Wissenswertes über Ports und Protokolle
Damit ein Computer mit der Außenwelt kommunizieren kann, wird eine “Sprache” benötigt, welche von allen Rechnern verstanden wird, und es müssen Ein- und Ausgänge (Schnittstellen) vorhanden sein, durch welche die “Sprachpakete” versendet oder empfangen werden. Dies wird zum einen über Protokolle und zum anderen über Ports erreicht, denen sich Aufgaben zuweisen lassen, um den komplexen Netzverkehr abzuwickeln. Die standardisierte Sprache selbst wird vom OSI Schichten-Modell geregelt.
Um eine Firewall richtig konfigurieren zu können, ist es notwendig, sich mit dieser Thematik etwas näher zu beschäftigen.
1. OSI-7 (Open System Interconnection)-Schichten-Modell
Damit ein Netzwerkverkehr überhaupt funktioniert, müssen gewisse Gesetzmäßigkeiten gelten, um eine standardisierte “Sprache” zu sprechen. Dies ermöglichen die 7 Netzwerkschichten, die der jeweils über- oder untergeordneten Schicht bestimmte Dienstleistungen zur Verfügung stellen. Wir beginnen aus Veranschaulichungsgründen mit der letzten und enden mit der ersten Schicht:
Layer/Schicht 7: Bezeichnet die Anwendungsschicht und ermöglicht die Kommunikation zwischen Anwendung und Netzwerkdienst
Layer/Schicht 6: Bezeichnet die Darstellungsschicht und ermöglicht das Umwandeln oder Übersetzen von Sprachpaketen aus Layer 5 zu Layer 7 (Format Netzwerksprache in Anwendungssprache) oder umgekehrt (Format Anwendungssprache in Netzwerksprache).
Layer/Schicht 5:Bezeichnet die Kommunikationssteuerungsschicht und ist für das Öffnen, Schliessen einer Netzwerkverbindung und Bestimmung der Sitzungsdauer verantwortlich.
Layer/Schicht 4: Bezeichnet die Transportschicht, die Daten in kleinere Pakete zerstückelt/packt und entsprechend markiert. Diese Schicht reagiert auch auf Empfangsbestätigungen des empfangenen Rechners
Layer/Schicht 3: Bezeichnet die Vermittlungsschicht, welche für die Vergabe von Absender- und Empfängeradresse sowie Prioritäten der einzelnen Datenpakete verantwortlich ist
Layer/Schicht 2: Bezeichnet die Sicherungsschicht und sorgt für eine funktionierende Verbindung zwischen Sender und Empfänger. Sie kann Fehler erkennen und beheben und den Datenfluss kontrollieren. Hier findet auch die physikalische Adressierung der einzelnen Datenpakete statt.
Layer/Schicht 1: Bezeichnet die Bitübertragungsschicht und ist für die Kommunikation zwischen den Datenpaketen und der physikalischen Netzwerkleitung verantwortlich. D.h. es erfolgt eine Umwandlung der erhaltenen Daten in elektronische Impulse (Maschinensprache: 0 oder 1).
Vereinfachte Zusammenfassung der Kommunikation im Schichtenmodell:
- Absender: Dienst - TCP/IP - Netzwerkkartentreiber - Netzwerkkarte - Netzwerkleitung
- Empfänger: Netzwerkleitung -Netzwerkkarte - Netzwerkkartentreiber - TCP/IP - Dienst
2. Transport-Protokolle
TCP/IP (Transmission Control Protocol/Internet Protocol)
Wurde ursprünglich vom US-Verteidigungsministerium (Department of Defence) entwickelt, um die Verbindung von Computern aus verschiedenen Netzwerken zu ermöglichen. Heute ist dieses Protokoll das Fundament für die Internetkommunikation und das LAN. Das “IP” transportiert die Daten, das “TCP” stellt diese Daten quasi zu. TCP/IP arbeitet auf den Netzwerkschichten 3 und 4 des OSI-Modells.
Bekannte Protokolle, die i.d.R. auf TCP aufsetzen, sind HTTP (Port 80), HTTPS (Port 443), FTP (Port 20, 21), TELNET (Port 23), SSL (Port 261), SMTP (Port 25), NNTP (Port 119), UUCP (Port 540), POP3 (Port 110), IMAP4 (Port 585), SMB/MS-DS (Port 445), DCOM (Port 135), GOPHER (Port 70), FINGER (Port 79), AUTH (Port 113), IRC (Port 194), NetBIOS-SSN (Port 139)
UDP (User Datagram Protocol)
Der Unterschied zum TCP liegt darin, dass dieses Übertragungsprotokoll nicht auf eine Bestätigung wartet, ob ein Paket angekommen ist oder nicht. Es ist somit nicht verbindungsorientiert. Arbeitet wie TCP/IP auf Schicht 3 und 4. Ein Beispiel für ein auf UDP aufgesetztes Interface wäre NetBIOS (Network Basic Input Output System)-NameService und -DatagramService, das auf der fünften Schicht des OSI Modells arbeitet (Ports NS 137, DTG 138) und für einen einheitlichen Zugang zu den Protokollen darunterliegender Schichten sorgt. Auch TFTP (Port 69), SNTP (Port 123), Daytime (Port 13) und DNS (53) sind Beispiele für UDP-Dienste.
ICMP (Internet Control Message Protocol)
Hierbei handelt es sich um ein Fehler-Protokoll und ist Bestandteil von TCP. Es agiert zwischen Host und Gateway im Hintergrund, um eine fehlerfreie Übertragung zu gewährleisten. Arbeitet auf Schicht 3 und 4 des OSI-Schichtenmodells. Firewalleinstellungen zu ICMP.
3. Ports
Dies sind die (virtuellen) Schnittstellen zur Außenwelt des Rechners, bestehend aus 16-bit Zahlen, die von 1-65535 reichen. Eine Verbindung entsteht über einen Remote-Port (entfernter) und einen Local-Port (lokaler), unter Verwendung eines Protokolls, zweier Computer.
Ports unterhalb von 1024 sind für bestimmte Aufgaben bzw. Protokolle reserviert (sog. well known ports). Z.B. ist der Remote TCP-Port 25 grundsätzlich für den E-Mail-Ausgang (SMTP) und der Remote-TCP-Port 110 (Pop3) für den E-Mail-Eingang zuständig. Ports von 1024-65535 können individuelle Aufgaben zugewiesen werden.
Lokale TCP und UDP Ports von 1-1023 sollten im Internetverkehr grundsätzlich nicht zugelassen werden, da diese lediglich in einem lokalen Netzwerk benötigt werden (z.B. NetBIOS auf Ports UDP 137, 138 - SMB auf TCP-Port 445 - DCOM auf TCP-Port 135). Der Empfang von Daten aus dem Internet erfolgt zwar normalerweise dynamisch auf Local-Ports 1024-65535 (z.B. E-Mail-Eingang von Remote TCP 110 auf Local TCP 1209) aber es gibt Würmer, die sich bei einem Direktanschluss ans Internet über bestimmte Local-TCP-Ports (z.B. Wurm Lovsan auf Local TCP 135) - unter Ausnutzung von Sicherheitslücken - einschleichen. Viren und Co. haben beim Block dieser Ports keine Chance mehr auf diese Weise einzudringen (auch ein ungepachtes System wäre so sicher).
Für die Konfiguration einer Firewall bzw. Erstellung von Regeln ist es somit erforderlich, daß man die verwendeten Ports und das Protokoll kennen muß:
3.1 Viel verwendete Ports und Protokolle (Seite 2)
4.0 Firewall: Erstellung von Regeln (Seite 3)