Ports
Aus PC-WELT-Wiki
Inhaltsverzeichnis |
Port
Ports sind die Eingänge eines Online-Rechners. Der Datenstrom im Internet wird über die IP-Adressen zu den einzelnen Rechnern gesteuert. Über die Port-Nummer finden die Daten aber nicht nur den richtigen Rechner, sondern auch den passenden Eingang, etwa zu einem Internet-Dienst. Auf einem Internet-Server laufen oft mehrere Dienste parallel, etwa Web- und FTP-Server. Damit der Server weiß, auf welchen Dienst Sie zugreifen möchten, müssen Sie zusätzlich zu seiner Internet-Adresse die Port-Nummer angeben. Ihr Browser macht das automatisch für Sie. Wenn Sie beispielsweise eine Website aufrufen, richtet der Browser die Anfrage automatisch an Port 80, den Standard-Port für die Übertragung von WWW-Seiten. Wenn Sie hingegen von einem FTP-Server Dateien herunterladen, adressiert er Port 21. Sind auf einem Rechner keine Ports freigegeben, so ist kein Zugriff auf ihn möglich. Auf einem PC mit aktivierter Dateifreigabe von Windows ist der Port 139 geöffnet.
Ports und IPs: Einstellungen der Firewall
In einem P2P-Netzwerk arbeitet der Computer gleichzeitig als Client und Server. Schon während Sie eine Datei herunterladen, bieten Sie diese gleichzeitig zum Download an. Ihr PC muss daher für den direkten Zugriff von außen bereit sein. Aus Sicherheitsgründen verhindert die Firewall diesen Zugriff standardmäßig. Ein Download ist dann zwar trotzdem möglich, allerdings nur mit stark verminderter Geschwindigkeit. Emule zeigt in diesem Fall „Niedrige ID“ (Client ID) unter „Meine Info“ an.
Port-Einstellungen: Standardmäßig erlaubt die Firewall in einem DSL-Router keine direkten Verbindungen vom Internet zu einem PC im Netzwerk. Server-Dienste auf dem PC und Tauschbörsen-Software erfordern aber die direkte Weiterleitung der Datenpakete. Die entsprechenden Einstellungen finden Sie in der Routerkonfiguration unter „Port-Forwarding“ oder „Portfreigabe“. Prüfen Sie, ob Sie Portfreigaben eingerichtet haben, die Sie nicht mehr benötigen, und deaktivieren Sie diese. Jede Freigabe stellt eine potenzielle Sicherheitslücke dar. Deaktivieren Sie – wenn vorhanden – auch die automatische Portfreigabe über UPnP (Universal Plug & Play). Darüber können Programme die Sicherheitseinstellungen des Routers automatisch ändern und den Zugriff auf Ihren PC ohne Ihre Zustimmung von außen ermöglichen.
Ports öffnen: Für optimale Leistung der P2P-Programme müssen Sie daher die verwendeten Ports der Firewall öffnen. Bei der Fritzbox 7270 beispielsweise gehen Sie dazu in die erweiterten Einstellungen und fügen unter „Portfreigabe“ für das Protokoll „TCP“ beispielsweise die Ports „4662“ (Emule) und „34500“ (Azureus/Vuze) hinzu. Für „UDP“ tragen Sie „4672“ und „34500“ ein. Bei anderen DSL-Modems mit Firewall gehen Sie ähnlich vor. Die Einstellungen befinden sich unter Menüpunkten wie „Port forwarding“ oder „Port-Weiterleitung“. Wenn die Windows Firewall oder eine andere Desktop-Firewall aktiv ist, müssen Sie auch hier die Ports für eingehende Verbindungen öffnen. Die Portnummern müssen mit der Konfiguration in der Client-Software übereinstimmen.
IP-Nummern kontrollieren: Die Portfreigabe erfolgt nicht für alle Rechner im Netz, sondern jeweils nur für eine bestimmte IP-Nummer. Die Fritzbox zeigt bei der Konfiguration die IP-Nummer des PCs an, von dem aus Sie die Einstellungen im Browser aufgerufen haben. Wenn Sie die P2P-Programme auf unterschiedlichen Rechnern laufen lassen wollen, müssen Sie die Freigabe für jede IP-Nummer getrennt vornehmen.
Außerdem müssen Sie sicherstellen, dass Ihr PC zuverlässig über die eingetragene IP erreichbar ist. Ist Ihr PC der Einzige in Ihrem lokalen Netz, bekommt er vom DHCP-Server (Dynamic Host Configuration Protocol) im DSL-Modem oder Router immer dieselbe IP. Sind mehrere Rechner aktiv, kann sich die Zuweisung aber ändern. Bei einigen Geräten ist beispielsweise unter „IP Adressen Reservierung“ eine feste Zuordnung möglich. Sie können dem PC aber unter Windows über „Systemsteuerung, Netzwerkverbindungen“ in den Eigenschaften der Netzwerkverbindung auch eine feste IP-Adresse zuweisen.
Kommt eine Fritzbox zum Einsatz sollte diese höher als 192.168.168.200 sein (also 192.168.168.201, 192.168.168.202), da der DHCP-Server automatisch Adressen aus dem Bereich von 192.168.168.20 bis 192.168.168.200 vergibt.
Ports und Netzwerkdienste checken
Durch einen Portscan lässt sich feststellen, welche Dienste Ihr Rechner im Internet oder LAN anbietet. Einige davon sind Standard, und es ist in Ordnung, dass sie eingeschaltet sind: Bieten Sie etwa Freigaben an, so muss der Freigabedienst im LAN auch verfügbar sein. Die Ports 139 und 445 müssen also geöffnet sein. Port 25 etwa dient dagegen zum Versenden von Mail. Haben Sie nicht wissentlich einen Mailserver installiert, darf er nicht offen sein. Ist er es doch, deutet das auf einen Wurm hin, der unautorisiert Mails versendet – höchstwahrscheinlich Spam.
Online-Prüfung: Es gibt im Web verschiedene Anbieter, die Ihren PC auf Wunsch scannen und das Ergebnis mitteilen. Einen deutschsprachigen finden Sie etwa unter http://portscan.winboard.org, wenn Sie auf der Startseite Ihre IP-Adresse bestätigen und anschließend den Button „Hier den Test starten“ anklicken. Der Test dauert ein bis zwei Minuten. Offene Ports sehen Sie danach als rötliche Tabelleneinträge. Unter dem Link „Liste“ können Sie nachschlagen, welche offenen Ports welche Bedeutung haben, das heißt, welches Programm dort vermutlich seine Dienste anbietet.
Einzel-PC checken: Im LAN – das heißt auch dann, wenn Sie zu Hause per Router ins Internet gehen – testet ein solcher Online-Test nie den PC, auf dem Sie ihn ausführen, sondern immer nur den Router respektive dessen Firewall. Nach außen treten alle LAN-Rechner unter dessen IP-Adresse auf. Um einen einzelnen PC im lokalen Netz zu testen, scannen Sie selbst. Dazu verwenden Sie das englischsprachige Scan-Werkzeug Nmap von einem anderen Rechner aus. Das Gratis-Tool Nmap müssen Sie als Administrator starten, sonst hat es nicht ausreichend Zugriff auf die Netzwerk-Hardware. Nmap wird mit der komfortablen GUI Zenmap ausgeliefert. Tragen Sie hier unter „Target“ den Ziel-PC ein, wählen Sie unter „Profile“ einen Scan-Typ aus, und klicken Sie auf die Schaltfläche „Scan“. Für Standard-Fälle ist „Regular Scan“ eine sinnvolle Einstellung. Offene Ports von Anwendungen: Um zu ermitteln, welche Anwendung welchen Port offen hält, öffnen Sie unter Windows eine Eingabeaufforderung und geben den Befehl
netstat -ao
ein. In der Spalte „Lokale Adresse“ sehen Sie hinter dem Doppelpunkt jeweils die Portnummern oder den Namen des zugehörigen Dienstes. Für die Portnummern und Dienste, die der Portscan gefunden hat, ermitteln Sie jeweils in der Spalte „PID“ die Prozess-ID. Klicken Sie dann mit der rechten Maustaste auf die Taskleiste, und wählen Sie aus dem Kontextmenü „Task-Manager“. Hier aktivieren Sie „Prozesse aller Benutzer anzeigen“ sowie unter dem Menüpunkt „Ansicht, Spalten auswählen“ die Option „PID (Prozess-ID)“. Nun können Sie für die Prozess-IDs, die laut „netstat“ Ports offen halten, den jeweiligen Programmnamen ermitteln. Kommt dabei „svchost.exe“ zutage, bedeutet das, dass es ein standardmäßiger Windows-Service ist, den Sie bei Bedarf über „Start, Ausführen, services.msc“ konfigurieren können. Sie müssen dabei beurteilen, ob Sie tatsächlich alle aktivierten Dienste benötigen, beispielsweise eine FTP-Server.
Beispiele
Die nachfolgende Liste ist eine kleine Auswahl bekannter Ports. In der englischen Wikipedia ist eine Liste der TCP- und UDP-Portnummern zu finden.
| Portnummer | Dienst | Beschreibung |
|---|---|---|
| 1 | TCPMUX | TCP Port Service Multiplexer |
| 7 | Echo | Zurücksenden empfangener Daten |
| 13 | Daytime | Übertragung von Datum und Uhrzeit |
| 20 | FTP-Data | Dateitransfer (Datentransfer vom Server zum Client) |
| 21 | FTP | Dateitransfer (Initiierung der Session und Senden der FTP-Steuerbefehle durch den Client) |
| 22 | SSH | Secure Shell |
| 23 | Telnet | Terminalemulation |
| 25 | SMTP, ESMTP | E-Mail-Versand (siehe auch Port 465) |
| 42 | Nameserver | Host Name Server (TCP und UDP) |
| 43 | Whois | Whois-Anfragen |
| 53 | DNS | Auflösung von Domainnamen in IP-Adressen |
| 67 | BOOTPS | BootStrap Protokoll server, auch genutzt von DHCP-Anfrage |
| 68 | BOOTPC | BootStrap Protokoll client, auch genutzt von DHCP-Antwort |
| 80 | HTTP | Webserver |
| 88 | Kerberos | krb5 kerberos-sec (TCP und UDP) |
| 104 | DICOM | ACR/NEMA Digital Imaging and Communications in Medicine |
| 110 | POP3 | Client-Zugriff für E-Mail-Server |
| 113 | auth | Identification Protocol |
| 119 | NNTP | Usenet (Newsgroups) |
| 123 | NTP | Zeitsynchronisation zwischen Computern |
| 143 | IMAP | Zugriff und Verwaltung von Mailboxen |
| 161 | SNMP (UDP) | Überwachung und Steuerung von Netzwerkelementen |
| 389 | LDAP | Lightweight Directory Access Protocol (TCP) |
| 443 | HTTPS | Verschlüsselte Webserver Übertragung, meist mit SSL- oder TLS-Verschlüsselung |
| 445 | Microsoft-DS | Microsoft Directory Server, Windows Dateifreigabe |
| 465 | SMTPS | gesicherter E-Mail-Versand |
| 587 | MSA | Message Submissions Agent |
| 989 | FTPS | gesicherter Dateitransfer (File Transfer Protocol Secure) |
| 990 | FTPS | Verbindungsbeginn und Steuerdaten (File Transfer Protocol Secure) |
| 992 | Telnet Secure | Telnet Protokoll über TLS/SSL |
| 993 | IMAPS | gesicherter Zugriff und Verwaltung von Mailboxen |
| 994 | IRCS | IRC über TLS/SSL (Internet Relay Chat Secure) |
| 995 | POP3S | gesicherter Client-Zugriff für E-Mail-Server |
| 1701 | L2TP | Layer Two Tunneling Protocol |
| 1723 | PPTP | Point-to-Point Tunneling Protocol VPN |
| 3306 | MySQL | Zugriff auf MySQL-Datenbanken |
| 3389 | RDP | Windows Remotedesktopzugriff, Windows Terminal Services |
| 5060 | SIP | IP-Telefonie |
| 5800 | VNC | Virtual Network Computing (Port für Java-Zugriff) |
| 5900 | VNC | Virtual Network Computing (Port für VNC Viewer-Zugriff) |
| 6667 | IRC | Chatserver |
| 10000 | Webmin | Webmin - Web-basierende Oberfläche für Systemadministratoren unter Linux |
| 20000 | Usermin | Oberfläche für Systemadministratoren unter Linux (ähnlich Webmin) |
Auf einem Unix-Rechner ist diese Liste in der Datei /etc/services definiert.
Unter Betriebssystemen der Windows-NT-Linie findet sich diese unter %WINDIR%\system32\drivers\etc\services, bei der älteren Windows9x-Linie direkt im Windows-Ordner (%WINDIR%\services).
Einen Port mit einer IP-Adresse bezeichnet man als Socket. Die Weiterleitung von Anfragen an Ports über ein Netzwerk wird Port Forwarding genannt.
