Viel verwendete Ports und Protokolle

Auf dieser Seite erhalten Sie eine Zusammenstellung von Ports- und Protokollen, welche im normalen Hausgebrauch (Browsing, E-Mail etc.) verwendet werden und i.d.R. für die Grundkonfiguration einer Firewall ausreichen. Arbeiten Sie auf der Basis von Erlaubnissen (alles andere ist verboten), sind diese Ports freizugeben. Auf der Basis von Verboten (alles andere ist erlaubt), sind alle übrigen Ports zu blocken. Wir bevorzugen eindeutig erstere Variante. Anwendungen, die spezielle Ports verwenden, sind vorab entsprechend zu recherchieren.

Die Bezeichnung “Remote” bezieht sich auf den entfernten Rechner und “Local” auf den eigenen Computer. “Outgoing” bezeichnet eine Aktion als Client, “Incoming” eine Aktion als Server. Sprich es handelt sich um eine Betrachtung aus der lokalen Sicht (local view) in einem lokalen Netzwerk (LAN/Intranet). Die “Source-View” ist dann entsprechend umgekehrt zu betrachten.

I.d.R. verwendete Ports im Internet für Clients
Die Firewall-Regeln zu diesen Ports können auch an die dafür verwendeten Anwendungen gebunden werden!

Anwendung Dienst Protokoll Remote-Port* Local-Port Richtung Browsen HTTP TCP 80 1024-65535 Outgoing sicheres Browsen HTTPS TCP 443 1024-65535 Outgoing E-Mail empfangen über POP3 unverschlüsselt POP3 TCP 110 1024-65535 Outgoing DNS-Nameserver DNS TCP/UDP 53 1024-65535 Outgoing E-Mail empfangen POP3 verschlüsselt POP3-SSL TCP 995 1024-65535 Outgoing E-Mail empfangen über IMAP unverschlüsselt IMAP TCP 143 1024-65535 Outgoing E-Mail empfangen über IMAP verschlüsselt SSL IMAP-SSL TCP 993 1024-65535 Outgoing E-Mail senden unvschlüsselt SMTP TCP 25 1024-65535 Outgoing E-Mail senden Authentifizierung erzwingen TLS SMTP TCP 587 1024-65535 Outgoing E-Mail senden verschlüsselt SSL SMTP-SSL TCP 465 1024-65535 Outgoing passives FTP FTP TCP 21 1024-65535 Outgoing aktives FTP FTP TCP 20 1024-65535 Incoming/Outgoing Online-Banking über HBCI HBCI TCP 3000 1024-65535 Outgoing Online-Banking über Web-Browser HTTPS TCP 443 1024-65535 Outgoing

 

Für server-basierende Anwendungen im Internet, siehe auch die entsprechende Stelle auf unserer Seite Router.

*Welche Programme benötigen diese Freigaben?

In der Regel benötigt der verwendete Web-Browser (z.B. Firefox oder Internet Explorer) die Dienste http (https) für das (sichere) Surfen und passives ftp für Downloads, während der verwendete eMail-Client (z.B. Thunderbird oder Outlook) pop3 (ssl) und smtp (ssl) braucht, um emails empfangen und senden zu können (evtl. verlangt der Mail-Provider spezifische Ports).

Aktives ftp wird eher selten von entsprechenden FTP-Programmen verwendet, wenn der FTP-Server dies verlangt. Das Update verschiedener Programme (wie z.B. einem Virenscanner) erfolgt meistens über den Remote-TCP-Port 80 (sprich http). D.h. es würden sich hierbei applikations- und verbindungsorientierte Firewall-Regeln anbieten, die jeweils alle Programme zusammenfassen, welche den gleichen (Remote-)Port benötigen.

Zu sicherheitsrelevanten Anwendungen, welche sich remote-seitig immer mit den gleichen Servern verbinden (z.B. Online-Banking-Software wie Quicken oder Starmoney aber auch der email-Client oder ein [aktives] FTP-Programm), sollte zusätzlich noch die zulässige Remote-IP-Adresse (oder IP-Adressenbereich) eingeschränkt werden. Diese können über die Firewall-Logs und Recherche der IP-Adressenranges über Whois-Server (z.B. über Query the Ripe Database) wunderbar ermittelt werden. Einen Web-Browser auf IP-Adressen einzuschränken macht keinen Sinn, da man ja auch neue, unbekannte Webseiten ansteuern will, von denen vorerst nur der Domainname, nicht aber die IP-Adresse, bekannt ist. Siehe auch unsere Seiten IP-Adressen sowie Internet. Dem ICMP-Protokoll ist in Bezug auf das Internet besondere Beachtung zu schenken. Sehen Sie hierzu Firewall-ICMP-Einstellungen.

---

Benötigte Ports im LAN
Es handelt sich im lokalen Netzwerk meist um Freigabedienste. Diese dürfen keinesfalls gegenüber dem (Internet) geöffnet werden, sondern verrichten ihre Arbeit ausschliesslich in einem isolierten Intranet (LAN). Ist Ihr Rechner direkt mit dem Internet verbunden (ohne Router etc.), benötigen Sie diese Dienste nicht und können diese sogar komplett deaktivieren.

Anwendung Dienst Protokoll Remote-Port Local-Port* Richtung 1 End Point Mapper DCOM TCP 135 135 Incoming/Outgoing 2 Namensauflösung NetBIOS NS UDP 137, 1024-65535 137 Incoming/Outgoing 3 Login, Browsing NetBIOS DTG UDP 138 138 Incoming/Outgoing 4 Datenverkehr (als Server) NetBIOS SSN TCP 1024-65535 139 Incoming 4 Datenverkehr (als Client) NetBIOS SSN TCP 139 1024-65535 Outgoing 5 Direct Hosting (als Server) SMB TCP/UDP 1024-65535 445 Incoming 5 Direct Hosting (als Client) SMB TCP/UDP 445 1024-65535 Outgoing

*Beschreibung der lokalen Dienste zu den Ports im LAN:

1 Local Port TCP 135 (DCOM) --> ist nicht unbedingt erforderlich freizugeben
Der End Point Mapper (epmap) ermöglicht das Wiederfinden von Diensten im Netzwerk durch Registrierung auf dem jeweiligen Computer. Dies ist bei einem direkt ans Internet angeschlossenen Rechner sehr gefährlich, da dieser auch per Denial-of-Service-Attack angesprochen werden kann. Auch Würmer können sich so Zutritt verschaffen. Im Durchschnitt wird dieser Port von aussen (Internet) alle 10 Minuten attackiert.

2 Local Port UDP 137 (NetBIOS NS)
NetBIOS Name Service ermöglicht die Namensauflösung (WINSname und IP) im Netzwerk.

3 Local Port UDP 138 (NetBIOS DTG)
NetBIOS Datagram Service ermöglicht das Login sowie Browsing im Netzwerk.

4 Local Port TCP 139 (NetBIOS SSN)
NetBIOS Session Service ist für den eigentlichen Datenverkehr im Zugriff auf die freigegebenen Dateien und Drucker im Netzwerk zuständig.

5 Local Port TCP/UDP 445 (MS DH/SMB)
Die Datei- und Druckerfreigabe (Filesharing) wird direkt, unter Umgehung der vorgenannten NetBIOS-Ports, an TCP/IP geleitet (Direct Hosting). Dies wird über das Server Message Block-Protocol (SMB) erreicht. Spielt immer wieder eine Kernrolle bei RPC-Sicherheitslücken. So war/ist es einem Angreifer über bisher bekannte RPC-Lücken meist möglich, administrative Rechte auf einem angesprochenen, verwundbaren Rechner zu erlangen (die dann das Einschleusen von weiterem [Schad-]Code ermöglichen).

ICMP-Verkehr kann (muss aber nicht) innerhalb des Intranet freigegeben werden.

Zurück zu Ports und Protokolle