Ports testen: Offene Ports mit einem Port-Check prüfen

Offene Ports sind nicht nur Kom­mu­ni­ka­ti­ons­punk­te zwischen Ihren Systemen und dem Internet bzw. anderen Rechnern, sondern auch An­griffs­punk­te für Schad­soft­ware und Hacker. Ein re­gel­mä­ßi­ger Port-Check sorgt dafür, dass nur die Ports offen sind, die Sie auch benötigen. Welche Methoden sich anbieten, um Ports zu über­prü­fen, verraten wir Ihnen hier.

Ganz gleich, ob Sie sich nur beiläufig oder re­gel­mä­ßig mit Netz­wer­ken und Computern be­schäf­ti­gen – früher oder später stoßen Sie auf den Begriff „Port“. Port ist das englische Wort für Hafen, und genau wie Häfen Durch­gangs- und Kon­troll­punk­te für Waren sind, bilden so­ge­nann­te Netzwerk-Ports die Tore für Daten, die zwischen Rechnern und dem Internet bzw. anderen Rechnern über­tra­gen werden.

Port­num­mern sind Be­stand­teil einer IP-Adresse und er­mög­li­chen es, Da­ten­pa­ke­te einer spe­zi­fi­schen IP und be­stimm­ten Diensten zu­zu­ord­nen. In Ver­bin­dung mit einer IP-Adresse ergibt ein Port somit die voll­stän­di­ge Ziel- bzw. Ab­sen­der­adres­se einer Anwendung.

Da in Be­triebs­sys­te­men, Apps und anderen Diensten viele Prozesse gleich­zei­tig laufen und Daten parallel über­tra­gen werden, sind mehrere, offene Ports er­for­der­lich. Eine Kern­funk­ti­on von Ports ist es, Systeme zu entlasten, bei mehreren Ver­bin­dun­gen ver­schie­de­ne Ports gleich­zei­tig zu nutzen und Da­ten­pa­ke­te der richtigen Anwendung zu­zu­ord­nen. Um Ports zu un­ter­schei­den, sind diese mit Nummern von 0 bis 65.535 versehen – jeder Computer verfügt insgesamt über 65.536 Ports.

Bestimmte Ports sind für spe­zi­fi­sche An­wen­dun­gen (z. B. Mail­ser­ver oder Webseiten) sowie wichtige Trans­port­pro­to­kol­le wie HTTP, FTP und Telnet re­ser­viert. Diese re­ser­vier­ten Ports werden von der IANA (Internet Assigned Numbers Authority) verteilt und nennen sich stan­dar­di­sier­te oder Well Known Ports. Andere wiederum sind für re­gis­trier­te Dienste sowie für dy­na­mi­sche Clients vor­ge­se­hen. Darüber hinaus gibt es eine große Anzahl von Ports, die dynamisch aus einem Pool vergeben werden.

Die Funk­ti­ons­wei­se von Ports ist relativ einfach: Trans­port­pro­to­kol­le wie UDP (User Datagram Protocol) und TCP (Trans­mis­si­on Control Protocol) über­tra­gen Da­ten­pa­ke­te, indem sie diese einer spe­zi­fi­schen Adresse bestehend aus IP und Port­num­mer zuordnen. Die Ziel­adres­se kann hierbei eine App, ein Dienst, eine Website oder ein be­lie­bi­ges Programm wie ein Web­brow­ser sein. Offene Ports von Ziel­adres­sen „lauschen“ auf Anfragen, die über einen Port von privaten bzw. öf­fent­li­chen IPs ausgehen. Die Ziel­an­wen­dung erfährt den Absender-Port beim Ver­bin­dungs­auf­bau und sendet die ge­wünsch­ten Da­ten­pa­ke­te an die Ab­sen­der­adres­se zurück.

Da un­ge­woll­te Netz­werk­ver­bin­dun­gen zwischen lokalen Rechnern und dem Internet möglichst zu vermeiden sind, steht in der Regel die Router-IP zwischen lokalen IPs und Ziel­adres­sen. Nach außen hin sichtbar und adres­sier­bar ist somit die öf­fent­li­che Router-IP, die auch als Absender von Da­ten­pa­ke­ten erscheint. Pa­ket­fil­ter und Firewall sorgen zudem dafür, dass Pakete, die sich keiner lokalen Anwendung zuordnen lassen, abgelehnt werden. Richtig adres­sier­te Pakete leitet der Router an den Absender-Dienst mittels IP und Port­num­mer weiter.

Re­gel­mä­ßi­ges Port-Scanning ist ein wichtiger Vorgang. Vor allem Sys­tem­ad­mi­nis­tra­to­ren nutzen Port-Scanning, um Da­ten­ver­kehr in kleinen oder großen Netz­wer­ken zu über­wa­chen und Si­cher­heits­lü­cken zu schließen. Ein Port-Check prüft, ob Da­ten­pa­ke­te über vor­ge­se­he­ne Ports ver­schickt werden, ob Firewalls wichtige Ports ungewollt blo­ckie­ren und ob un­ge­nutz­te offene Ports ge­schlos­sen werden sollten. Für einen Port-Check bieten sich ver­schie­de­ne Methoden und Tools an, die wir im Folgenden vor­stel­len.

Ähnlich wie die Ein­ga­be­auf­for­de­rung funk­tio­nie­ren so­ge­nann­te Port-Scanner. Dabei handelt es sich um Software, die offene Ports und zu­ge­las­se­ne Dienste un­ter­sucht. Zu­sätz­lich sind Port-Scanner in der Lage, die Netz­werk­si­cher­heit und -struktur zu un­ter­su­chen. Port-Scanner senden zur Analyse Da­ten­pa­ke­te an eine Ziel­adres­se und werten die re­sul­tie­ren­den Antworten aus, um Ports zu über­prü­fen.

Bei der Anwendung von Port-Scannern ist al­ler­dings Vorsicht geboten. Diese werden nicht nur von Sys­tem­ad­mi­nis­tra­to­ren, sondern auch von Hackern genutzt, um Si­cher­heits­lü­cken für Malware und Angriffe zu ermitteln. Ana­ly­se­da­ten eines Port-Scans sind sensibel, da Ihre Daten für po­ten­zi­el­le Angreifer von Interesse sind. Die Anwendung von Port-Scannern hilft zwar, Si­cher­heits­lü­cken zu schließen, er­mit­tel­te Daten sind jedoch ver­ant­wor­tungs­be­wusst zu behandeln. Darüber hinaus ist ein Port-Check nur auf dem eigenen System oder mit der Erlaubnis des Sys­tem­in­ha­bers durch­zu­füh­ren, da dieser ohne Ein­wil­li­gung rechtlich als An­griffs­ver­such gewertet werden kann.

Advanced Port Scanner ist eine Freeware, mit der sich Ports testen und Netz­werk­ge­rä­te (z. B. Rechner, Router, Smart-Geräte) samt offenem oder ge­schlos­se­nem Port­be­reich auflisten lassen. Der Ana­ly­se­schwer­punkt liegt auf TCP-Ports, ist jedoch um weitere Ports und Pro­to­kol­le er­wei­ter­bar. Zu­sätz­li­che Funk­tio­nen der Scan-Software umfassen Remote-Befehle via RDP und Radmin sowie Port- und Netz­werk­frei­ga­ben.

Nmap ist der klas­si­sche kos­ten­lo­se Port-Scanner, der sich vorrangig an IT-Experten richtet. Nmap wurde ur­sprüng­lich für Linux pro­gram­miert, dient in­zwi­schen jedoch für alle Systeme als Port-Scanner. Erfahrene User können Nmap als Be­fehls­zei­len-Konsole nutzen, während für un­er­fah­re­ne User die über­sicht­li­che­re grafische Zenmap-Ober­flä­che zur Verfügung steht. Beachten Sie, dass Nmap nur für die Un­ter­su­chung eigener lokaler Ports zu nutzen ist. Ein Nmap-Port-Scan fremder Ziel­adres­sen ohne Ein­wil­li­gung kann als Vorstufe eines Sys­te­m­an­griffs ver­stan­den werden!

Eine dritte Al­ter­na­ti­ve für den Port-Check sind kos­ten­lo­se On­line­tools, die an Ihrem Rechner offene Ports und somit po­ten­zi­el­le Si­cher­heits­lü­cken fest­stel­len. Zu beachten ist, dass Port-Scanning mit dem cmd-Befehl netstat -ano oder mit Software wie Nmap in erster Linie lokale Ports umfasst. Um öf­fent­li­che Port­frei­ga­ben Ihres Routers zu ermitteln, müssen diese jedoch von außen an­ge­spro­chen werden. Online-Port-Scanner nutzen hierzu eine Test-Website und scannen in erster Linie Standard-Ports. Ana­ly­se­da­ten werden als Er­geb­nis­lis­te aus­ge­ge­ben.

Die Website dnstools.ch scannt einen ganzen Bereich von Standard-Ports wie FTP, DNS, POP3, IMAP, SMTP oder RPC, ana­ly­siert gezielt einzelne Ports und un­ter­sucht, ob die Wei­ter­lei­tung von öf­fent­li­chen Ports des Routers zu lokalen An­wen­dun­gen korrekt funk­tio­niert. Die Analyse-Er­geb­nis­se zeigt das On­line­tool in einer über­sicht­li­chen Liste, die sich als Datei ex­por­tie­ren lässt. Weitere Scantools umfassen DNS-Abfragen, Ping und Tra­ce­rou­te.

Nmap steht nicht nur als leis­tungs­fä­hi­ger Port-Scanner zum Download bereit, sondern bietet zudem ein On­line­tool zum Port-Check. Mit diesem lassen sich nach außen offene TCP-Ports un­ter­su­chen und zu­ge­hö­ri­ge Dienste auflisten.

Die Website Wha­tIs­MyIP.com dient in erster Linie dazu, öf­fent­lich sichtbare IP-Adressen von Nutzern wie­der­zu­ge­ben und die Wirk­sam­keit von VPN-Ver­bin­dun­gen zu prüfen. Darüber hinaus bietet die Website ver­schie­de­ne weitere Tools, zu denen auch ein Port-Scanner gehört. Einzelne Ports lassen sich testen, indem Sie die ent­spre­chen­de Port­num­mer eingeben.