Ports für Anwendungen.

Einleitung:

Was sind Ports und wofür werden sie benötigt.?

Zur Datenübertragung nutzen Computersysteme, unabhängig davon welches Betriebssystem verwendet wird ein Transportprotokoll und einen sogeannten definierten „Port“. Man könnte dieses Port auch als Anschluß bennenen und das Transport Protokoll Transportdienst, der für die Übermittlung der Daten verantwortlich ist.

Viele Anwendungen nutzen eine fest definiierte von der IEEE als Standard definierte Kombination aus Protokoll und Port. Also einer Kombination aus Übertragungsweg und Anschluss-Nummer. Ich möchte das Prinzp hier einmal an einem der meistverbreiteten Dienste wie dem Versenden und Empfangen einer E-Mail, verdeutlichen.

Für den E-Mail-nachrichten Verkehr wurden vom IEEE gleich drei Protokolle und Ports als Standard definiert:

SMTP (Simple Mail Protokoll)

Für das Protokoll SMTP wurde der Port 25 als Standard festgelegt: Um eine E-Mail von einem Computer aus zu versenden,nutzen wir also den Port 25 um Kontakt mit dem Postfachserver aufzunehmen, Dieser verwendet ebenfalls SMTP und damit 25 um die nachricht zum Ziel (sprich Empfänger Mail-Server) zu versenden. Weitere Ports wie 465 und 587 finden Anwendung wenn eine gesichterte verbindung genutzt wird. Allerdings setzt der Port 587 eine vorherige Authentifizierung voraus, was aber heute eh schon zum Standard geworden ist.

POP3 (Post Office Protokoll Vers. 3)

Das POP3 Protokoll verwendet standardmäßig den Port 110 zum Empfang von E-Mail-Nachrichten. Ein E-Mail Client wie Outlook, Windows Mail, oder die Mail-App von mac OS nutzen POP3 und somit den Port (Anschluss-Nummer) 110 um E-Mails vom Postfachserver im Internet herunter zu laden.

Da sämtliche DSL-Router schon ab Werk eine Firewall verwenden und alle eingehenden Verbindung von Außen (aus dem Internet) blockieren würden, muss der Client (sprich der E-Mail Client z.B. Outook also zuerst eine Verbindung zum Mailserver über den Port 110 initieren, damit die E-Mails aus dem Internet zu dem heimischen PC finden. Der E-Mail-Server im Internet könnte also von alleine keine aktive verbindung zum Outlook aufbauen, da er an der integrierten Firewall vom DSL-Router abgelehnt werden würde. Der Computer-Client im lokalen Netzwerk muss also die Verbindung über den Port 110 also erst aufbauen.

POP3 mit SSL

Verwndet der E-Mail Client z.B. Outlook eine gesicherte Verbindung über SSL oder TLS dann muss der Port auf 995 umgestellt werden, da der Mail-Server im Internet sonst eine gesicherte Verbindung über den Port 110 ablehnen würde. Dabei wird zusatzlich eine verschlüsselte Kommunikation vom Client zum Mail-Server verwendet.

IMAP (Internet Message Access Protokoll)

Für IMAP wurde der Port 143 vom IEEE festgelegt. Im Unterschied zum POP3 werden die Mail-Nachrichten dabei aber nicht abgerufen und vom Postfachserver entfernt, sondern lediglich ein Spiegelbild vom Postfach zum Client übertragen. Bei der verschlüsselten Kommunikatioten muss der Port von 143 auf 993 umgestellt werden.

Fazit

Man kann sich also das Ganze ungefähr so vorstellen:

  • Ich versende einen Brief (die E-Mail) und werfe den in den in einen speziellen Schlitz (Port 25, 465, 587) im öffentlichen Briefkasten (Übertragung zu meinem E-Mail-Provider)
  • Bei einer verschlüsselten Verbindung würde das so aussehen, als ob ich ein Rohrpost verwende, von meinem Schreibtisch bis zum Briefkasten (Ich bin sicher der Brief landet unversehrt im Briefkasten)
  • Der Postdienstleister schaut in den Briefkasten und lädt den brief (meine Mail) in sein Auto und bringt es zu der Stadt wo sich der Empfänger befindet (Transport zum E-Mail-Provider des Empfängers, z.B. nach GMX.de) Dazu verwendet er das SMTP-Protokoll und in den meisten Fällen ebenfalls eine Verschlüsselung.(so hoffe ich doch)
  • Im Postverteiler in der Zielstadt (GMX.de) sorteiert der Postfachdienstleister nun den Brief (meine Mail) in meinen Briefkasten Postfach) und dort verbleibt der Brief jetzt solange, bis der Empfänger die Nachricht aus seinem Postfach abholt.(Port 110, 995, 143, 993).

Auch bei Synology sind bestimmten Anwendung  schon fest definierte Ports zugewiesen, das hat den entscheidenden Vorteil, dass sich der Benutzer nicht erst mit den Protokollen herum schalgen muss, wenn er eine Anwendung oder ein Paket installiert, das der Standard bereits fest definiert ist.

Da aber die interne Firewall vom Router z.B. der Fritz.Box oder dem Speedport, von Werk aus so eingestellt sind, dass sie keine eingehenden Verbindung zulassen, müssen für jede Anwendung die benötigten Ports und das dazugehörige Transport Protokoll wie z.B. TCP oder UDP zuerst einmal konfiguriert werden. In der Fachsprache sind das „Firewall-Regeln“, im Volksmund wird das auch gern als Portweiterleitung definiert.

Benötige ich also Zugriff aus dem Internet auf eine bestimmte Anwendung meiner Synology Diskstation z.B. auf den Fileserver oder die rsync-Funktion, so muss ich die entsprechenden Regeln im Router einrichten und die Ports und Protokolle definiren. Dazu gibt es von Synology eine lange Liste mit Anwendungen und deren Ports die von diesen standardmäßig verwendet werden. Allerdings sind diese informationen öffentlich nd man kann sehr wohl davon ausgehen, dass sich auch die Cyberkrimminellen damit beschäftigt haben und diese Standard-Ports grundsätzlich im Internet absuchen.

Deshalb wäre es unbedingt notwendig, die „offiziellen Ports“ nach „Außen“ zu verschleiern oder nicht zu verwenden, oder diese Einrichtung gleich einem Netzwerkprofi wie uns zu übergeben.

Hier sind einmal die wichtigten Ports und Ihre Anwendungen, für den täglichen Gebrauch:

Anwendung und Standard Port Synology
Anwendung Portnummer Protokoll
Synology Assistant 9999, 9998, 9997 UDP
rsync, remote time backup 873, 22 (bei Verschlüsselung über SSH) TCP
DSM 5000 (HTTP), 5001 (HTTPS) TCP
File Station 5000 (HTTP), 5001 (HTTPS) TCP
WebDAV, CalDAV 5005 (HTTP, (5006 (HTTPS) TCP
Calendar 38008,38443 TCP
CardDAV 8008 (HTTP), 8443 (HTTPS) TCP
Cloud Station 6690 TCP
Drive 5000 (HTTP), 5001 (HTTPS), 6690 TCP
Medien Server 1900 (UPnP), 50001 (Inhalte durchsuchen), 50002 (Inhalte übertragen) TCP/UDP
Surveillance Station 9900 (HTTP), 9001 (HTTPS) TCP
Moments 5000 (HTTP), 5001 (HTTPS) TCP
Note Station 5000 (HTTP), 5001 (HTTPS) TCP
VPN Server (OpenVPN) 1194 UDP
VPN Server (PPTP) 1723 TCP
VPN Server (L2TP/IPSec) 500, 1701,4500 UDP (GRE)

Eine vollständige Liste befindet sich auf der Synology-Hilfe Seite

Hilfsmittel:

Eine der ersten Anlaufstellen zum Prüfen der Port-Einstellungen ist sicherlich der Online-Scanner CanYouSeeMe.org
Ein umfangreiche Liste von verfügbaren, oder bereits belegten Ports und deren Anwendungen findet sich unter adminsub.net