Sperren sollte man die TCP- und UDP-Ports 137 bis 139, weil dies die NetBIOSPorts
für die Netzwerk-Freigaben sind. Grundsätzlich sollte man bereits in der Netzwerk-
Konfiguration die Datei- und Druckerfreigabe für TCP/IP abschalten (s. unter
Begriffserläuterungen NetBIOS), eine zusätzliche Sicherheit im Router schadet
aber nicht.
Wenn man nicht darauf angewiesen ist, entfernte w2k/XP-Netze über TCP/IP zu verbinden,
sollte man in der Router-Firewall auch den TCP-Port 445 abschalten, weil
w2k/XP über diesen Port die Datei- und Druckerfreigabe managen (direct hosting, s.
unter Begriffserläuterungen NetBIOS). Bei der Desktop-Firewall, muss man natürlich
aufpassen, dass die netzinternen IP-Adressen (z.B. 192.168.1.xxx) nicht blockiert
werden, wenn auch der LAN-Verkehr mittels direct hosting über TCP/IP läuft.
Der DNS-Port (53) muss für den DNS-Server offen gehalten werden. Dazu muss
man die IP-Adresse(n) des verwandten DNS-Servers (z.B. beim Provider) erfragen
(Glauben Sie nicht den Behauptungen auf einer Vielzahl von Internet-Seiten, die
DNS-Server von t-online hätten die Adressen 194.25.2.129 bis 194.25.2.134. Das ist
in dieser Allgemeinheit nicht richtig. Wie Sie die richtigen Adressen finden, habe ich
unter Begriffserläuterungen IP-Adresse beschrieben.).
34
___________________________
Hinweise
Offen bleiben müssen die Ports 80 (http) und 443 (https) bzw. die entsprechenden
Proxy-Ports 8080 oder 3128, wenn der Provider einen Proxy-Server verwendet und
(!) diese Ports vorgibt (was z.B. bei t-online nicht der Fall ist).
Für E-Mail müssen die Ports 110 (POP3) und 25 (SMTP) bzw. 143 (IMAP) offen
bleiben (u.U. auch Port 995 [SPOP3], wenn eingehende Mails über eine sichere Verbindung
laufen). Der Newsreader benutzt den Port 119 (NNTP).
Port 75 ist reserviert für jede Art privater Telefonieanwendungen (also insbesondere
für Telefax). Dieser Port muss nicht explizit freigeschaltet werden, damit die Anwendungen
[z.B. RVS COM Lite, WinPhone Phone Tools], die auf den virtuellen Terminal-
Adapter aufsetzen, funktionieren.
Über die UDP-Ports 67 und 68 wird die Adressvergabe vom Router an die angeschlossenen
Rechner bei eingeschaltetem DHCP abgewickelt. Auch diese Ports
müssen nicht explizit freigeschaltet werden, damit DHCP funktioniert.
Wenn man ftp: (File Transfer Protocol) benutzt, sind in der Router-Firewall umfangreiche
Freigaben erforderlich (s. hierzu c't 21/01 S. 153 sowie die Beispielkonfiguration).
Der Remote-Port 21 muss für alle IP-Adressen freigeschaltet werden. Bei aktivem
ftp (bei dieser Form werden die Daten aktiv von der Gegenstelle auf den eigenen
Rechner geladen, während man sich beim passiven ftp die Daten selbst herunterlädt)
muss der Port 20 für eingehende Datenpakete mit beliebiger Absende-IPAdresse
auf alle Ports oberhalb 1024 des eigenen Rechners freigeschaltet werden.
Passives ftp erfordert die Freigabe aller Ports oberhalb 1024 für ausgehende Verbindungen
auf dem eigenen und allen Zielrechnern. Das Risiko kann man vielleicht dadurch
reduzieren, dass man eine Regel erstellt, die normalerweise den ftp-Verkehr
unterbindet und diese Regel im Einzelfall deaktiviert, weil man tatsächlich eine ftpÜbertragung
starten will. Sonst kann nur eine Software-Desktop-Firewall helfen, die
nur bestimmte Programme für diese Übertragungsart zulässt (s. dazu noch unten).
Eine komplette Port-Liste gibt es im Internet: www.iana.org/assignments/portnumbers
(ca. 175 DIN A4-Seiten !)
|