Viel verwendete Ports und Protokolle
Auf dieser Seite erhalten Sie eine Zusammenstellung von Ports- und Protokollen, welche im normalen Hausgebrauch (Browsing, E-Mail etc.) verwendet werden und i.d.R. für die Grundkonfiguration einer Firewall ausreichen. Arbeiten Sie auf der Basis von Erlaubnissen (alles andere ist verboten), sind diese Ports freizugeben. Auf der Basis von Verboten (alles andere ist erlaubt), sind alle übrigen Ports zu blocken. Wir bevorzugen eindeutig erstere Variante. Anwendungen, die spezielle Ports verwenden, sind vorab entsprechend zu recherchieren.
Die Bezeichnung “Remote” bezieht sich auf den entfernten Rechner und “Local” auf den eigenen Computer. “Outgoing” bezeichnet eine Aktion als Client, “Incoming” eine Aktion als Server. Sprich es handelt sich um eine Betrachtung aus der lokalen Sicht (local view) in einem lokalen Netzwerk (LAN/Intranet). Die “Source-View” ist dann entsprechend umgekehrt zu betrachten.
I.d.R. verwendete Ports im Internet für Clients
Die Firewall-Regeln zu diesen Ports können auch an die dafür verwendeten Anwendungen gebunden werden!
|
Für server-basierende Anwendungen im Internet, siehe auch die entsprechende Stelle auf unserer Seite Router.
*Welche Programme benötigen diese Freigaben?
In der Regel benötigt der verwendete Web-Browser (z.B. Firefox oder Internet Explorer) die Dienste http (https) für das (sichere) Surfen und passives ftp für Downloads, während der verwendete eMail-Client (z.B. Thunderbird oder Outlook) pop3 (ssl) und smtp (ssl) braucht, um emails empfangen und senden zu können (evtl. verlangt der Mail-Provider spezifische Ports).
Aktives ftp wird eher selten von entsprechenden FTP-Programmen verwendet, wenn der FTP-Server dies verlangt. Das Update verschiedener Programme (wie z.B. einem Virenscanner) erfolgt meistens über den Remote-TCP-Port 80 (sprich http). D.h. es würden sich hierbei applikations- und verbindungsorientierte Firewall-Regeln anbieten, die jeweils alle Programme zusammenfassen, welche den gleichen (Remote-)Port benötigen.
Zu sicherheitsrelevanten Anwendungen, welche sich remote-seitig immer mit den gleichen Servern verbinden (z.B. Online-Banking-Software wie Quicken oder Starmoney aber auch der email-Client oder ein [aktives] FTP-Programm), sollte zusätzlich noch die zulässige Remote-IP-Adresse (oder IP-Adressenbereich) eingeschränkt werden. Diese können über die Firewall-Logs und Recherche der IP-Adressenranges über Whois-Server (z.B. über Query the Ripe Database) wunderbar ermittelt werden. Einen Web-Browser auf IP-Adressen einzuschränken macht keinen Sinn, da man ja auch neue, unbekannte Webseiten ansteuern will, von denen vorerst nur der Domainname, nicht aber die IP-Adresse, bekannt ist. Siehe auch unsere Seiten IP-Adressen sowie Internet. Dem ICMP-Protokoll ist in Bezug auf das Internet besondere Beachtung zu schenken. Sehen Sie hierzu Firewall-ICMP-Einstellungen.
|
*Beschreibung der lokalen Dienste zu den Ports im LAN:
1 Local Port TCP 135 (DCOM) --> ist nicht unbedingt erforderlich freizugeben
Der End Point Mapper (epmap) ermöglicht das Wiederfinden von Diensten im Netzwerk durch Registrierung auf dem jeweiligen Computer. Dies ist bei einem direkt ans Internet angeschlossenen Rechner sehr gefährlich, da dieser auch per Denial-of-Service-Attack angesprochen werden kann. Auch Würmer können sich so Zutritt verschaffen. Im Durchschnitt wird dieser Port von aussen (Internet) alle 10 Minuten attackiert.
2 Local Port UDP 137 (NetBIOS NS)
NetBIOS Name Service ermöglicht die Namensauflösung (WINSname und IP) im Netzwerk.
3 Local Port UDP 138 (NetBIOS DTG)
NetBIOS Datagram Service ermöglicht das Login sowie Browsing im Netzwerk.
4 Local Port TCP 139 (NetBIOS SSN)
NetBIOS Session Service ist für den eigentlichen Datenverkehr im Zugriff auf die freigegebenen Dateien und Drucker im Netzwerk zuständig.
5 Local Port TCP/UDP 445 (MS DH/SMB)
Die Datei- und Druckerfreigabe (Filesharing) wird direkt, unter Umgehung der vorgenannten NetBIOS-Ports, an TCP/IP geleitet (Direct Hosting). Dies wird über das Server Message Block-Protocol (SMB) erreicht. Spielt immer wieder eine Kernrolle bei RPC-Sicherheitslücken. So war/ist es einem Angreifer über bisher bekannte RPC-Lücken meist möglich, administrative Rechte auf einem angesprochenen, verwundbaren Rechner zu erlangen (die dann das Einschleusen von weiterem [Schad-]Code ermöglichen).
ICMP-Verkehr kann (muss aber nicht) innerhalb des Intranet freigegeben werden.