Welches Protokoll verwendet TCP-Port 25? Grundlagen zu Netzwerkports

Quellen: Wikipedia, Microsoft, portscan.ru

Wie kann ich herausfinden, welche Ports auf meinem Computer geöffnet sind?

  1. Für Windows: Start → „cmd“ → Als Administrator ausführen → „netstat -bn“
  2. In einem Antivirenprogramm wie Avast ist es möglich, aktive Ports in der Firewall anzuzeigen: Extras -> Firewall -> Netzwerkverbindungen.

Auch nützliche Befehle netstat:

Geben Sie den folgenden Befehl ein, um sowohl die Ethernet-Statistiken als auch die Statistiken für alle Protokolle anzuzeigen:

netstat -e -s

Geben Sie den folgenden Befehl ein, um die Statistiken nur für die Protokolle TCP und UDP anzuzeigen:

netstat -s -p tcp udp

Um alle 5 Sekunden aktive TCP-Verbindungen und die Prozess-IDs anzuzeigen, geben Sie den folgenden Befehl ein:

nbtstat -o 5

Geben Sie den folgenden Befehl ein, um aktive TCP-Verbindungen und die Prozess-IDs in numerischer Form anzuzeigen:

nbtstat -n -o

Für TCP-Sockets gelten folgende Statuswerte:

GESCHLOSSEN Geschlossen Die Steckdose wird nicht verwendet.
HÖREN (HÖREN) Wartet auf eingehende Verbindungen.
SYN_SENT Aktiv versuchen, eine Verbindung herzustellen.
SYN_RECEIVED Die erste Verbindungssynchronisierung wird ausgeführt.
GEGRÜNDET Die Verbindung wurde hergestellt.
CLOSE_WAIT Der entfernte Teilnehmer hat die Verbindung getrennt; Ich warte darauf, dass der Socket geschlossen wird.
FIN_WAIT_1 Die Steckdose ist geschlossen; die Verbindung trennen.
SCHLIESSEN Die Steckdose wird geschlossen, dann wird die Verbindung zur Gegenseite unterbrochen; Auf Bestätigung warten.
LAST_ACK Die entfernte Seite wird getrennt, dann wird die Steckdose geschlossen; Auf Bestätigung warten.
FIN_WAIT_2 Die Steckdose ist geschlossen; Warten darauf, dass die Remote-Seite die Verbindung trennt.
ZEIT WARTET Der Socket ist geschlossen, wartet jedoch auf die Verarbeitung von Paketen, die sich noch im Netzwerk befinden

Liste der am häufigsten verwendeten Ports

Hafen rein Computernetzwerke ist der Kommunikationsendpunkt im Betriebssystem. Dieser Begriff gilt auch für Hardwaregeräte, bezieht sich jedoch in Software auf ein logisches Konstrukt, das eine bestimmte Art von Dienst oder Prozess identifiziert. Ein Port ist immer mit der IP-Adresse oder dem Kommunikationsprotokolltyp des Hosts verknüpft. Damit ist die Zuweisung der Sitzungsadresse abgeschlossen. Für jedes Protokoll und jede Adresse wird ein Port anhand einer 16-Bit-Nummer, auch Portnummer genannt, identifiziert. Häufig werden bestimmte Portnummern zur Identifizierung bestimmter Dienste verwendet. Von den mehreren Tausend aufgeführten Nummern sind 1.024 bekannte Nummern durch eine Sondervereinbarung geschützt. Sie definieren bestimmte Arten von Diensten auf dem Host. Zur Steuerung von Prozessen werden Protokolle verwendet, die hauptsächlich Ports nutzen. Ein Beispiel ist das Steuerprotokoll TCP-Übertragung oder User Datagram Protocol aus der Internet Protocol Suite.

Bedeutung

Über direkte Punkt-zu-Punkt-Verbindungen, bei denen die Computer an beiden Enden jeweils nur ein Programm ausführen können, werden keine TCP-Ports benötigt. Der Bedarf dafür entstand, nachdem sich herausstellte, dass diese Maschinen in der Lage waren, mehr als ein Programm gleichzeitig auszuführen. Sie waren mit modernen paketvermittelten Netzwerken verbunden. Im Client-Server-Architekturmodell werden Ports, Anwendungen und Netzwerk-Clients sind mit der Dienstinitiierung verbunden. Sie stellen Multiplexing-Dienste bereit, nachdem der anfängliche Informationsaustausch einer Portnummer zugeordnet wurde. Sie wird freigegeben, indem jede Instanz der Anforderungsbearbeitung auf eine dedizierte Leitung umgeschaltet wird. Es wird eine Verbindung zu einer bestimmten Nummer hergestellt. Dadurch können zusätzliche Kunden ohne Wartezeit bedient werden.

Einzelheiten

Die Datenübertragungsprotokolle UDP und TCP werden verwendet, um die Ziel- und Quellportnummer in ihren Segmentheadern anzugeben. Die Portnummer ist eine vorzeichenlose 16-Bit-Zahl. Er kann zwischen 0 und 65535 liegen. TCP-Ports können jedoch nicht die Zahl 0 verwenden. Für UDP ist der Quellport nicht erforderlich. Ein Wert gleich Null bedeutet seine Abwesenheit. Dieser Prozess verbindet Eingabe- oder Ausgabekanäle mithilfe eines Transportprotokolls, einer Portnummer und einer IP-Adresse über einen Internet-Socket. Dieser Vorgang wird auch als Bindung bezeichnet. Es ermöglicht den Empfang und die Übertragung von Informationen über das Netzwerk. Netzwerksoftware Betriebssystem Wird verwendet, um ausgehende Daten von allen Anwendungsports an das Netzwerk zu übertragen. Es leitet auch eingehende Netzwerkpakete weiter, indem es die Nummer und die IP-Adresse abgleicht. Nur ein Prozess kann über dasselbe Transportprotokoll an eine bestimmte Kombination aus IP-Adresse und Port gebunden werden. Anwendungsabstürze, auch Anwendungskollisionen genannt, treten auf, wenn mehrere Programme versuchen, über dasselbe Protokoll mit denselben Portnummern auf derselben IP-Adresse zu kommunizieren.

Wie werden sie verwendet?

Anwendungen, die gemeinsame Dienste implementieren, verwenden häufig eine speziell reservierte und bekannte Liste von UDP- und TCP-Ports, um Client-Dienstanforderungen anzunehmen. Dieser Vorgang wird auch als Zuhören bezeichnet. Dabei wird eine Anfrage von einem bekannten Port empfangen und eine direkte Konversation zwischen Client und Server unter Verwendung derselben lokalen Portnummer aufgebaut. Andere Clients können weiterhin eine Verbindung herstellen. Dies ist möglich, weil eine TCP-Verbindung als Kette identifiziert wird, die aus lokalen und Remote-Ports und -Adressen besteht. Standardports UDP und TCP können durch Vereinbarung unter der Kontrolle der IANA oder der Internet Assigned Numbers Authority definiert werden. Typischerweise verwenden die wichtigsten Netzwerkdienste, vor allem das World Wide Web, kleine Portnummern, weniger als 1024. Auf vielen Betriebssystemen erfordern Anwendungen besondere Berechtigungen, um sich an sie zu binden. Aus diesem Grund werden sie häufig als entscheidend für den Betrieb von IP-Netzwerken angesehen. Der Endkunde der Verbindung hingegen nutzt tendenziell eine größere Anzahl davon, die für die kurzfristige Nutzung reserviert ist. Aus diesem Grund gibt es sogenannte ephemere Ports.

Struktur

TCP-Ports werden im Paketheader des Transportpakets kodiert. Sie können nicht nur von den empfangenden und sendenden PCs, sondern auch von anderen Komponenten der Netzwerkinfrastruktur leicht interpretiert werden. Insbesondere Firewalls sind in der Regel so konfiguriert, dass sie Pakete anhand der Zielportnummern und ihrer Quelle unterscheiden. Ein klassisches Beispiel hierfür ist die Umleitung. Der Versuch, nacheinander eine Verbindung zu einer Reihe von Ports auf demselben Computer herzustellen, wird auch als Port-Scanning bezeichnet. Mit solchen Vorgängen sind in der Regel entweder böswillige Fehlversuche verbunden oder die Tatsache, dass Netzwerkadministratoren gezielt nach möglichen Schwachstellen suchen, um solche Angriffe zu verhindern. Aktionen zur Öffnung eines TCP-Ports werden computergesteuert erfasst und gesteuert. Diese Technik nutzt eine Reihe redundanter Verbindungen, um eine unterbrechungsfreie Kommunikation mit dem Server sicherzustellen.

Anwendungsbeispiele

Das wichtigste Beispiel, bei dem UDP- und TCP-Ports aktiv genutzt werden, ist das Internet-Mail-System. Der Server wird für die Arbeit mit E-Mails verwendet. Insgesamt sind zwei Dienste erforderlich. Der erste Dienst dient dem Transport per E-Mail und von anderen Servern. Dies wird mithilfe des Simple Mail Transfer Protocol (SMTP) erreicht. Die SMTP-Dienstanwendung überwacht normalerweise den TCP-Port Nummer 25, um eingehende Anfragen zu verarbeiten. Ein weiterer Dienst ist POP oder IMAP. Sie werden für E-Mail-Client-Anwendungen auf den Computern der Benutzer benötigt, um E-Mail-Nachrichten vom Server zu empfangen. POP-Dienste lauschen auf Nummern am TCP-Port 110. Alle oben genannten Dienste können auf demselben Host-Computer ausgeführt werden. In diesem Fall unterscheidet die Portnummer den vom Remote-Gerät angeforderten Dienst. Wenn die Server-Listening-Portnummer korrekt ermittelt wurde, wird dieser Parameter für den Client aus ermittelt Dynamikbereich. Clients und Server verwenden in einigen Fällen getrennt voneinander bestimmte TCP-Ports, die in IANA zugewiesen sind. Ein gutes Beispiel ist DHCP. Dabei verwendet der Client in jedem Fall UDP 68 und der Server UDP 67.

Verwendung in URLs

Manchmal sind Portnummern im Internet oder auf anderen einheitlichen Schildern deutlich sichtbar Informationsressourcen, wie eine URL. HTTP verwendet standardmäßig den TCP-Port 80 und HTTPS den Port 443. Es gibt auch andere Variationen. So zeigt beispielsweise die URL http://www.example.com:8080/path an, dass der Webbrowser eine Verbindung zum 8080 und nicht zu einem HTTP-Server herstellt.

Liste der UDP- und TCP-Ports

Wie bereits erwähnt, ist die IANA (InternetA Designated Numbers Authority) für die globale Koordination von DNS-Root, IP-Adressierung und anderen Internetprotokollressourcen verantwortlich. Zu diesen Verfahren gehört die Registrierung häufig verwendeter Ports für bekannte Internetdienste. Alle Portnummern sind in drei Bereiche unterteilt: bekannt, registriert und privat oder dynamisch. Bekannte Ports sind solche mit Nummern von 0 bis 1023. Sie werden auch Systemports genannt. Die Anforderungen an neue Werte in diesem Bereich sind strenger als für andere Registrierungen.

Beispiele

Beispiele für Ports auf der bekannten Liste sind:

  • TCP-Port 443 – HTTPS;
  • 21 – Dateiübertragungsprotokoll;
  • 22- Secure Shell;
  • 25 – einfaches Mail-Transfer-Protokoll STMP;
  • 53 – Domain-Name-System DNS;
  • 119 – Network News Transfer Protocol oder NNTP;
  • 80 – Hypertext Transfer Protocol HTTP;
  • 143 – Internet Message Access Protocol;
  • 123 – NTP-Netzwerkzeitprotokoll;
  • 161 – einfaches Netzwerkverwaltungsprotokoll SNMP.

Registrierte Ports müssen Nummern von 1024 bis 49151 haben. Die Internet Assigned Numbers Authority führt eine offizielle Liste aller bekannten und registrierten Bereiche. Frequenz- oder dynamische Ports reichen von 29152 bis 65535. Eine Verwendung dieses Bereichs sind temporäre Ports.

Geschichte der Schöpfung

Das Konzept der Portnummern wurde von den frühen Erfindern von ARPANET entwickelt. Es wurde durch informelle Zusammenarbeit zwischen Softwareautoren und Systemadministratoren entwickelt. Zu diesem Zeitpunkt wurde der Begriff „Portnummer“ noch nicht verwendet. Die Nummernfolge des Remote-Hosts war eine 40-Bit-Nummer. Die ersten 32 Bit ähnelten der heutigen IPv4-Adresse. Die wichtigsten waren die ersten 8 Bits. Der niederwertige Teil der Zahl (dies sind die Bits 33 bis 40) bezeichnet ein Objekt namens AEN. Es war ein Prototyp der modernen Portnummer. Die Erstellung eines Socket-Nummernverzeichnisses wurde erstmals am 26. März 1972 vorgeschlagen. Anschließend wurden Netzwerkadministratoren aufgefordert, jede Festnetznummer hinsichtlich der Netzwerkdienste und ihrer Funktionen zu beschreiben. Dieser Katalog wurde anschließend im Winter 1972 als RFC 433 veröffentlicht. Es enthielt eine Liste der Hosts, ihrer Portnummern und der entsprechenden Funktion, die in jedem Knoten im Netzwerk verwendet wird. Die ersten offiziellen Portnummernwerte wurden im Mai 1972 dokumentiert. Gleichzeitig wurde eine besondere Verwaltungsfunktion zur Führung dieses Registers vorgeschlagen. Die erste Liste der TCP-Ports umfasste 256 AEN-Werte. Sie wurden in die folgenden Bereiche unterteilt:

— von 0 bis 63 – Standardfunktionen des gesamten Netzwerks;

— von 64 bis 127 – hostspezifische Funktionen;

— von 128 bis 239 – Funktionen, die für die zukünftige Verwendung reserviert sind;

— von 240 bis 255 – jede experimentelle Funktion.

Der Begriff AEN bezog sich in den frühen Tagen des ARPANET auch auf den Namen des Sockets, der mit dem ursprünglichen Verbindungsprotokoll und der Netzw(NCP) verwendet wurde. In diesem Fall stellte NCP den Vorläufer moderner Internetprotokolle dar, die TCP/IP-Ports verwenden.

Netzwerkports können wichtige Informationen über die Anwendungen liefern, die über das Netzwerk auf Computer zugreifen. Indem Sie die Anwendungen kennen, die das Netzwerk nutzen, und die entsprechenden Netzwerkports, können Sie präzise Firewall-Regeln erstellen und Host-Computer so konfigurieren, dass sie nur nützlichen Datenverkehr zulassen. Durch die Erstellung eines Netzwerkprofils und den Einsatz von Tools zur Erkennung des Netzwerkverkehrs können Sie Eindringlinge effektiver erkennen – manchmal einfach durch die Analyse des von ihnen erzeugten Netzwerkverkehrs. Wir haben begonnen, uns mit diesem Thema im ersten Teil des Artikels zu befassen, der in der vorherigen Ausgabe des Magazins veröffentlicht wurde. Es lieferte grundlegende Informationen über TCP/IP-Ports als Grundlage der Netzwerksicherheit. In Teil 2 werden einige Netzwerk- und Hostmethoden beschrieben, mit denen Anwendungen identifiziert werden können, die ein Netzwerk überwachen. Später in diesem Artikel werden wir darüber sprechen, wie der durch das Netzwerk fließende Datenverkehr ausgewertet wird.

Blockieren von Netzwerkanwendungen

Netzwerkangriffsfläche ist ein gebräuchlicher Begriff zur Beschreibung von Netzwerkschwachstellen. Viele Netzwerkangriffe erfolgen über anfällige Anwendungen, und die Angriffsfläche kann erheblich reduziert werden, indem die Anzahl aktiver Anwendungen im Netzwerk verringert wird. Mit anderen Worten: Sie sollten es deaktivieren ungenutzte Dienste, installieren Sie eine Firewall auf dem dedizierten System, um die Legitimität des Datenverkehrs zu überprüfen, und erstellen Sie eine umfassende Zugriffskontrollliste (ACL) für die Firewall am Netzwerkperimeter.

Jeder offene Netzwerkport stellt eine Anwendung dar, die das Netzwerk überwacht. Die Angriffsfläche jedes mit dem Netzwerk verbundenen Servers kann durch die Deaktivierung aller nicht wesentlichen Netzwerkdienste und -anwendungen verringert werden. Windows-Version Server 2003 ist früheren Versionen des Betriebssystems überlegen, da es standardmäßig weniger Netzwerkdienste aktiviert. Zur Wiederentdeckung ist jedoch noch ein Audit erforderlich installierte Anwendungen und Konfigurationsänderungen, die unnötige Netzwerkports öffnen.

Jeden Offener Port– Eine potenzielle Hintertür für Angreifer, die Bereiche in der Hostanwendung ausnutzen oder heimlich mit dem Namen und Passwort eines anderen Benutzers auf die Anwendung zugreifen (oder eine andere legitime Authentifizierungsmethode verwenden). In jedem Fall besteht ein wichtiger erster Schritt zum Schutz Ihres Netzwerks darin, nicht verwendete Netzwerkanwendungen einfach zu deaktivieren.

Port-Scanning

Beim Port-Scanning werden lauschende Anwendungen erkannt, indem die Netzwerk-Ports eines Computers oder eines anderen Netzwerkgeräts aktiv abgefragt werden. Durch die Möglichkeit, Scan-Ergebnisse zu lesen und Netzwerkberichte mit Host-Port-Abfrageergebnissen zu vergleichen, erhalten Sie ein klares Bild des durch Ihr Netzwerk fließenden Datenverkehrs. Kenntnisse der Netzwerktopologie sind wichtig für die Erstellung eines strategischen Plans zum Scannen bestimmter Bereiche. Durch das Scannen einer Reihe externer IP-Adressen können Sie beispielsweise wertvolle Daten über einen Internet-Angreifer sammeln. Daher sollten Sie Ihr Netzwerk häufiger scannen und alle unnötigen Netzwerkports schließen.

Durch das Scannen externer Firewall-Ports können alle antwortenden Dienste (z. B. das Web oder E-Mail) erkannt werden, die auf internen Servern gehostet werden. Auch diese Server sollten geschützt werden. Konfigurieren Sie einen bekannten Port-Scanner (z. B. Network Mapper – Nmap), um die gewünschte Gruppe von UDP- oder TCP-Ports zu scannen. Typischerweise ist das Scannen von TCP-Ports zuverlässiger als das Scannen von UDP, da es tiefer geht Rückmeldung mit verbindungsorientierten TCP-Protokollen. Es gibt Versionen von Nmap sowohl für Windows als auch für Unix. Das Starten eines einfachen Scans ist einfach, obwohl das Programm weitaus erweiterte Funktionen bietet. Um offene Ports auf dem Testcomputer zu finden, habe ich den Befehl ausgeführt

Nmap 192.168.0.161

Bildschirm 1 zeigt die Ergebnisse einer Scansitzung – in diesem Fall ein Windows 2003-Computer in einer Standardkonfiguration. Die beim Port-Scan gesammelten Daten zeigen, dass sechs offene TCP-Ports vorhanden sind.

Hafen Protokoll Beschreibung
1 20 FTP-Daten File Transfer Protocol – Dateiübertragungsprotokoll. Datenschnittstelle.
2 21 FTP-Steuerung File Transfer Protocol – Dateiübertragungsprotokoll. Befehlsport.
3 22 SSH Secure SHell – „sichere Shell“. Protokoll zur Fernsteuerung des Betriebssystems.
4 23 Telnet TERMINALNETZWERK. Protokoll zur Implementierung einer Textschnittstelle über das Netzwerk.
5 25 SMTP Simple Mail Transfer Protocol – ein einfaches Mail-Übertragungsprotokoll.
6 42 GEWINNT Windows Internet Name Service. Dienst zum Zuordnen von NetBIOS-Computernamen zu Host-IP-Adressen.
7 43 WER IST "Wer ist". Protokoll zum Erhalten von Registrierungsdaten über Domainnameninhaber und IP-Adressen.
8 53 DNS Domain-Name-System – Domain-Name-System.
9 67 DHCP Dynamic Host Configuration Protocol – Protokoll dynamische Einstellungen Knoten. Erhalten dynamischer IPs.
10 69 TFTP Trivial File Transfer Protocol – ein einfaches Dateiübertragungsprotokoll.
11 80 HTTP/Web HyperText Transfer Protocol – Hypertext-Übertragungsprotokoll.
12 110 POP3 Post Office Protocol Version 3 – Empfangsprotokoll Email, Version 3.
13 115 SFTP SSH-Dateiübertragungsprotokoll. Sicheres Datenübertragungsprotokoll.
14 123 NTP Netzwerkzeitprotokoll. Ein Protokoll zur Synchronisierung der internen Uhr des Computers.
15 137 NetBIOS Netzwerk-Basis-Eingabe-/Ausgabesystem. Protokoll zur Bereitstellung von Netzwerk-Eingabe-/Ausgabeoperationen. Namensdienst.
16 138 NetBIOS Netzwerk-Basis-Eingabe-/Ausgabesystem. Protokoll zur Bereitstellung von Netzwerk-Eingabe-/Ausgabeoperationen. Verbindungsdienst.
17 139 NetBIOS Netzwerk-Basis-Eingabe-/Ausgabesystem. Protokoll zur Bereitstellung von Netzwerk-Eingabe-/Ausgabeoperationen. Sitzungsdienst.
18 143 IMAP Internet Message Access Protocol. Protokoll der Anwendungsschicht für den E-Mail-Zugriff.
19 161 SNMP Simple Network Management Protocol – ein einfaches Netzwerkverwaltungsprotokoll. Geräteverwaltung.
20 179 BGP Border Gateway Protocol, Grenz-Gateway-Protokoll. Dynamisches Routing-Protokoll.
21 443 HTTPS HyperText Transfer Protocol Secure) ist ein HTTP-Protokoll, das Verschlüsselung unterstützt.
22 445 KMU Server-Nachrichtenblock. Ein Protokoll für den Fernzugriff auf Dateien, Drucker und Netzwerkressourcen.
23 514 Syslog Systemprotokoll. Ein Protokoll zum Senden und Aufzeichnen von Nachrichten über laufende Systemereignisse.
24 515 LPD Zeilendrucker-Daemon. Protokoll zum Remote-Drucken auf einem Drucker.
25 993 IMAP-SSL IMAP-Protokoll, das SSL-Verschlüsselung unterstützt.
26 995 POP3-SSL POP3-Protokoll, das SSL-Verschlüsselung unterstützt.
27 1080 SOCKEN SOCKet Secure. Protokoll zur Erlangung eines sicheren anonymen Zugriffs.
28 1194 OpenVPN Offene Implementierung von Virtual Privates Netzwerk(VPN).
29 1433 MSSQL Microsoft SQL Server- Datenbankverwaltungssystem. Datenbankzugriffsport.
30 1702 L2TP (IPsec) Protokoll zur Unterstützung virtueller privater Netzwerke. Sowie eine Reihe von Datenschutzprotokollen.
31 1723 PPTP Tunnelprotokoll für eine sichere Verbindung mit einem Punkt-zu-Punkt-Server.
32 3128 Stellvertreter Derzeit wird der Port häufig von Proxyservern genutzt.
33 3268 LDAP Lightweight Directory Access Protocol – leichtes Zugriffsprotokoll auf Verzeichnisse (Verzeichnisdienste).
34 3306 MySQL Zugriff auf MySQL-Datenbanken.
35 3389 RDP Remotedesktopprotokoll – Remotedesktopprotokoll für Windows.
36 5432 PostgreSQL Zugriff auf PostgreSQL-Datenbanken Daten.
37 5060 SCHLUCK Protokoll zum Aufbau einer Sitzung und zur Übertragung von Multimediainhalten.
38 5900 VNC Virtual Network Computing ist ein System für den Fernzugriff auf einen Computer-Desktop.
39 5938 Teamviewer TeamViewer – Support-System Fernbedienung Computer und Datenaustausch.
40 8080 HTTP/Web Ein alternativer Port für das HTTP-Protokoll. Wird manchmal von Proxyservern verwendet.
41 10000 NDMP Beliebter Port: Webmin, SIP-Voice, VPN IPSecüber TCP.
42 20000 DNP
Bildschirm 1: Grundlegende Nmap-Scansitzung
  • Port 135 wird von der RPC-Endpunktzuordnungsfunktion verwendet, die in vielen Windows-Technologien wie COM/DCOM-Anwendungen, DFS, Ereignisprotokollierung, Dateireplikation, Nachrichtenwarteschlange und Microsoft Outlook zu finden ist. Dieser Port sollte von der Netzwerk-Perimeter-Firewall blockiert werden, es ist jedoch schwierig, ihn zu blockieren und trotzdem die Windows-Funktionalität aufrechtzuerhalten.
  • Port 139 wird vom NetBIOS-Sitzungsdienst verwendet, der den Browser „Andere Computer suchen“, Dateifreigabedienste, Net Logon und den Serverdienst aktiviert. Es ist schwierig zu schließen, genau wie Port 135.
  • Port 445 wird von Windows verwendet für Zusammenarbeit mit Dateien. Um diesen Port zu schließen, müssen Sie die Datei- und Druckerfreigabe für Microsoft-Netzwerke blockieren. Das Schließen dieses Ports hindert den Computer nicht daran, eine Verbindung zu anderen Remote-Ressourcen herzustellen; Andere Computer können sich jedoch nicht mit diesem System verbinden.
  • Die Ports 1025 und 1026 werden dynamisch geöffnet und von anderen Systemen verwendet Windows-Prozesse, insbesondere diverse Dienstleistungen.
  • Port 3389 wird von Remote Desktop verwendet, der standardmäßig nicht aktiviert ist, aber auf meinem Testcomputer aktiv ist. Um den Port zu schließen, gehen Sie im Dialogfeld „Systemeigenschaften“ zur Registerkarte „Remote“ und deaktivieren Sie das Kontrollkästchen „Benutzern erlauben, eine Remoteverbindung zu diesem Computer herzustellen“.

Achten Sie darauf, nach offenen UDP-Ports zu suchen und unnötige zu schließen. Das Scanprogramm zeigt die offenen Ports des Computers an, die vom Netzwerk aus sichtbar sind. Ähnliche Ergebnisse können mit Tools erzielt werden, die sich auf dem Hostsystem befinden.

Host-Scan

Zusätzlich zur Verwendung eines Netzwerk-Port-Scanners können offene Ports auf dem Host-System mit dem folgenden Befehl (auf dem Host-System ausführen) erkannt werden:

Netstat -an

Dieser Befehl funktioniert sowohl unter Windows als auch unter UNIX. Netstat stellt eine Liste der aktiven Ports auf einem Computer bereit. Unter Windows 2003 und Windows XP müssen Sie die Option -o hinzufügen, um die entsprechende Programmkennung (PID) zu erhalten. Abbildung 2 zeigt die Netstat-Ausgabe für denselben Computer, der zuvor einem Port-Scan unterzogen wurde. Bitte beachten Sie, dass mehrere zuvor aktive Ports geschlossen sind.

Firewall-Protokollprüfung

Noch eins nützliche Weise Erkennen Sie Netzwerkanwendungen, die Daten über das Netzwerk senden oder empfangen – sammeln und analysieren Sie weitere Daten im Firewall-Protokoll. Das Verweigern von Einträgen, die Informationen vom Frontend der Firewall bereitstellen, ist aufgrund des „Lärmverkehrs“ (z. B. Würmer, Scanner, Ping-Tests), der das Internet verstopft, wahrscheinlich nicht sinnvoll. Wenn Sie jedoch erlaubte Pakete von der internen Schnittstelle protokollieren, können Sie den gesamten ein- und ausgehenden Netzwerkverkehr sehen.

Um die rohen Verkehrsdaten in Ihrem Netzwerk anzuzeigen, können Sie einen Netzwerkanalysator installieren, der eine Verbindung zum Netzwerk herstellt und alle erkannten Netzwerkpakete aufzeichnet. Der am weitesten verbreitete kostenlose Netzwerkanalysator ist Tcpdump für UNIX (die Windows-Version heißt Windump), der einfach auf Ihrem Computer installiert werden kann. Nach der Installation des Programms sollten Sie es so konfigurieren, dass es im Empfangsmodus für alle Netzwerkpakete arbeitet, um den gesamten Datenverkehr zu protokollieren. Anschließend sollten Sie es an einen Portmonitor am Netzwerk-Switch anschließen und den gesamten durch das Netzwerk fließenden Datenverkehr überwachen. Das Einrichten eines Portmonitors wird weiter unten besprochen. Tcpdump ist ein äußerst flexibles Programm, mit dem Sie den Netzwerkverkehr mithilfe spezieller Filter anzeigen und nur Informationen zu IP-Adressen und Ports oder alle Pakete anzeigen können. Es ist schwierig, Netzwerk-Dumps in großen Netzwerken ohne die Hilfe geeigneter Filter anzuzeigen, es muss jedoch darauf geachtet werden, dass keine wichtigen Daten verloren gehen.

Komponenten kombinieren

Bisher haben wir darüber nachgedacht verschiedene Methoden und Tools, die Ihnen dabei helfen können, Anwendungen über das Netzwerk zu entdecken. Es ist an der Zeit, sie zu kombinieren und zu zeigen, wie man offene Netzwerkports ermittelt. Es ist erstaunlich, wie gesprächig Computer im Netzwerk sind! Zunächst empfiehlt es sich, sich damit vertraut zu machen Microsoft-Dokument„Dienstübersicht und Netzwerk-Port-Anforderungen für Windows Server System" ( http://support.microsoft.com/default.aspx?scid=kb;en-us;832017), in dem die von Anwendungen verwendeten Protokolle (TCP und UDP) und die wichtigsten Portnummern aufgeführt sind Windows-Dienste Server. Das Dokument beschreibt diese Dienste und die zugehörigen Netzwerkports, die sie verwenden. Es wird empfohlen, diese für Administratoren nützliche Anleitung herunterzuladen und auszudrucken Windows-Netzwerke Referenzhandbuch.

Einrichten eines Netzwerkanalysators

Es wurde bereits erwähnt, dass eine Möglichkeit zur Bestimmung der von Anwendungen verwendeten Ports darin besteht, den Datenverkehr zwischen Computern mithilfe eines Netzwerkanalysators zu überwachen. Um den gesamten Datenverkehr zu sehen, müssen Sie einen Netzwerkanalysator an einen Hub oder Portmonitor am Switch anschließen. Jeder Port an einem Hub sieht den gesamten Datenverkehr von jedem Computer, der mit diesem Hub verbunden ist. Hubs sind jedoch eine veraltete Technologie und die meisten Unternehmen ersetzen sie durch Switches, die dies ermöglichen gute Leistung, sind aber für die Analyse unpraktisch: Jeder Switch-Port akzeptiert nur Datenverkehr, der an einen Computer gerichtet ist, der mit diesem Port verbunden ist. Um das gesamte Netzwerk zu analysieren, müssen Sie den an jeden Switch-Port gesendeten Datenverkehr überwachen.

Dies erfordert die Einrichtung eines Port-Monitors (verschiedene Anbieter nennen ihn Span-Port oder gespiegelter Port) auf dem Switch. Die Installation eines Port-Monitors auf einem Cisco Catalyst-Switch von Cisco Systems ist einfach. Sie müssen sich am Switch registrieren und den Aktivierungsmodus aktivieren. Gehen Sie dann zum Konfigurieren des Terminalmodus und geben Sie die Schnittstellennummer des Switch-Ports ein, an den der gesamte überwachte Datenverkehr gesendet werden soll. Abschließend müssen Sie alle überwachten Ports angeben. Die folgenden Befehle überwachen beispielsweise drei Ports Schnelles Ethernet und Weiterleiten einer Kopie des Datenverkehrs an Port 24.

Schnittstelle FastEthernet0/24-Port-Monitor FastEthernet0/1-Port-Monitor FastEthernet0/2-Port-Monitor FastEthernet0/3-Ende

IN in diesem Beispiel Ein an Port 24 angeschlossener Netzwerkanalysator überwacht den gesamten ausgehenden und eingehenden Datenverkehr von Computern, die an die ersten drei Ports des Switches angeschlossen sind. Geben Sie den Befehl ein, um die erstellte Konfiguration anzuzeigen

Erinnerung schreiben

Erste Analyse

Schauen wir uns ein Beispiel für die Analyse von Daten an, die durch ein Netzwerk laufen. Bei Verwendung zur Netzwerkanalyse Linux-Computer Dann können Sie sich mit einem Programm wie IPTraf im Statistikmodus ein umfassendes Bild über die Art und Häufigkeit der Pakete im Netzwerk machen. Verkehrsdetails können mit dem Programm Tcpdump ermittelt werden.

Das TCP/IP-Protokoll ist die Grundlage des Internets, über das Computer Informationen von überall auf der Welt senden und empfangen, unabhängig vom geografischen Standort. Der Zugriff auf einen TCP/IP-Computer in einem anderen Land ist genauso einfach wie der Zugriff auf einen Computer im Nebenzimmer. Der Zugriffsvorgang ist in beiden Fällen identisch, allerdings kann die Verbindung zu einer Maschine im Ausland einige Millisekunden länger dauern. Dadurch können Bürger aller Länder problemlos auf Amazon.com einkaufen. Aufgrund der logischen Nähe wird die Aufgabe jedoch komplizierter Informationssicherheit: Jeder Besitzer eines Computers, der irgendwo auf der Welt mit dem Internet verbunden ist, kann versuchen, eine unbefugte Verbindung mit einem anderen Computer herzustellen.

Es liegt in der Verantwortung von IT-Experten, Firewalls und Systeme zu installieren, um verdächtigen Datenverkehr zu erkennen. Die Paketanalyse ruft Informationen über die Quell- und Ziel-IP-Adressen sowie die beteiligten Netzwerkports ab. Der Wert von Netzwerkports ist dem von IP-Adressen nicht unterlegen; Dies sind die wichtigsten Kriterien zur Unterscheidung nützlichen Datenverkehrs von gefälschten und schädlichen Nachrichten, die in das Netzwerk ein- und ausgehen. Der meiste Internet-Netzwerkverkehr besteht aus TCP- und UDP-Paketen, die Informationen über die Netzwerkports enthalten, die Computer verwenden, um Datenverkehr von einer Anwendung zu einer anderen weiterzuleiten. Voraussetzung für die Firewall- und Netzwerksicherheit ist, dass der Administrator genau weiß, wie Computer und Netzwerkgeräte diese Ports nutzen.

Häfen studieren

Kenntnisse über die Grundprinzipien des Netzwerkportbetriebs sind für jeden von Nutzen Systemadministrator. Mit einem grundlegenden Verständnis der TCP- und UDP-Ports kann ein Administrator eine ausgefallene Netzwerkanwendung selbstständig diagnostizieren oder einen Computer schützen, der auf das Internet zugreift, ohne einen Netzwerktechniker oder Firewall-Berater anrufen zu müssen.

Der erste Teil dieses Artikels (bestehend aus zwei Teilen) beschreibt die grundlegenden Konzepte, die zur Diskussion von Netzwerkports erforderlich sind. Die Position der Netzwerk-Ports in der Gesamtzahl wird angezeigt Netzwerkmodell und die Rolle von Netzwerkports und NAT-Firewall (Network Address Translation) bei der Verbindung von Unternehmenscomputern mit dem Internet. Abschließend werden Netzwerkpunkte angezeigt, an denen der Netzwerkverkehr auf den entsprechenden Netzwerkports bequem identifiziert und gefiltert werden kann. Teil 2 befasst sich mit einigen Ports, die von gängigen Anwendungen und Betriebssystemen verwendet werden, und stellt einige Tools zum Auffinden offener Netzwerkports vor.

Kurzer Überblick über Netzwerkprotokolle

TCP/IP ist eine Reihe von Netzwerkprotokollen, über die Computer miteinander kommunizieren. Bei der TCP/IP-Suite handelt es sich um nichts anderes als im Betriebssystem installierte Softwarecodeteile, die den Zugriff auf diese Protokolle ermöglichen. TCP/IP ist ein Standard, also TCP/IP-Anwendungen Windows-Computer sollte erfolgreich mit einer ähnlichen Anwendung auf einem UNIX-Computer kommunizieren. In den Anfängen der Vernetzung, im Jahr 1983, entwickelten Ingenieure das siebenschichtige OSI-Verbindungsmodell, um Computernetzwerkprozesse vom Kabel bis zur Anwendung zu beschreiben. Das OSI-Modell besteht aus physischen, Datenverbindungs-, Netzwerk-, Transport-, Sitzungs- und Anwendungsschichten. Administratoren, die ständig mit dem Internet und TCP/IP arbeiten, befassen sich hauptsächlich mit den Netzwerk-, Transport- und Anwendungsschichten, für eine erfolgreiche Diagnose ist es jedoch erforderlich, andere Schichten zu kennen. Trotz des fortgeschrittenen Alters des OSI-Modells wird es immer noch von vielen Spezialisten verwendet. Wenn beispielsweise ein Netzwerktechniker über Layer-1- oder Layer-2-Switches spricht oder ein Firewall-Anbieter über Layer-7-Steuerung spricht, spricht er über die im OSI-Modell definierten Schichten.

In diesem Artikel geht es um Netzwerkports auf Schicht 4 – Transport. In der TCP/IP-Suite werden diese Ports von den Protokollen TCP und UDP verwendet. Aber bevor wir dazu kommen detaillierte Beschreibung Auf einer Ebene müssen Sie sich kurz mit sieben vertraut machen OSI-Ebenen und welche Rolle sie in modernen TCP/IP-Netzwerken spielen.

Schichten 1 und 2: Physische Kabel und MAC-Adressen

Schicht 1, physisch, stellt das eigentliche Medium dar, durch das das Signal übertragen wird, z. B. Kupferkabel, Glasfaserkabel oder Funksignale (im Fall von Wi-Fi). Schicht 2, Datenverbindung, beschreibt das Datenformat für die Übertragung im physischen Medium. Auf Schicht 2 werden Pakete in Frames organisiert und es können grundlegende Flusskontroll- und Fehlerbehandlungsfunktionen implementiert werden. IEEE 802.3, besser bekannt als Ethernet, ist heute der am weitesten verbreitete Layer-2-Standard lokale Netzwerke. Ein typischer Netzwerk-Switch ist ein Layer-2-Gerät, über das mehrere Computer physisch verbunden sind und Daten miteinander austauschen. Manchmal können zwei Computer keine Verbindung zueinander herstellen, obwohl die IP-Adressen korrekt zu sein scheinen. Das Problem kann durch Fehler im ARP-Cache (Address Resolution Protocol) verursacht werden, was auf ein Problem auf Ebene 2 hinweist. Darüber hinaus können einige drahtlose Zugangspunkte (Access Point, AP) bieten MAC-Adressfilterung und ermöglichen nur die Verbindung zum drahtlosen AP Netzwerkadapter mit einer bestimmten MAC-Adresse.

Schichten 3 und 4: IP-Adressen und Netzwerkports

Layer 3, Netzwerk, unterstützt Routing. Bei TCP/IP wird das Routing in IP implementiert. Die IP-Adresse des Pakets gehört zur Schicht 3. Netzwerk-Router- Layer-3-Geräte, die die IP-Adressen von Paketen analysieren und die Pakete an einen anderen Router weiterleiten oder Pakete an diesen zustellen lokale Computer. Wenn im Netzwerk ein verdächtiges Paket erkannt wird, besteht der erste Schritt darin, die IP-Adresse des Pakets zu überprüfen, um den Ursprung des Pakets zu ermitteln.

Zusammen mit der Netzwerkschicht ist Schicht 4 (Transport) ein guter Ausgangspunkt für die Diagnose Netzwerkfehler. Im Internet enthält Schicht 4 die TCP- und UDP-Protokolle sowie Informationen über den Netzwerkport, der ein Paket einer bestimmten Anwendung zuordnet. Der Netzwerkstapel eines Computers verwendet eine TCP- oder UDP-Netzwerkportzuordnung zu einer Anwendung, um den Netzwerkverkehr an diese Anwendung weiterzuleiten. Beispielsweise ist TCP-Port 80 einer Webserveranwendung zugeordnet. Diese Zuordnung von Ports zu Anwendungen wird als Dienst bezeichnet.

TCP und UDP sind unterschiedlich. Im Wesentlichen bietet TCP zuverlässige Verbindung um Daten zwischen zwei Anwendungen auszutauschen. Bevor die Kommunikation beginnen kann, müssen die beiden Anwendungen eine Verbindung herstellen, indem sie den dreistufigen TCP-Handshake-Prozess abschließen. UDP ist eher ein Fire-and-Forget-Ansatz. Kommunikationszuverlässigkeit für TCP-Anwendungen wird vom Protokoll bereitgestellt und die UDP-Anwendung muss die Zuverlässigkeit der Verbindung unabhängig überprüfen.

Der Netzwerkport ist eine Zahl zwischen 1 und 65535, die angegeben und beiden Anwendungen bekannt ist, zwischen denen die Kommunikation hergestellt wird. Beispielsweise sendet ein Client normalerweise eine unverschlüsselte Anfrage an den Server an der Zieladresse am TCP-Port 80. Normalerweise sendet der Computer DNS-Abfrage an den DNS-Server an der Zieladresse am UDP-Port 53. Client und Server verfügen über eine Quell- und Ziel-IP-Adresse sowie einen Quell- und Ziel-Netzwerkport, die unterschiedlich sein können. Historisch gesehen werden alle Portnummern unter 1024 als „bekannte Portnummern“ bezeichnet und sind bei der Internet Assigned Numbers Authority (IANA) registriert. Auf einigen Betriebssystemen können nur Systemprozesse Ports in diesem Bereich verwenden. Darüber hinaus können Organisationen die Ports 1024 bis 49151 bei der IANA registrieren, um den Port ihrer Anwendung zuzuordnen. Diese Registrierung bietet eine Struktur, die dabei hilft, Konflikte zwischen Anwendungen zu vermeiden, die versuchen, dieselbe Portnummer zu verwenden. Im Allgemeinen hindert eine Anwendung jedoch nichts daran, einen bestimmten Port anzufordern, solange dieser nicht von einem anderen aktiven Programm belegt ist.

In der Vergangenheit konnte der Server an Ports mit niedriger Nummer lauschen und der Client konnte eine Verbindung an einem Port mit hoher Nummer (über 1024) initiieren. Beispielsweise könnte ein Web-Client eine Verbindung zu einem Webserver am Zielport 80 herstellen, aber einen zufällig ausgewählten Quellport, z. B. TCP-Port 1025, zuordnen. Wenn er dem Client antwortet, adressiert der Webserver das Paket an den Client mit der Quelle Port 80 und Zielport 1025. Die Kombination aus IP-Adresse und Port wird als Socket bezeichnet und muss auf dem Computer eindeutig sein. Aus diesem Grund müssen Sie beim Einrichten eines Webservers mit zwei separaten Websites auf demselben Computer mehrere IP-Adressen verwenden, z. B. Adresse1:80 und Adresse2:80, oder den Webserver so konfigurieren, dass er mehrere Netzwerkports überwacht, z als Adresse1:80 und Adresse1:81. Einige Webserver ermöglichen die Ausführung mehrerer Websites auf einem einzigen Port, indem sie einen Host-Header anfordern. Diese Funktion wird jedoch tatsächlich von der Webserveranwendung auf einer höheren Ebene 7 ausgeführt.

Als in Betriebssystemen und Anwendungen Netzwerkfunktionen verfügbar wurden, begannen Programmierer, Portnummern über 1024 zu verwenden, ohne alle Anwendungen bei der IANA zu registrieren. Wenn Sie im Internet nach einem beliebigen Netzwerkport suchen, können Sie in der Regel schnell Informationen zu Anwendungen finden, die diesen Port verwenden. Oder Sie können nach bekannten Häfen suchen und viele Websites finden, die die häufigsten Häfen auflisten.

Wenn Sie Netzwerkanwendungen auf einem Computer blockieren oder Firewall-Fehler beheben, besteht die meiste Arbeit aus der Klassifizierung und Filterung von Layer-3-IP-Adressen sowie Layer-4-Protokollen und Netzwerkports. Um schnell zwischen legitimem und verdächtigem Datenverkehr zu unterscheiden, sollten Sie lernen, die 20 häufigsten zu erkennen Die im Unternehmen weit verbreiteten TCP- und UDP-Ports.

Das Erkennen und Kennenlernen von Netzwerkports geht über das Zuweisen von Firewall-Regeln hinaus. Einige Microsoft-Sicherheitspatches beschreiben beispielsweise, wie NetBIOS-Ports geschlossen werden. Diese Maßnahme trägt dazu bei, die Verbreitung von Würmern zu begrenzen, die über Schwachstellen im Betriebssystem eindringen. Wenn Sie wissen, wie und wo diese Ports geschlossen werden müssen, können Sie Netzwerksicherheitsrisiken reduzieren und gleichzeitig die Bereitstellung eines kritischen Patches vorbereiten.

Und direkt zu Level 7

Von Layer 5 (Sitzung) und Layer 6 (Präsentation) hört man heutzutage selten, aber Layer 7 (Anwendung) ist ein heißes Thema unter Firewall-Anbietern. Der neueste Trend in der Entwicklung Netzwerk-Firewalls- Kontrolle auf Ebene 7, die die Methoden beschreibt, mit denen der Betrieb der Anwendung analysiert wird Netzwerkprotokolle. Durch die Analyse der Nutzlast eines Netzwerkpakets kann eine Firewall feststellen, ob der sie passierende Datenverkehr legitim ist. Beispielsweise enthält eine Webanforderung eine GET-Anweisung in einem Layer-4-Paket (TCP-Port 80). Wenn Ihre Firewall über Layer-7-Funktionalität verfügt, können Sie überprüfen, ob die GET-Anweisung korrekt ist. Ein weiteres Beispiel ist, dass viele Peer-to-Peer-Filesharing-Programme (P2P) Port 80 kapern können. Dadurch kann ein Außenstehender das Programm so konfigurieren, dass es einen Port seiner Wahl verwendet – höchstwahrscheinlich einen Port, der offen bleiben sollte eine bestimmte Firewall. Wenn die Mitarbeiter eines Unternehmens Zugriff auf das Internet benötigen, muss Port 80 geöffnet sein. Um jedoch legitimen Webverkehr von P2P-Verkehr zu unterscheiden, der von jemandem an Port 80 geleitet wird, muss die Firewall eine Layer-7-Kontrolle ermöglichen.

Rolle der Firewall

Nachdem wir die Netzwerkschichten beschrieben haben, können wir mit der Beschreibung des Mechanismus für die Kommunikation zwischen Netzwerkanwendungen über Firewalls fortfahren und dabei besonderes Augenmerk auf die verwendeten Netzwerkports legen. Im folgenden Beispiel kommuniziert ein Client-Browser mit einem Webserver auf der anderen Seite der Firewall, so wie ein Firmenmitarbeiter mit einem Webserver im Internet kommunizieren würde.

Die meisten Internet-Firewalls arbeiten auf den Schichten 3 und 4, um eingehenden und ausgehenden Netzwerkverkehr zu prüfen und ihn dann zuzulassen oder zu blockieren. Im Allgemeinen schreibt der Administrator Zugriffskontrolllisten (ACLs), die die IP-Adressen und Netzwerkports des blockierten oder zugelassenen Datenverkehrs definieren. Um beispielsweise auf das Internet zuzugreifen, müssen Sie einen Browser starten und ihn auf die Website verweisen. Der Computer initiiert eine ausgehende Verbindung, indem er eine Folge von IP-Paketen sendet, die aus Header- und Nutzdateninformationen bestehen. Der Header enthält Routeninformationen und andere Paketattribute. Firewall-Regeln werden oft unter Berücksichtigung von Routing-Informationen geschrieben und enthalten typischerweise die Quell- und Ziel-IP-Adressen (Schicht 3) und das Paketprotokoll (Schicht 4). Beim Surfen im Web gehört die Ziel-IP-Adresse dem Webserver, und das Protokoll und der Zielport (standardmäßig) sind TCP 80. Die Quell-IP-Adresse ist die Adresse des Computers, von dem aus der Benutzer auf das Web zugreift, und die Quelle Port ist normalerweise eine dynamisch zugewiesene Nummer größer als 1024. Die nützlichen Informationen sind unabhängig vom Header und werden von der Benutzeranwendung generiert. In diesem Fall handelt es sich um eine Anfrage an den Webserver, eine Webseite bereitzustellen.

Die Firewall analysiert den ausgehenden Datenverkehr und lässt ihn gemäß den Firewall-Regeln zu. Viele Unternehmen erlauben den gesamten ausgehenden Datenverkehr aus ihrem Netzwerk. Dieser Ansatz vereinfacht die Konfiguration und Bereitstellung, verringert jedoch die Sicherheit, da keine Kontrolle über die Daten besteht, die das Netzwerk verlassen. Beispielsweise kann ein Trojaner einen Computer in einem Unternehmensnetzwerk infizieren und Informationen von diesem Computer an einen anderen Computer im Internet senden. Es ist sinnvoll, Zugriffskontrolllisten zu erstellen, um solche ausgehenden Informationen zu blockieren.

Im Gegensatz zum ausgehenden Ansatz vieler Firewalls sind die meisten so konfiguriert, dass sie eingehenden Datenverkehr blockieren. Typischerweise lassen Firewalls eingehenden Datenverkehr nur in zwei Situationen zu. Beim ersten handelt es sich um Datenverkehr, der als Reaktion auf eine vom Benutzer zuvor gesendete ausgehende Anfrage eintrifft. Wenn Sie Ihren Browser beispielsweise auf die Adresse einer Webseite verweisen, lässt die Firewall zu, dass HTML-Code und andere Komponenten der Webseite in das Netzwerk gelangen. Der zweite Fall ist die Platzierung eines internen Dienstes im Internet, wie z Mail-Server, Web- oder FTP-Site. Das Hosten eines solchen Dienstes wird üblicherweise als Portübersetzung oder Serververöffentlichung bezeichnet. Die Implementierung der Portübersetzung variiert je nach Firewall-Anbieter, das zugrunde liegende Prinzip ist jedoch dasselbe. Der Administrator definiert einen Dienst, beispielsweise TCP-Port 80 für den Webserver und einen Back-End-Server zum Hosten des Dienstes. Wenn Pakete durch die Firewall gelangen Frontend Entsprechend einem bestimmten Dienst leitet der Portübersetzungsmechanismus sie an einen bestimmten Computer im Netzwerk weiter, der hinter einer Firewall verborgen ist. Die Portübersetzung wird in Verbindung mit dem unten beschriebenen NAT-Dienst verwendet.

NAT-Grundlagen

Mit NAT können sich mehrere Computer in einem Unternehmen einen kleinen öffentlichen IP-Adressraum teilen. Der DHCP-Server eines Unternehmens kann eine IP-Adresse aus einem der privaten, nicht über das Internet routbaren IP-Adressblöcke zuweisen, die in Request for Comments (RFC) Nr. 1918 definiert sind. Mehrere Unternehmen können sich auch denselben privaten IP-Adressraum teilen. Beispiele für private IP-Subnetze sind 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16. Internet-Router blockieren alle Pakete, die an eine der privaten Adressen gerichtet sind. NAT ist eine Firewall-Funktion, die es Unternehmen ermöglicht, über private IP-Adressen mit anderen Computern im Internet zu kommunizieren. Die Firewall versteht es, ein- und ausgehenden Datenverkehr in private interne IP-Adressen zu übersetzen, sodass jeder Computer auf das Internet zugreifen kann.

UDP-ANWENDUNGEN

UDP unterstützt neben vielen anderen Anwendungen auch das Trivial File Transfer Protocol (TFTP), das Simple Network Management Protocol (SNMP) und das Routing Information Protocol (RIP).
TFTP (Typisches Dateiübertragungsprotokoll). Es wird hauptsächlich zum Kopieren und Installieren eines Betriebssystems auf einem Computer von einem Dateiserver verwendet.

TFTP. TFTP ist eine kleinere Anwendung als File Transfer Protocol (FTP). Typischerweise wird TFTP in Netzwerken zur einfachen Dateiübertragung verwendet. TFTP verfügt über einen eigenen Fehlerkontroll- und Sequenznummerierungsmechanismus und erfordert daher keinen Zusatzleitungen auf der Transportebene.

SNMP (Simple Network Management Protocol) überwacht und verwaltet Netzwerke und daran angeschlossene Geräte und sammelt Informationen über die Netzwerkleistung. SNMP sendet Protokolldatenblocknachrichten, die dies ermöglichen Software Netzwerkmanagement-Steuergeräte im Netzwerk.

RIP (Routing Information Protocol) ist ein internes Routing-Protokoll, das heißt, es wird innerhalb einer Organisation, aber nicht im Internet verwendet.

TCP-ANWENDUNGEN

TCP unterstützt neben vielen anderen Anwendungen auch FTP, Telnet und Simple Mail Transfer Protocol (SMTP).

FTP (File Transfer Protocol) ist eine voll funktionsfähige Anwendung, die zum Kopieren von Dateien mithilfe einer laufenden Clientanwendung auf einem Computer verwendet wird, die mit einer FTP-Serveranwendung auf einem anderen Computer verbunden ist entfernter Computer. Mit dieser Anwendung können Dateien empfangen und versendet werden.

Mit Telnet können Sie Terminalsitzungen mit einem Remote-Gerät einrichten, normalerweise einem UNIX-Host, Router oder Switch. Dies gibt dem Netzwerkadministrator die Möglichkeit zur Verwaltung Netzwerkgerät, als wäre es in unmittelbarer Nähe, und die serielle Schnittstelle des Computers wurde zur Steuerung verwendet. Der Nutzen von Telnet ist auf Systeme beschränkt, die eine zeichenbasierte Befehlssyntax verwenden. Telnet unterstützt keine Steuerung der grafischen Umgebung des Benutzers.

SMTP (Simple Mail Transfer Protocol) ist ein E-Mail-Übertragungsprotokoll für das Internet. Es unterstützt die Übertragung von E-Mail-Nachrichten zwischen Mail-Clients und Mailserver.

Bekannte Häfen
Bekannte Ports werden von der IANA zugewiesen und reichen von 1023 und darunter. Sie sind Anwendungen zugeordnet, die für das Internet von zentraler Bedeutung sind.

REGISTRIERTE HÄFEN
Registrierte Ports werden von der IANA katalogisiert und reichen von 1024 bis 49151. Diese Ports werden von lizenzierten Anwendungen wie Lotus Mail verwendet.

DYNAMISCH ZUGEWIESENE PORTS
Dynamisch zugewiesene Ports sind von 49152 bis 65535 nummeriert. Die Nummern für diese Ports werden dynamisch für die Dauer einer bestimmten Sitzung zugewiesen.



IN VERBINDUNG STEHENDE ARTIKEL