Viel verwendete Ports und Protokolle

Auf dieser Seite erhalten Sie eine Zusammenstellung von Ports- und Protokollen, welche im normalen Hausgebrauch (Browsing, E-Mail etc.) verwendet werden und i.d.R. für die Grundkonfiguration einer Firewall ausreichen. Arbeiten Sie auf der Basis von Erlaubnissen (alles andere ist verboten), sind diese Ports freizugeben. Auf der Basis von Verboten (alles andere ist erlaubt), sind alle übrigen Ports zu blocken. Wir bevorzugen eindeutig erstere Variante. Anwendungen, die spezielle Ports verwenden, sind vorab entsprechend zu recherchieren.

Die Bezeichnung “Remote” bezieht sich auf den entfernten Rechner und “Local” auf den eigenen PC. “Outgoing” bezeichnet eine Aktion als Client, “Incoming” eine Aktion als Server. Sprich es handelt sich um eine Betrachtung aus der lokalen Sicht (local view) in einem lokalen Netzwerk (LAN/Intranet). Die “Source-View” ist dann entsprechend umgekehrt zu betrachten.

Benötigte Ports im Internet

Anwendung Dienst Protokoll Remote-Port* Local-Port Richtung Browsen http TCP 80 1024-65535 Outgoing sicheres Browsen https TCP 443 1024-65535 Outgoing E-Mail empfangen pop3 TCP 110 1024-65535 Outgoing E-Mail empfangen (verschlüsselt) pop3-ssl TCP 995 1024-65535 Outgoing E-Mail senden smtp TCP 25 1024-65535 Outgoing E-Mail senden (verschlüsselt) smtp-ssl TCP 465 1024-65535 Outgoing passives FTP FTP TCP 21, 1024-65535 1024-65535 Outgoing aktives FTP FTP TCP 20 1024-65535 Incoming/Outgoing

Für server-basierende Anwendungen im Internet, siehe auch die entsprechende Stelle auf unserer Seite Router.

*Welche Programme benötigen diese Freigaben?

In der Regel benötigt der verwendete Web-Browser (z.B. Firefox oder Internet Explorer) die Dienste http (https) für das (sichere) Surfen und passives ftp für Downloads, während der verwendete eMail-Client (z.B. Thunderbird oder Outlook) pop3 (ssl) und smtp (ssl) braucht, um emails empfangen und senden zu können (evtl. verlangt der Mail-Provider spezifische Ports).
Aktives ftp wird eher selten von entsprechenden FTP-Programmen verwendet, wenn der FTP-Server dies verlangt. Das Update verschiedener Programme (wie z.B. einem Virenscanner) erfolgt meistens über den Remote-TCP-Port 80 (sprich http). D.h. es würden sich hierbei applikations- und verbindungsorientierte Firewall-Regeln anbieten, die jeweils alle Programme zusammenfassen, welche den gleichen (Remote-)Port benötigen.

Zu sicherheitsrelevanten Anwendungen, welche sich remote-seitig immer mit den gleichen Servern verbinden (z.B. Online-Banking-Software wie Quicken oder Starmoney aber auch der email-Client oder ein [aktives] FTP-Programm), sollte zusätzlich noch die zulässige Remote-IP-Adresse (oder IP-Adressenbereich) eingeschränkt werden. Diese können über die Firewall-Logs und Recherche der IP-Adressenranges über Whois-Server (z.B. über Query the Ripe Database) wunderbar ermittelt werden. Einen Web-Browser auf IP-Adressen einzuschränken macht keinen Sinn, da man ja auch neue, unbekannte Webseiten ansteuern will, von denen vorerst nur der Domainname, nicht aber die IP-Adresse, bekannt ist. Siehe auch unsere Seiten IP-Adressen sowie Internet.

Dem ICMP-Protokoll ist in Bezug auf das Internet besondere Beachtung zu schenken. Sehen Sie hierzu Firewall-ICMP-Einstellungen.

Benötigte Ports im LAN

Es handelt sich im lokalen Netzwerk meist um Freigabedienste. Diese dürfen keinesfalls gegenüber dem (Internet) geöffnet werden, sondern verrichten ihre Arbeit ausschliesslich in einem isolierten Intranet (LAN). Ist Ihr Rechner direkt mit dem Internet verbunden (ohne Router etc.), benötigen Sie diese Dienste nicht und können diese sogar komplett deaktivieren (siehe nähere Erläuterungen).

Anwendung Dienst Protokoll Remote-Port Local-Port* Richtung 1 End Point Mapper DCOM TCP 135 135 Incoming/Outgoing 2 Namensauflösung NetBIOS NS UDP 137, 1024-65535 137 Incoming/Outgoing 3 Login, Browsing  NetBIOS DTG UDP 138 138 Incoming/Outgoing 4 Datenverkehr   (als Server)   NetBIOS SSN TCP 1024-65535 139 Incoming 4 Datenverkehr   (als Client) NetBIOS SSN TCP 139 1024-65535 Outgoing 5 Direct Hosting   (als Server)   SMB TCP/UDP 1024-65535 445 Incoming 5 Direct Hosting   (als Client) SMB TCP/UDP 445 1024-65535 Outgoing

*Beschreibung der lokalen Dienste zu den Ports im LAN:

1 Local Port TCP 135 (DCOM) --> ist nicht unbedingt erforderlich freizugeben
Der End Point Mapper (epmap) ermöglicht das Wiederfinden von Diensten im Netzwerk durch Registrierung auf dem jeweiligen PC. Dies ist bei einem direkt ans Internet angeschlossenen Rechner sehr gefährlich, da dieser auch per Denial-of-Service-Attack angesprochen werden kann. Auch Würmer können sich so Zutritt verschaffen. Im Durchschnitt wird dieser Port von aussen (Internet) alle 10 Minuten attackiert.

2 Local Port UDP 137 (NetBIOS NS)
NetBIOS Name Service ermöglicht die Namensauflösung (WINSname und IP) im Netzwerk.

3 Local Port UDP 138 (NetBIOS DTG)
NetBIOS Datagram Service ermöglicht das Login sowie Browsing im Netzwerk.

4 Local Port TCP 139 (NetBIOS SSN)
NetBIOS Session Service ist für den eigentlichen Datenverkehr im Zugriff auf die freigegebenen Dateien und Drucker im Netzwerk zuständig.

5 Local Port TCP/UDP 445 (MS DH/SMB)
Die Datei- und Druckerfreigabe (Filesharing) wird direkt, unter Umgehung der vorgenannten NetBIOS-Ports, an TCP/IP geleitet (Direct Hosting). Dies wird über das Server Message Block-Protocol (SMB) erreicht. Spielt immer wieder eine Kernrolle bei RPC-Sicherheitslücken. So war/ist es einem Angreifer über bisher bekannte RPC-Lücken meist möglich, administrative Rechte auf einem angesprochenen, verwundbaren Rechner zu erlangen (die dann das Einschleusen von weiterem [Schad-]Code ermöglichen).

ICMP-Verkehr kann (muss aber nicht) innerhalb des Intranet freigegeben werden.

Zurück zu Ports und Protokolle

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |