedener Computersysteme in der Lage sein sollen, über das Internet miteinander zu kommunuzieren.
Um Daten empfangen/ senden zu können muss am Zielrechner mindestens ein Port geöffnet sein, und genau da liegt das
Problem: eine "offene Tür" stellt ein Risiko dar. Es ist möglich, offene Ports für das (unbefugte) Eindringen in ein fremdes System zu nutzen. Allerdings muss differenziert werden, ob es sich hierbei um eine "Tür" handelt, hinter der sich sicherheitsrelevante Inhalte verbergen oder nicht. Ein offener Holzschuppen ist weniger gefährdet (und für Langfinger kaum von Interesse) als eine offene Wohnungstür. Ähnlich verhält es sich auch mit den Ports eines Computers. Gefahr besteht nur dann, wenn ein Programm, das einen bestimmten Port verwendet, sicherheitsrelevanten bzw. gefährlichen Code enthält.
Um im Internet surfen zu können muss wenigstens ein Port so lange geöffnet sein, bis die angeforderten Daten übermittelt worden sind. Das wird beim Etablieren einer Verbindung vom System selbständig erledigt und ist relativ unkritisch. Ganz anders verhält sich das allerdings mit bestimmten Ports (z.B.
Port 139 , hinter dem sich der
Dienst NetBIOS verbirgt) die vom System permanent offen gehalten werden, um von außen kommende Anfragen zu bearbeiten. NetBios ist eine Anwendungsprogrammierschnittstelle für Windowssysteme, die von Programmen in einem lokalen Netz verwendet werden kann.
Es ist aber möglich, diesen Dienst über das Internet zu nutzen und so in ein fremdes System einzudringen! Was man dagegen tun kann ist in den Artikeln
Netzsicherheit Teil 1 und
Netzsicherheit Teil 2 beschrieben.
Im Allgemeinen ist festzustellen, dass besonders Betriebssysteme der Firma
Microsoft Sicherheitslücken aufweisen. Das gilt vor allem für den Dienst NetBIOS, der für lokale Netze entwickelt und für das Internet ungeeignet und unnötig ist sowie für die Datei- und Druckerfreigabe für Microsoftnetzwerke (ebenfalls überflüssig für den Datenverkehr im Internet, auf älteren Systemen aber häufig vorkonfiguriert).
Wenn Sie erfahren möchten, welche Ports Ihr System geöffnet hält, dann empfiehlt sich die Installation des Prorammes ActivePorts von der Firma DeviceLock (früher Smartline). Das Programm ist Freeware, und Sie können es von folgender Location herunterladen: http://www.devicelock.com/freeware.html .
Wie bereits erwähnt, ist für jeden Port ein Dienst definiert. In der folgenden Tabelle sind gängige und sicherheitsrelevante Ports aufgelistet. Rot hinterlegte Ports sind deshalb besonders gefärdet, da sie von vielen Windowssystemen offen gehalten werden, um Client-Anfragen mit einem entsprechenden Server-Dienst zu bedienen.
| Port |
Dienst |
Beschreibung |
| 21 |
FTP |
(engl. File Transfer Protocol = Protokoll zur Dateiübertragung) dient meist dem Upload auf einen Internet-Server. |
| 22 |
SSH |
(engl. Secure Shell = sichere Anwendung ) Remote-Zugang durch Datenverschlüsselung wesentlich sicherer als Telnet . |
| 23 |
Telnet |
Älterer, unsicherer Dienst für den Remote-Zugang auf einen Server. |
| 25 |
SMTP |
(engl. Simple Mail Transfer Protocol= einfaches Postübertragungsprotokoll) dient der Annahme von eingehender Mail. |
79
|
FINGER
|
zeigt Informationen über den Benutzer eines angegebenen Systems an.
|
| 80 |
HTTP |
(engl. Hypertext Transfer Protocol = Hypertext-Transportprotokoll) |
| 110 |
POP3 |
(engl. Post Office Protocol 3 = Postamt-Protokoll) Transportprotokoll zum Abruf von Mail durch einen Client. |
113
|
IDENT
|
Identifikationsport, welches Zwecks Identifikation und Authentifizierung zwischen Client und Server verwendet wird.
|
| 119 |
NNTP |
(engl. Net News Transfer Protocol = Netz-Neuigkeiten-Übertragungsprotokoll) Transportprotokoll zur Übertragung von Newsgroup-Inhalten von einem, bzw. auf einem Server. |
135
|
RPC
|
(engl. Remote Procedere Call = Fernverbindungsanruf) wird von MS-Windows Client-Server-Anwendung genutzt; dieser Port ist auf fast allen Windowssystemen geöffnet und kann nur durch eine Firewall geschlossen werden.
|
137
|
NETBIOS-NS
|
(NETBIOS NameService = Netbios Namensdienst) NetBIOS teilt Daten mit anderen Computern im Netzverbund.
|
138
|
NETBIOS-DGM
|
(NETBIOS DataGraM Service = Netbios-Datendiest) NetBIOS teilt Daten mit anderen Computern im Netzverbund.
|
139
|
NETBIOS-SSN
|
(NETBIOS SeSsioN Service = Netbios-Sitzungsdienst) NetBIOS teilt Daten mit anderen Computern im Netzverbund.
|
| 143 |
IMAP |
(engl. Interim Mail Access Protocol = Zwischen-Postzugriff-Protokoll) dient dem direkten Zugriff auf eine lokale Mailbox. |
| 194 |
IRC |
(engl. Internet Relay Chat = Internetübertragungs-Gebrabbel) Internet-Chat-Protokoll. |
213
|
IPX
|
IPX über IP
|
| 443 |
HTTPS |
(Secure HyperText Transfer Protocol = sicheres HTTP) zur verschlüsselten Übertragung sensibler Web-Inhalte. |
445
|
Microsoft DS
|
Microsoft SMB über TCP/IP (unter WIN2000 Ersatz für NetBios über TCP/IP auf Port 137-139)
|
500
|
ISAKMP
|
(Internet Security Association and Key Management Protocol) nutzt IPsec, eine kryptografische Erweiterung zu TCP/IP ähnlich SSL
|
| 1024-65535 |
ICQ |
min 1 Port in diesem Bereich muss zur Verwendung von ICQ geöffnet sein. |
1080
|
SOCKS-PROXY
|
Internet Proxy Service
|
1243
|
SubSeven
|
Einer der am weitesten verbreiteten Trojaner
|
3128
|
Masters Paradise und RingZero
|
Trojanische Pferde
|
12345
|
NetBus
|
Einer der am weitesten verbreiteten Trojaner
|
12348
|
BioNet
|
Einer der am weitesten verbreiteten Trojaner
|
27374
|
SubSeven
|
Einer der am weitesten verbreiteten Trojaner
|
31337
|
Back Orifice
|
Einer der am weitesten verbreiteten Trojaner
|
Eine umfangreiche Auflistung der Ports, die von Trojanischen Pferden genutzt werden findet sich auf der Seite: http://www.doshelp.com/Ports/Trojan_Ports.htm (Stand 11.2008).
Eine komplette Auflistung aller Ports finden Sie bei der IANA: http://www.iana.org/assignments/port-numbers
Um herauszufinden, welche Ports am eigenen PC geöffnet sind, empfielt sich ein Portscan. Im Internet ist dies u.a. auf den Sites von Steve Gibson: http://www.grc.com und bei PC Flank: http://www.pcflank.com möglich. Außerdem stellen beide fundierte und praxisorientierte Text-Sammlungen zum Thema Sicherheit und Gibson diverse nützliche Tools kostenlos zur Verfügung. (Gute Englischkenntnisse sind Voraussetzung) Im Artikel Netzsicherheit - Teil 1 finden sich auf dieser Site praktische Tipps zum Thema in Deutsch!
Artikel Virenscanner testen Tut Ihr Virenscanner das wofür Sie ihn bezahlen?
