Quellen: Wikipedia, Microsoft, portscan.ru
Wie kann ich herausfinden, welche Ports auf meinem Computer geöffnet sind?
- Für Windows: Start → „cmd“ → Als Administrator ausführen → „netstat -bn“
- In einem Antivirenprogramm wie Avast ist es möglich, aktive Ports in der Firewall anzuzeigen: Extras -> Firewall -> Netzwerkverbindungen.
Auch nützliche Befehle netstat:
Geben Sie den folgenden Befehl ein, um sowohl die Ethernet-Statistiken als auch die Statistiken für alle Protokolle anzuzeigen:
netstat -e -s
Geben Sie den folgenden Befehl ein, um die Statistiken nur für die Protokolle TCP und UDP anzuzeigen:
netstat -s -p tcp udp
Um alle 5 Sekunden aktive TCP-Verbindungen und die Prozess-IDs anzuzeigen, geben Sie den folgenden Befehl ein:
nbtstat -o 5
Geben Sie den folgenden Befehl ein, um aktive TCP-Verbindungen und die Prozess-IDs in numerischer Form anzuzeigen:
nbtstat -n -o
Für TCP-Sockets gelten folgende Statuswerte:
GESCHLOSSEN | Geschlossen Die Steckdose wird nicht verwendet. |
HÖREN (HÖREN) | Wartet auf eingehende Verbindungen. |
SYN_SENT | Aktiv versuchen, eine Verbindung herzustellen. |
SYN_RECEIVED | Die erste Verbindungssynchronisierung wird ausgeführt. |
GEGRÜNDET | Die Verbindung wurde hergestellt. |
CLOSE_WAIT | Der entfernte Teilnehmer hat die Verbindung getrennt; Ich warte darauf, dass der Socket geschlossen wird. |
FIN_WAIT_1 | Die Steckdose ist geschlossen; die Verbindung trennen. |
SCHLIESSEN | Die Steckdose wird geschlossen, dann wird die Verbindung zur Gegenseite unterbrochen; Auf Bestätigung warten. |
LAST_ACK | Die entfernte Seite wird getrennt, dann wird die Steckdose geschlossen; Auf Bestätigung warten. |
FIN_WAIT_2 | Die Steckdose ist geschlossen; Warten darauf, dass die Remote-Seite die Verbindung trennt. |
ZEIT WARTET | Der Socket ist geschlossen, wartet jedoch auf die Verarbeitung von Paketen, die sich noch im Netzwerk befinden |
Liste der am häufigsten verwendeten Ports
№ | Hafen | Protokoll | Beschreibung | |
---|---|---|---|---|
1 | 20 | FTP-Daten | File Transfer Protocol – Dateiübertragungsprotokoll. Datenschnittstelle. | |
2 | 21 | FTP-Steuerung | File Transfer Protocol – Dateiübertragungsprotokoll. Befehlsport. | |
3 | 22 | SSH | Secure SHell – „sichere Shell“. Protokoll zur Fernsteuerung des Betriebssystems. | |
4 | 23 | Telnet | TERMINALNETZWERK. Protokoll zur Implementierung einer Textschnittstelle über das Netzwerk. | |
5 | 25 | SMTP | Simple Mail Transfer Protocol – ein einfaches Mail-Übertragungsprotokoll. | |
6 | 42 | GEWINNT | Windows Internet Name Service. Dienst zum Zuordnen von NetBIOS-Computernamen zu Host-IP-Adressen. | |
7 | 43 | WER IST | "Wer ist". Protokoll zum Erhalten von Registrierungsdaten über Domainnameninhaber und IP-Adressen. | |
8 | 53 | DNS | Domain-Name-System – Domain-Name-System. | |
9 | 67 | DHCP | Dynamic Host Configuration Protocol – Protokoll dynamische Einstellungen Knoten. Erhalten dynamischer IPs. | |
10 | 69 | TFTP | Trivial File Transfer Protocol – ein einfaches Dateiübertragungsprotokoll. | |
11 | 80 | HTTP/Web | HyperText Transfer Protocol – Hypertext-Übertragungsprotokoll. | |
12 | 110 | POP3 | Post Office Protocol Version 3 – Empfangsprotokoll Email, Version 3. | |
13 | 115 | SFTP | SSH-Dateiübertragungsprotokoll. Sicheres Datenübertragungsprotokoll. | |
14 | 123 | NTP | Netzwerkzeitprotokoll. Ein Protokoll zur Synchronisierung der internen Uhr des Computers. | |
15 | 137 | NetBIOS | Netzwerk-Basis-Eingabe-/Ausgabesystem. Protokoll zur Bereitstellung von Netzwerk-Eingabe-/Ausgabeoperationen. Namensdienst. | |
16 | 138 | NetBIOS | Netzwerk-Basis-Eingabe-/Ausgabesystem. Protokoll zur Bereitstellung von Netzwerk-Eingabe-/Ausgabeoperationen. Verbindungsdienst. | |
17 | 139 | NetBIOS | Netzwerk-Basis-Eingabe-/Ausgabesystem. Protokoll zur Bereitstellung von Netzwerk-Eingabe-/Ausgabeoperationen. Sitzungsdienst. | |
18 | 143 | IMAP | Internet Message Access Protocol. Protokoll der Anwendungsschicht für den E-Mail-Zugriff. | |
19 | 161 | SNMP | Simple Network Management Protocol – ein einfaches Netzwerkverwaltungsprotokoll. Geräteverwaltung. | |
20 | 179 | BGP | Border Gateway Protocol, Grenz-Gateway-Protokoll. Dynamisches Routing-Protokoll. | |
21 | 443 | HTTPS | HyperText Transfer Protocol Secure) ist ein HTTP-Protokoll, das Verschlüsselung unterstützt. | |
22 | 445 | KMU | Server-Nachrichtenblock. Ein Protokoll für den Fernzugriff auf Dateien, Drucker und Netzwerkressourcen. | |
23 | 514 | Syslog | Systemprotokoll. Ein Protokoll zum Senden und Aufzeichnen von Nachrichten über laufende Systemereignisse. | |
24 | 515 | LPD | Zeilendrucker-Daemon. Protokoll zum Remote-Drucken auf einem Drucker. | |
25 | 993 | IMAP-SSL | IMAP-Protokoll, das SSL-Verschlüsselung unterstützt. | |
26 | 995 | POP3-SSL | POP3-Protokoll, das SSL-Verschlüsselung unterstützt. | |
27 | 1080 | SOCKEN | SOCKet Secure. Protokoll zur Erlangung eines sicheren anonymen Zugriffs. | |
28 | 1194 | OpenVPN | Offene Implementierung von Virtual Privates Netzwerk(VPN). | |
29 | 1433 | MSSQL | Microsoft SQL Server- Datenbankverwaltungssystem. Datenbankzugriffsport. | |
30 | 1702 | L2TP (IPsec) | Protokoll zur Unterstützung virtueller privater Netzwerke. Sowie eine Reihe von Datenschutzprotokollen. | |
31 | 1723 | PPTP | Tunnelprotokoll für eine sichere Verbindung mit einem Punkt-zu-Punkt-Server. | |
32 | 3128 | Stellvertreter | Derzeit wird der Port häufig von Proxyservern genutzt. | |
33 | 3268 | LDAP | Lightweight Directory Access Protocol – leichtes Zugriffsprotokoll auf Verzeichnisse (Verzeichnisdienste). | |
34 | 3306 | MySQL | Zugriff auf MySQL-Datenbanken. | |
35 | 3389 | RDP | Remotedesktopprotokoll – Remotedesktopprotokoll für Windows. | |
36 | 5432 | PostgreSQL | Zugriff auf PostgreSQL-Datenbanken Daten. | |
37 | 5060 | SCHLUCK | Protokoll zum Aufbau einer Sitzung und zur Übertragung von Multimediainhalten. | |
38 | 5900 | VNC | Virtual Network Computing ist ein System für den Fernzugriff auf einen Computer-Desktop. | |
39 | 5938 | Teamviewer | TeamViewer – Support-System Fernbedienung Computer und Datenaustausch. | |
40 | 8080 | HTTP/Web | Ein alternativer Port für das HTTP-Protokoll. Wird manchmal von Proxyservern verwendet. | |
41 | 10000 | NDMP | Beliebter Port: Webmin, SIP-Voice, VPN IPSecüber TCP. | |
42 | 20000 | DNP |
Bildschirm 1: Grundlegende Nmap-Scansitzung |
- Port 135 wird von der RPC-Endpunktzuordnungsfunktion verwendet, die in vielen Windows-Technologien wie COM/DCOM-Anwendungen, DFS, Ereignisprotokollierung, Dateireplikation, Nachrichtenwarteschlange und Microsoft Outlook zu finden ist. Dieser Port sollte von der Netzwerk-Perimeter-Firewall blockiert werden, es ist jedoch schwierig, ihn zu blockieren und trotzdem die Windows-Funktionalität aufrechtzuerhalten.
- Port 139 wird vom NetBIOS-Sitzungsdienst verwendet, der den Browser „Andere Computer suchen“, Dateifreigabedienste, Net Logon und den Serverdienst aktiviert. Es ist schwierig zu schließen, genau wie Port 135.
- Port 445 wird von Windows verwendet für Zusammenarbeit mit Dateien. Um diesen Port zu schließen, müssen Sie die Datei- und Druckerfreigabe für Microsoft-Netzwerke blockieren. Das Schließen dieses Ports hindert den Computer nicht daran, eine Verbindung zu anderen Remote-Ressourcen herzustellen; Andere Computer können sich jedoch nicht mit diesem System verbinden.
- Die Ports 1025 und 1026 werden dynamisch geöffnet und von anderen Systemen verwendet Windows-Prozesse, insbesondere diverse Dienstleistungen.
- Port 3389 wird von Remote Desktop verwendet, der standardmäßig nicht aktiviert ist, aber auf meinem Testcomputer aktiv ist. Um den Port zu schließen, gehen Sie im Dialogfeld „Systemeigenschaften“ zur Registerkarte „Remote“ und deaktivieren Sie das Kontrollkästchen „Benutzern erlauben, eine Remoteverbindung zu diesem Computer herzustellen“.
Achten Sie darauf, nach offenen UDP-Ports zu suchen und unnötige zu schließen. Das Scanprogramm zeigt die offenen Ports des Computers an, die vom Netzwerk aus sichtbar sind. Ähnliche Ergebnisse können mit Tools erzielt werden, die sich auf dem Hostsystem befinden.
Host-Scan
Zusätzlich zur Verwendung eines Netzwerk-Port-Scanners können offene Ports auf dem Host-System mit dem folgenden Befehl (auf dem Host-System ausführen) erkannt werden:
Netstat -an
Dieser Befehl funktioniert sowohl unter Windows als auch unter UNIX. Netstat stellt eine Liste der aktiven Ports auf einem Computer bereit. Unter Windows 2003 und Windows XP müssen Sie die Option -o hinzufügen, um die entsprechende Programmkennung (PID) zu erhalten. Abbildung 2 zeigt die Netstat-Ausgabe für denselben Computer, der zuvor einem Port-Scan unterzogen wurde. Bitte beachten Sie, dass mehrere zuvor aktive Ports geschlossen sind.
Firewall-Protokollprüfung
Noch eins nützliche Weise Erkennen Sie Netzwerkanwendungen, die Daten über das Netzwerk senden oder empfangen – sammeln und analysieren Sie weitere Daten im Firewall-Protokoll. Das Verweigern von Einträgen, die Informationen vom Frontend der Firewall bereitstellen, ist aufgrund des „Lärmverkehrs“ (z. B. Würmer, Scanner, Ping-Tests), der das Internet verstopft, wahrscheinlich nicht sinnvoll. Wenn Sie jedoch erlaubte Pakete von der internen Schnittstelle protokollieren, können Sie den gesamten ein- und ausgehenden Netzwerkverkehr sehen.
Um die rohen Verkehrsdaten in Ihrem Netzwerk anzuzeigen, können Sie einen Netzwerkanalysator installieren, der eine Verbindung zum Netzwerk herstellt und alle erkannten Netzwerkpakete aufzeichnet. Der am weitesten verbreitete kostenlose Netzwerkanalysator ist Tcpdump für UNIX (die Windows-Version heißt Windump), der einfach auf Ihrem Computer installiert werden kann. Nach der Installation des Programms sollten Sie es so konfigurieren, dass es im Empfangsmodus für alle Netzwerkpakete arbeitet, um den gesamten Datenverkehr zu protokollieren. Anschließend sollten Sie es an einen Portmonitor am Netzwerk-Switch anschließen und den gesamten durch das Netzwerk fließenden Datenverkehr überwachen. Das Einrichten eines Portmonitors wird weiter unten besprochen. Tcpdump ist ein äußerst flexibles Programm, mit dem Sie den Netzwerkverkehr mithilfe spezieller Filter anzeigen und nur Informationen zu IP-Adressen und Ports oder alle Pakete anzeigen können. Es ist schwierig, Netzwerk-Dumps in großen Netzwerken ohne die Hilfe geeigneter Filter anzuzeigen, es muss jedoch darauf geachtet werden, dass keine wichtigen Daten verloren gehen.
Komponenten kombinieren
Bisher haben wir darüber nachgedacht verschiedene Methoden und Tools, die Ihnen dabei helfen können, Anwendungen über das Netzwerk zu entdecken. Es ist an der Zeit, sie zu kombinieren und zu zeigen, wie man offene Netzwerkports ermittelt. Es ist erstaunlich, wie gesprächig Computer im Netzwerk sind! Zunächst empfiehlt es sich, sich damit vertraut zu machen Microsoft-Dokument„Dienstübersicht und Netzwerk-Port-Anforderungen für Windows Server System" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), in dem die von Anwendungen verwendeten Protokolle (TCP und UDP) und die wichtigsten Portnummern aufgeführt sind Windows-Dienste Server. Das Dokument beschreibt diese Dienste und die zugehörigen Netzwerkports, die sie verwenden. Es wird empfohlen, diese für Administratoren nützliche Anleitung herunterzuladen und auszudrucken Windows-Netzwerke Referenzhandbuch.
Einrichten eines Netzwerkanalysators
Es wurde bereits erwähnt, dass eine Möglichkeit zur Bestimmung der von Anwendungen verwendeten Ports darin besteht, den Datenverkehr zwischen Computern mithilfe eines Netzwerkanalysators zu überwachen. Um den gesamten Datenverkehr zu sehen, müssen Sie einen Netzwerkanalysator an einen Hub oder Portmonitor am Switch anschließen. Jeder Port an einem Hub sieht den gesamten Datenverkehr von jedem Computer, der mit diesem Hub verbunden ist. Hubs sind jedoch eine veraltete Technologie und die meisten Unternehmen ersetzen sie durch Switches, die dies ermöglichen gute Leistung, sind aber für die Analyse unpraktisch: Jeder Switch-Port akzeptiert nur Datenverkehr, der an einen Computer gerichtet ist, der mit diesem Port verbunden ist. Um das gesamte Netzwerk zu analysieren, müssen Sie den an jeden Switch-Port gesendeten Datenverkehr überwachen.
Dies erfordert die Einrichtung eines Port-Monitors (verschiedene Anbieter nennen ihn Span-Port oder gespiegelter Port) auf dem Switch. Die Installation eines Port-Monitors auf einem Cisco Catalyst-Switch von Cisco Systems ist einfach. Sie müssen sich am Switch registrieren und den Aktivierungsmodus aktivieren. Gehen Sie dann zum Konfigurieren des Terminalmodus und geben Sie die Schnittstellennummer des Switch-Ports ein, an den der gesamte überwachte Datenverkehr gesendet werden soll. Abschließend müssen Sie alle überwachten Ports angeben. Die folgenden Befehle überwachen beispielsweise drei Ports Schnelles Ethernet und Weiterleiten einer Kopie des Datenverkehrs an Port 24.
Schnittstelle FastEthernet0/24-Port-Monitor FastEthernet0/1-Port-Monitor FastEthernet0/2-Port-Monitor FastEthernet0/3-Ende
IN in diesem Beispiel Ein an Port 24 angeschlossener Netzwerkanalysator überwacht den gesamten ausgehenden und eingehenden Datenverkehr von Computern, die an die ersten drei Ports des Switches angeschlossen sind. Geben Sie den Befehl ein, um die erstellte Konfiguration anzuzeigen
Erinnerung schreiben
Erste Analyse
Schauen wir uns ein Beispiel für die Analyse von Daten an, die durch ein Netzwerk laufen. Bei Verwendung zur Netzwerkanalyse Linux-Computer Dann können Sie sich mit einem Programm wie IPTraf im Statistikmodus ein umfassendes Bild über die Art und Häufigkeit der Pakete im Netzwerk machen. Verkehrsdetails können mit dem Programm Tcpdump ermittelt werden.
Das TCP/IP-Protokoll ist die Grundlage des Internets, über das Computer Informationen von überall auf der Welt senden und empfangen, unabhängig vom geografischen Standort. Der Zugriff auf einen TCP/IP-Computer in einem anderen Land ist genauso einfach wie der Zugriff auf einen Computer im Nebenzimmer. Der Zugriffsvorgang ist in beiden Fällen identisch, allerdings kann die Verbindung zu einer Maschine im Ausland einige Millisekunden länger dauern. Dadurch können Bürger aller Länder problemlos auf Amazon.com einkaufen. Aufgrund der logischen Nähe wird die Aufgabe jedoch komplizierter Informationssicherheit: Jeder Besitzer eines Computers, der irgendwo auf der Welt mit dem Internet verbunden ist, kann versuchen, eine unbefugte Verbindung mit einem anderen Computer herzustellen.
Es liegt in der Verantwortung von IT-Experten, Firewalls und Systeme zu installieren, um verdächtigen Datenverkehr zu erkennen. Die Paketanalyse ruft Informationen über die Quell- und Ziel-IP-Adressen sowie die beteiligten Netzwerkports ab. Der Wert von Netzwerkports ist dem von IP-Adressen nicht unterlegen; Dies sind die wichtigsten Kriterien zur Unterscheidung nützlichen Datenverkehrs von gefälschten und schädlichen Nachrichten, die in das Netzwerk ein- und ausgehen. Der meiste Internet-Netzwerkverkehr besteht aus TCP- und UDP-Paketen, die Informationen über die Netzwerkports enthalten, die Computer verwenden, um Datenverkehr von einer Anwendung zu einer anderen weiterzuleiten. Voraussetzung für die Firewall- und Netzwerksicherheit ist, dass der Administrator genau weiß, wie Computer und Netzwerkgeräte diese Ports nutzen.
Häfen studieren
Kenntnisse über die Grundprinzipien des Netzwerkportbetriebs sind für jeden von Nutzen Systemadministrator. Mit einem grundlegenden Verständnis der TCP- und UDP-Ports kann ein Administrator eine ausgefallene Netzwerkanwendung selbstständig diagnostizieren oder einen Computer schützen, der auf das Internet zugreift, ohne einen Netzwerktechniker oder Firewall-Berater anrufen zu müssen.
Der erste Teil dieses Artikels (bestehend aus zwei Teilen) beschreibt die grundlegenden Konzepte, die zur Diskussion von Netzwerkports erforderlich sind. Die Position der Netzwerk-Ports in der Gesamtzahl wird angezeigt Netzwerkmodell und die Rolle von Netzwerkports und NAT-Firewall (Network Address Translation) bei der Verbindung von Unternehmenscomputern mit dem Internet. Abschließend werden Netzwerkpunkte angezeigt, an denen der Netzwerkverkehr auf den entsprechenden Netzwerkports bequem identifiziert und gefiltert werden kann. Teil 2 befasst sich mit einigen Ports, die von gängigen Anwendungen und Betriebssystemen verwendet werden, und stellt einige Tools zum Auffinden offener Netzwerkports vor.
Kurzer Überblick über Netzwerkprotokolle
TCP/IP ist eine Reihe von Netzwerkprotokollen, über die Computer miteinander kommunizieren. Bei der TCP/IP-Suite handelt es sich um nichts anderes als im Betriebssystem installierte Softwarecodeteile, die den Zugriff auf diese Protokolle ermöglichen. TCP/IP ist ein Standard, also TCP/IP-Anwendungen Windows-Computer sollte erfolgreich mit einer ähnlichen Anwendung auf einem UNIX-Computer kommunizieren. In den Anfängen der Vernetzung, im Jahr 1983, entwickelten Ingenieure das siebenschichtige OSI-Verbindungsmodell, um Computernetzwerkprozesse vom Kabel bis zur Anwendung zu beschreiben. Das OSI-Modell besteht aus physischen, Datenverbindungs-, Netzwerk-, Transport-, Sitzungs- und Anwendungsschichten. Administratoren, die ständig mit dem Internet und TCP/IP arbeiten, befassen sich hauptsächlich mit den Netzwerk-, Transport- und Anwendungsschichten, für eine erfolgreiche Diagnose ist es jedoch erforderlich, andere Schichten zu kennen. Trotz des fortgeschrittenen Alters des OSI-Modells wird es immer noch von vielen Spezialisten verwendet. Wenn beispielsweise ein Netzwerktechniker über Layer-1- oder Layer-2-Switches spricht oder ein Firewall-Anbieter über Layer-7-Steuerung spricht, spricht er über die im OSI-Modell definierten Schichten.
In diesem Artikel geht es um Netzwerkports auf Schicht 4 – Transport. In der TCP/IP-Suite werden diese Ports von den Protokollen TCP und UDP verwendet. Aber bevor wir dazu kommen detaillierte Beschreibung Auf einer Ebene müssen Sie sich kurz mit sieben vertraut machen OSI-Ebenen und welche Rolle sie in modernen TCP/IP-Netzwerken spielen.
Schichten 1 und 2: Physische Kabel und MAC-Adressen
Schicht 1, physisch, stellt das eigentliche Medium dar, durch das das Signal übertragen wird, z. B. Kupferkabel, Glasfaserkabel oder Funksignale (im Fall von Wi-Fi). Schicht 2, Datenverbindung, beschreibt das Datenformat für die Übertragung im physischen Medium. Auf Schicht 2 werden Pakete in Frames organisiert und es können grundlegende Flusskontroll- und Fehlerbehandlungsfunktionen implementiert werden. IEEE 802.3, besser bekannt als Ethernet, ist heute der am weitesten verbreitete Layer-2-Standard lokale Netzwerke. Ein typischer Netzwerk-Switch ist ein Layer-2-Gerät, über das mehrere Computer physisch verbunden sind und Daten miteinander austauschen. Manchmal können zwei Computer keine Verbindung zueinander herstellen, obwohl die IP-Adressen korrekt zu sein scheinen. Das Problem kann durch Fehler im ARP-Cache (Address Resolution Protocol) verursacht werden, was auf ein Problem auf Ebene 2 hinweist. Darüber hinaus können einige drahtlose Zugangspunkte (Access Point, AP) bieten MAC-Adressfilterung und ermöglichen nur die Verbindung zum drahtlosen AP Netzwerkadapter mit einer bestimmten MAC-Adresse.
Schichten 3 und 4: IP-Adressen und Netzwerkports
Layer 3, Netzwerk, unterstützt Routing. Bei TCP/IP wird das Routing in IP implementiert. Die IP-Adresse des Pakets gehört zur Schicht 3. Netzwerk-Router- Layer-3-Geräte, die die IP-Adressen von Paketen analysieren und die Pakete an einen anderen Router weiterleiten oder Pakete an diesen zustellen lokale Computer. Wenn im Netzwerk ein verdächtiges Paket erkannt wird, besteht der erste Schritt darin, die IP-Adresse des Pakets zu überprüfen, um den Ursprung des Pakets zu ermitteln.
Zusammen mit der Netzwerkschicht ist Schicht 4 (Transport) ein guter Ausgangspunkt für die Diagnose Netzwerkfehler. Im Internet enthält Schicht 4 die TCP- und UDP-Protokolle sowie Informationen über den Netzwerkport, der ein Paket einer bestimmten Anwendung zuordnet. Der Netzwerkstapel eines Computers verwendet eine TCP- oder UDP-Netzwerkportzuordnung zu einer Anwendung, um den Netzwerkverkehr an diese Anwendung weiterzuleiten. Beispielsweise ist TCP-Port 80 einer Webserveranwendung zugeordnet. Diese Zuordnung von Ports zu Anwendungen wird als Dienst bezeichnet.
TCP und UDP sind unterschiedlich. Im Wesentlichen bietet TCP zuverlässige Verbindung um Daten zwischen zwei Anwendungen auszutauschen. Bevor die Kommunikation beginnen kann, müssen die beiden Anwendungen eine Verbindung herstellen, indem sie den dreistufigen TCP-Handshake-Prozess abschließen. UDP ist eher ein Fire-and-Forget-Ansatz. Kommunikationszuverlässigkeit für TCP-Anwendungen wird vom Protokoll bereitgestellt und die UDP-Anwendung muss die Zuverlässigkeit der Verbindung unabhängig überprüfen.
Der Netzwerkport ist eine Zahl zwischen 1 und 65535, die angegeben und beiden Anwendungen bekannt ist, zwischen denen die Kommunikation hergestellt wird. Beispielsweise sendet ein Client normalerweise eine unverschlüsselte Anfrage an den Server an der Zieladresse am TCP-Port 80. Normalerweise sendet der Computer DNS-Abfrage an den DNS-Server an der Zieladresse am UDP-Port 53. Client und Server verfügen über eine Quell- und Ziel-IP-Adresse sowie einen Quell- und Ziel-Netzwerkport, die unterschiedlich sein können. Historisch gesehen werden alle Portnummern unter 1024 als „bekannte Portnummern“ bezeichnet und sind bei der Internet Assigned Numbers Authority (IANA) registriert. Auf einigen Betriebssystemen können nur Systemprozesse Ports in diesem Bereich verwenden. Darüber hinaus können Organisationen die Ports 1024 bis 49151 bei der IANA registrieren, um den Port ihrer Anwendung zuzuordnen. Diese Registrierung bietet eine Struktur, die dabei hilft, Konflikte zwischen Anwendungen zu vermeiden, die versuchen, dieselbe Portnummer zu verwenden. Im Allgemeinen hindert eine Anwendung jedoch nichts daran, einen bestimmten Port anzufordern, solange dieser nicht von einem anderen aktiven Programm belegt ist.
In der Vergangenheit konnte der Server an Ports mit niedriger Nummer lauschen und der Client konnte eine Verbindung an einem Port mit hoher Nummer (über 1024) initiieren. Beispielsweise könnte ein Web-Client eine Verbindung zu einem Webserver am Zielport 80 herstellen, aber einen zufällig ausgewählten Quellport, z. B. TCP-Port 1025, zuordnen. Wenn er dem Client antwortet, adressiert der Webserver das Paket an den Client mit der Quelle Port 80 und Zielport 1025. Die Kombination aus IP-Adresse und Port wird als Socket bezeichnet und muss auf dem Computer eindeutig sein. Aus diesem Grund müssen Sie beim Einrichten eines Webservers mit zwei separaten Websites auf demselben Computer mehrere IP-Adressen verwenden, z. B. Adresse1:80 und Adresse2:80, oder den Webserver so konfigurieren, dass er mehrere Netzwerkports überwacht, z als Adresse1:80 und Adresse1:81. Einige Webserver ermöglichen die Ausführung mehrerer Websites auf einem einzigen Port, indem sie einen Host-Header anfordern. Diese Funktion wird jedoch tatsächlich von der Webserveranwendung auf einer höheren Ebene 7 ausgeführt.
Als in Betriebssystemen und Anwendungen Netzwerkfunktionen verfügbar wurden, begannen Programmierer, Portnummern über 1024 zu verwenden, ohne alle Anwendungen bei der IANA zu registrieren. Wenn Sie im Internet nach einem beliebigen Netzwerkport suchen, können Sie in der Regel schnell Informationen zu Anwendungen finden, die diesen Port verwenden. Oder Sie können nach bekannten Häfen suchen und viele Websites finden, die die häufigsten Häfen auflisten.
Wenn Sie Netzwerkanwendungen auf einem Computer blockieren oder Firewall-Fehler beheben, besteht die meiste Arbeit aus der Klassifizierung und Filterung von Layer-3-IP-Adressen sowie Layer-4-Protokollen und Netzwerkports. Um schnell zwischen legitimem und verdächtigem Datenverkehr zu unterscheiden, sollten Sie lernen, die 20 häufigsten zu erkennen Die im Unternehmen weit verbreiteten TCP- und UDP-Ports.
Das Erkennen und Kennenlernen von Netzwerkports geht über das Zuweisen von Firewall-Regeln hinaus. Einige Microsoft-Sicherheitspatches beschreiben beispielsweise, wie NetBIOS-Ports geschlossen werden. Diese Maßnahme trägt dazu bei, die Verbreitung von Würmern zu begrenzen, die über Schwachstellen im Betriebssystem eindringen. Wenn Sie wissen, wie und wo diese Ports geschlossen werden müssen, können Sie Netzwerksicherheitsrisiken reduzieren und gleichzeitig die Bereitstellung eines kritischen Patches vorbereiten.
Und direkt zu Level 7
Von Layer 5 (Sitzung) und Layer 6 (Präsentation) hört man heutzutage selten, aber Layer 7 (Anwendung) ist ein heißes Thema unter Firewall-Anbietern. Der neueste Trend in der Entwicklung Netzwerk-Firewalls- Kontrolle auf Ebene 7, die die Methoden beschreibt, mit denen der Betrieb der Anwendung analysiert wird Netzwerkprotokolle. Durch die Analyse der Nutzlast eines Netzwerkpakets kann eine Firewall feststellen, ob der sie passierende Datenverkehr legitim ist. Beispielsweise enthält eine Webanforderung eine GET-Anweisung in einem Layer-4-Paket (TCP-Port 80). Wenn Ihre Firewall über Layer-7-Funktionalität verfügt, können Sie überprüfen, ob die GET-Anweisung korrekt ist. Ein weiteres Beispiel ist, dass viele Peer-to-Peer-Filesharing-Programme (P2P) Port 80 kapern können. Dadurch kann ein Außenstehender das Programm so konfigurieren, dass es einen Port seiner Wahl verwendet – höchstwahrscheinlich einen Port, der offen bleiben sollte eine bestimmte Firewall. Wenn die Mitarbeiter eines Unternehmens Zugriff auf das Internet benötigen, muss Port 80 geöffnet sein. Um jedoch legitimen Webverkehr von P2P-Verkehr zu unterscheiden, der von jemandem an Port 80 geleitet wird, muss die Firewall eine Layer-7-Kontrolle ermöglichen.
Rolle der Firewall
Nachdem wir die Netzwerkschichten beschrieben haben, können wir mit der Beschreibung des Mechanismus für die Kommunikation zwischen Netzwerkanwendungen über Firewalls fortfahren und dabei besonderes Augenmerk auf die verwendeten Netzwerkports legen. Im folgenden Beispiel kommuniziert ein Client-Browser mit einem Webserver auf der anderen Seite der Firewall, so wie ein Firmenmitarbeiter mit einem Webserver im Internet kommunizieren würde.
Die meisten Internet-Firewalls arbeiten auf den Schichten 3 und 4, um eingehenden und ausgehenden Netzwerkverkehr zu prüfen und ihn dann zuzulassen oder zu blockieren. Im Allgemeinen schreibt der Administrator Zugriffskontrolllisten (ACLs), die die IP-Adressen und Netzwerkports des blockierten oder zugelassenen Datenverkehrs definieren. Um beispielsweise auf das Internet zuzugreifen, müssen Sie einen Browser starten und ihn auf die Website verweisen. Der Computer initiiert eine ausgehende Verbindung, indem er eine Folge von IP-Paketen sendet, die aus Header- und Nutzdateninformationen bestehen. Der Header enthält Routeninformationen und andere Paketattribute. Firewall-Regeln werden oft unter Berücksichtigung von Routing-Informationen geschrieben und enthalten typischerweise die Quell- und Ziel-IP-Adressen (Schicht 3) und das Paketprotokoll (Schicht 4). Beim Surfen im Web gehört die Ziel-IP-Adresse dem Webserver, und das Protokoll und der Zielport (standardmäßig) sind TCP 80. Die Quell-IP-Adresse ist die Adresse des Computers, von dem aus der Benutzer auf das Web zugreift, und die Quelle Port ist normalerweise eine dynamisch zugewiesene Nummer größer als 1024. Die nützlichen Informationen sind unabhängig vom Header und werden von der Benutzeranwendung generiert. In diesem Fall handelt es sich um eine Anfrage an den Webserver, eine Webseite bereitzustellen.
Die Firewall analysiert den ausgehenden Datenverkehr und lässt ihn gemäß den Firewall-Regeln zu. Viele Unternehmen erlauben den gesamten ausgehenden Datenverkehr aus ihrem Netzwerk. Dieser Ansatz vereinfacht die Konfiguration und Bereitstellung, verringert jedoch die Sicherheit, da keine Kontrolle über die Daten besteht, die das Netzwerk verlassen. Beispielsweise kann ein Trojaner einen Computer in einem Unternehmensnetzwerk infizieren und Informationen von diesem Computer an einen anderen Computer im Internet senden. Es ist sinnvoll, Zugriffskontrolllisten zu erstellen, um solche ausgehenden Informationen zu blockieren.
Im Gegensatz zum ausgehenden Ansatz vieler Firewalls sind die meisten so konfiguriert, dass sie eingehenden Datenverkehr blockieren. Typischerweise lassen Firewalls eingehenden Datenverkehr nur in zwei Situationen zu. Beim ersten handelt es sich um Datenverkehr, der als Reaktion auf eine vom Benutzer zuvor gesendete ausgehende Anfrage eintrifft. Wenn Sie Ihren Browser beispielsweise auf die Adresse einer Webseite verweisen, lässt die Firewall zu, dass HTML-Code und andere Komponenten der Webseite in das Netzwerk gelangen. Der zweite Fall ist die Platzierung eines internen Dienstes im Internet, wie z Mail-Server, Web- oder FTP-Site. Das Hosten eines solchen Dienstes wird üblicherweise als Portübersetzung oder Serververöffentlichung bezeichnet. Die Implementierung der Portübersetzung variiert je nach Firewall-Anbieter, das zugrunde liegende Prinzip ist jedoch dasselbe. Der Administrator definiert einen Dienst, beispielsweise TCP-Port 80 für den Webserver und einen Back-End-Server zum Hosten des Dienstes. Wenn Pakete durch die Firewall gelangen Frontend Entsprechend einem bestimmten Dienst leitet der Portübersetzungsmechanismus sie an einen bestimmten Computer im Netzwerk weiter, der hinter einer Firewall verborgen ist. Die Portübersetzung wird in Verbindung mit dem unten beschriebenen NAT-Dienst verwendet.
NAT-Grundlagen
Mit NAT können sich mehrere Computer in einem Unternehmen einen kleinen öffentlichen IP-Adressraum teilen. Der DHCP-Server eines Unternehmens kann eine IP-Adresse aus einem der privaten, nicht über das Internet routbaren IP-Adressblöcke zuweisen, die in Request for Comments (RFC) Nr. 1918 definiert sind. Mehrere Unternehmen können sich auch denselben privaten IP-Adressraum teilen. Beispiele für private IP-Subnetze sind 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16. Internet-Router blockieren alle Pakete, die an eine der privaten Adressen gerichtet sind. NAT ist eine Firewall-Funktion, die es Unternehmen ermöglicht, über private IP-Adressen mit anderen Computern im Internet zu kommunizieren. Die Firewall versteht es, ein- und ausgehenden Datenverkehr in private interne IP-Adressen zu übersetzen, sodass jeder Computer auf das Internet zugreifen kann.
UDP-ANWENDUNGEN
UDP unterstützt neben vielen anderen Anwendungen auch das Trivial File Transfer Protocol (TFTP), das Simple Network Management Protocol (SNMP) und das Routing Information Protocol (RIP).
TFTP (Typisches Dateiübertragungsprotokoll). Es wird hauptsächlich zum Kopieren und Installieren eines Betriebssystems auf einem Computer von einem Dateiserver verwendet.
TFTP. TFTP ist eine kleinere Anwendung als File Transfer Protocol (FTP). Typischerweise wird TFTP in Netzwerken zur einfachen Dateiübertragung verwendet. TFTP verfügt über einen eigenen Fehlerkontroll- und Sequenznummerierungsmechanismus und erfordert daher keinen Zusatzleitungen auf der Transportebene.
SNMP (Simple Network Management Protocol) überwacht und verwaltet Netzwerke und daran angeschlossene Geräte und sammelt Informationen über die Netzwerkleistung. SNMP sendet Protokolldatenblocknachrichten, die dies ermöglichen Software Netzwerkmanagement-Steuergeräte im Netzwerk.
RIP (Routing Information Protocol) ist ein internes Routing-Protokoll, das heißt, es wird innerhalb einer Organisation, aber nicht im Internet verwendet.
TCP-ANWENDUNGEN
TCP unterstützt neben vielen anderen Anwendungen auch FTP, Telnet und Simple Mail Transfer Protocol (SMTP).
FTP (File Transfer Protocol) ist eine voll funktionsfähige Anwendung, die zum Kopieren von Dateien mithilfe einer laufenden Clientanwendung auf einem Computer verwendet wird, die mit einer FTP-Serveranwendung auf einem anderen Computer verbunden ist entfernter Computer. Mit dieser Anwendung können Dateien empfangen und versendet werden.
Mit Telnet können Sie Terminalsitzungen mit einem Remote-Gerät einrichten, normalerweise einem UNIX-Host, Router oder Switch. Dies gibt dem Netzwerkadministrator die Möglichkeit zur Verwaltung Netzwerkgerät, als wäre es in unmittelbarer Nähe, und die serielle Schnittstelle des Computers wurde zur Steuerung verwendet. Der Nutzen von Telnet ist auf Systeme beschränkt, die eine zeichenbasierte Befehlssyntax verwenden. Telnet unterstützt keine Steuerung der grafischen Umgebung des Benutzers.
SMTP (Simple Mail Transfer Protocol) ist ein E-Mail-Übertragungsprotokoll für das Internet. Es unterstützt die Übertragung von E-Mail-Nachrichten zwischen Mail-Clients und Mailserver.
Bekannte Häfen
Bekannte Ports werden von der IANA zugewiesen und reichen von 1023 und darunter. Sie sind Anwendungen zugeordnet, die für das Internet von zentraler Bedeutung sind.
REGISTRIERTE HÄFEN
Registrierte Ports werden von der IANA katalogisiert und reichen von 1024 bis 49151. Diese Ports werden von lizenzierten Anwendungen wie Lotus Mail verwendet.
DYNAMISCH ZUGEWIESENE PORTS
Dynamisch zugewiesene Ports sind von 49152 bis 65535 nummeriert. Die Nummern für diese Ports werden dynamisch für die Dauer einer bestimmten Sitzung zugewiesen.