Ports für Synology Anwendungen und Pakete

Einleitung:

Was sind Ports und wofür werden sie benötigt.?

Zur Datenübertragung nutzen Computersysteme, unabhängig davon welches Betriebssystem verwendet, wird ein Transportprotokoll und  sogenannten definierten „Port“. Man könnte dieses Port auch als Anschluß benennen und das Transport Protokoll:
Transportdienst, der für die Übermittlung der Daten (IP-Pakete) verantwortlich ist.

Viele Anwendungen nutzen eine fest definierte von der IEEE als Standard definierte Kombination aus Protokoll und Port. Also eine Kombination aus Übertragungsweg (das Protokoll) und der Anschluss-Nummer (die Ports). Ich versuche einmal das Grundprinzip hier an einem der meist verbreiteten Dienste wie dem Versenden und Empfangen einer E-Mail, zu verdeutlichen.

Für den E-Mail-Nachrichten Verkehr wurden vom IEEE gleich drei Protokolle und Ports als Standard definiert:

SMTP (Simple Mail Protokoll)

Für das Protokoll SMTP wurde der Port 25 als Standard festgelegt: Um eine E-Mail von einem Computer aus zu versenden, nutzen wir also den Port 25 um Kontakt mit dem Postfachserver aufzunehmen. Dieser verwendet ebenfalls SMTP und damit ebenfalls den Anschluss 25, um die Nachricht zum Ziel (sprich Empfänger Mail-Server) zu versenden. Weitere Ports wie 465 und 587 finden Anwendung wenn eine gesicherte Verbindung genutzt wird. Allerdings setzt der Port 587 eine vorherige Authentifizierung voraus, was aber heute eh schon zum Standard geworden ist und in jedem MAIL-Client eingestellt werden kann.

POP3 (Post Office Protokoll Vers. 3)

Das POP3 Protokoll verwendet standardmäßig den Port 110 zum Empfang von E-Mail-Nachrichten. Ein E-Mail Client wie Outlook, Windows Mail, oder die Mail-App von mac OS nutzen POP3 und somit den Port (Anschluss-Nummer) 110 um E-Mails vom Postfachserver aus dem Internet oder von dem eigenen Mailserver (z.B. Synology Mail Plus Server) herunter zu laden.

Da sämtliche DSL-Router schon ab Werk eine Firewall verwenden und alle eingehenden Verbindung von Außen (also aus dem Internet) blockieren würden, muss der Client (sprich der E-Mail Client z.B. Outook also zuerst eine Verbindung zum Mailserver über den Port 110 initiieren, damit die E-Mails aus dem Internet den Weg zu dem heimischen PC finden.

Der E-Mail-Server im Internet könnte also von alleine keine aktive Verbindung zum Outlook oder Thunderbird aufbauen, da er an der integrierten Firewall vom DSL-Router abgelehnt werden würde. Der Computer-Client im lokalen Netzwerk muss also die Verbindung über den Port 110 also erst aufbauen, damit er die Nachrichten via POP3 abholen kann.

POP3 mit SSL

Verwendet der E-Mail Client (z.B. Outlook, Thunderbird u.ä.)  jedoch eine gesicherte Verbindung über SSL oder TLS dann muss der Port auf 995 umgestellt werden, da der Mail-Server im Internet sonst eine gesicherte Verbindung über den Port 110 ablehnen würde. Dabei wird zusatzlich eine verschlüsselte Kommunikation vom Client zum Mail-Server verwendet.

IMAP (Internet Message Access Protokoll)

Für IMAP wurde der Port 143 vom IEEE festgelegt. Im Unterschied zum POP3 werden die Mail-Nachrichten dabei aber nicht abgerufen und vom Postfachserver entfernt, sondern lediglich ein Spiegelbild vom Postfach zum Client übertragen. Bei der verschlüsselten Kommunikation muss der Port von 143 auf 993 umgestellt werden.

Fazit

Man kann sich also das Ganze ungefähr so vorstellen:

  • Ich versende einen Brief (die E-Mail) und werfe den in den in einen speziellen Schlitz (Port 25, 465, 587) im öffentlichen Briefkasten (Übertragung zu meinem E-Mail-Provider)
  • Bei einer verschlüsselten Verbindung würde das so aussehen, als ob ich ein Rohrpost verwende, von meinem Schreibtisch bis zum Briefkasten (Ich bin sicher, der Brief landet unversehrt im Briefkasten)
  • Der Postdienstleister schaut in den Briefkasten und lädt den Brief (meine Mail) in sein Auto und bringt es zu der Stadt wo sich der Empfänger befindet (Transport zum E-Mail-Provider des Empfängers, z.B. nach GMX.de). Dazu verwendet er das SMTP-Protokoll und in den meisten Fällen ebenfalls eine Verschlüsselung.(so hoffe ich doch)
  • Im Postverteilerzentrum in der Zielstadt (GMX.de) sortiert der Postfachdienstleister nun den Brief (meine Mail) in meinen Briefkasten (Postfach) und dort verbleibt der Brief jetzt solange, bis der Empfänger die Nachricht aus seinem Postfach abholt. Und das wird er mit einem der angegeben Ports machen (Port 110, 995, 143, 993).

Auch bei Synology sind bestimmten Anwendungen, schon fest definierte Ports zugewiesen, das hat den entscheidenden Vorteil, dass sich der Benutzer nicht erst mit den Protokollen herum schlagen muss, wenn er eine Anwendung oder ein Paket installiert, das der Standard bereits fest definiert ist.

Da aber die interne Firewall vom Router z.B. der Fritz.Box oder dem Speedport, von Werk aus so eingestellt sind, dass sie keine eingehenden Verbindung zulassen, müssen für jede Anwendung die benötigten Ports und das dazugehörige Transport Protokoll wie z.B. TCP oder UDP zuerst einmal konfiguriert werden. In der Fachsprache sind das „Firewall-Regeln„, im Volksmund wird das auch gern als Postweiterleitung definiert.

Benötige ich also Zugriff aus dem Internet auf eine bestimmte Anwendung meiner Synology DiskStation z.B. auf den Fileserver oder die rsync-Funktion, so muss ich die entsprechenden Regeln im Router einrichten und die Ports und Protokolle definieren. Dazu gibt es von Synology eine lange Liste mit Anwendungen und deren Ports die von diesen standardmäßig verwendet werden. Allerdings sind diese Informationen öffentlich und man kann sehr wohl davon ausgehen, dass sich auch die Cyberkrimminellen damit beschäftigt haben und diese Standard-Ports grundsätzlich im Internet absuchen.

Deshalb wäre es unbedingt notwendig, die „offiziellen Ports“ nach „Außen“ zu verschleiern oder nicht zu verwenden, oder diese Einrichtung gleich einem Netzwerkprofi wie uns zu übergeben.

 

Hier sind einmal die wichtigten Ports und Ihre Anwendungen, für den täglichen Gebrauch:

Anwendung und Standard Port Synology
Anwendung Portnummer Protokoll
Synology Assistant 9999, 9998, 9997 UDP
rsync, remote time backup 873, 22 (bei Verschlüsselung über SSH) TCP
DSM 5000 (HTTP), 5001 (HTTPS) TCP
File Station 5000 (HTTP), 5001 (HTTPS) TCP
WebDAV, CalDAV 5005 (HTTP, (5006 (HTTPS) TCP
Calendar 38008,38443 TCP
CardDAV 8008 (HTTP), 8443 (HTTPS) TCP
Cloud Station 6690 TCP
Drive 5000 (HTTP), 5001 (HTTPS), 6690 TCP
Medien Server 1900 (UPnP), 50001 (Inhalte durchsuchen), 50002 (Inhalte übertragen) TCP/UDP
Surveillance Station 9900 (HTTP), 9001 (HTTPS) TCP
Moments 5000 (HTTP), 5001 (HTTPS) TCP
Note Station 5000 (HTTP), 5001 (HTTPS) TCP
VPN Server (OpenVPN) 1194 UDP
VPN Server (PPTP) 1723 TCP
VPN Server (L2TP/IPSec) 500, 1701,4500 UDP (GRE)
POP3 (m. SSL) 110 (995) TCP
SMTP 25, 587, 465 TCP
IMAP (m. SSL) 143 (993) TCP

Eine vollständige Liste befindet sich auf der Synology-Hilfe Seite

Hilfsmittel:

Eine der ersten Anlaufstellen zum Prüfen der Port-Einstellungen ist sicherlich der Online-Scanner CanYouSeeMe.org
Ein umfangreiche Liste von verfügbaren, oder bereits belegten Ports und deren Anwendungen findet sich unter adminsub.net