| Port | Standard-Protokoll / Dienst gemäß IANA | Transport-Protokoll | Beschreibung |
|---|---|---|---|
| 21 | FTP (File Transfer Protocol) | TCP UDP | Das File Transfer Protocol dient der Dateiübertragung und bietet in seiner Standardversion keine Verschlüsselung. Falls die übertragenen Daten schützenswert sind, sollte FTP möglichst in der sichereren Versionen SFTP oder FTPS verwendet werden. |
| 22 | SSH (Secure Shell) | TCP UDP | Secure Shell ist ein Protokoll zur Fernwartung sowie Datenübertragung. SSH in Version 2 gilt derzeit als sicher. Für die Authentifizierung am Server sollte möglichst ein SSH-Key anstatt eines Kennworts verwendet werden. |
| 23 | Telnet | TCP | Telnet ist ein Protokoll zur Fernwartung ähnlich wie SSH. Aufgrund fehlender Sicherheitsfunktionen sollte es nicht mehr verwendet werden. |
| 25 | SMTP (Simple Mail Transfer Protocol) | TCP | Das Simple Mail Transfer Protocol wird für den Austausch von E-Mails genutzt. Bei korrekter Einrichtung und Verwendung einer Verschlüsselung gilt das Protokoll als sicher. Dieser Port sollte nur für SMTP-Relays, also die Kommunikation zwischen zwei Mailservern, verwendet werden. Die Übertragung der Daten erfolgt im Klartext. |
| 53 | DNS (Domain Name System) | TCP UDP | Das Domain Name System-Protokoll wird für die Namensauflösung von IP-Adressen in Domain-Namen verwendet. Der DNS-Port auf dem Server gilt als sicher. Das Protokoll selbst kann jedoch angegriffen werden (DNS Spoofing). |
| 80 | HTTP (Hypertext Transfer Protocol) | TCP | Das Hypertext Transfer Protocol wird zumeist für die Kommunikation mit Webanwendungen genutzt. Da es keine Verschlüsselung verwendet, sollte ein Umstieg auf das Protokoll HTTPS erwogen werden. |
| 106 | 3Com-TSMUX | N.N. | 3Com-TSMUX ist ein vVeraltetes Netzwerkprotokoll, das von dem ehemaligen Hardware-Hersteller 3Com genutzt wurde, um verschiedene Datenströme über einen einzigen Kanal zu multiplexen. Aufgrund fehlender Sicherheitsfunktionen sollte es nicht mehr verwendet werden. |
| 110 | POP3 (Post Office Protocol 3) | TCP | Das Post Office Protocol Version 3 wird für den Austausch von E-Mails genutzt. Bei korrekter Einrichtung und Verwendung einer Verschlüsselung gilt das Protokoll als sicher. Dieser Port sollte nur bei Mailservern geöffnet sein. Eine Verschlüsselung auf diesem Port kann über START-TLS erfolgen |
| 111 | SunRPC (Sun Remote Procedure Call) | TCP UDP | Die SunRPC-Schnittstelle, auch als "Open Network Computing Remote Procedure Call" bekannt, dient als Port-Mapper für die Ausführung von Funktionen auf einem entfernten System. Sie kann von diversen Programmen verwendet werden, wobei das bekannteste das Network File System (NFS) ist. Offen aus dem Internet erreichbare Port-Mapper-Dienste können für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden. Der Zugriff auf diesen Port sollte daher nur im internen Netzwerk möglich sein. |
| 123 | NTP (Network Time Protocol) | UDP | Das Network Time Protocol dient der Zeitsynchronisation von Hosts. Es existieren Angriffsvektoren für dieses Protokoll, sofern keine Verschlüsselung verwendet wird. Die Einrichtung der Verschlüsselung ist im klassischen NTP recht komplex, sodass eine verbesserte Version Network Time Security (NTS) eingeführt wurde. |
| 135 | EPMAP (Microsoft Endpoint Mapper) | TCP UDP | Der Microsoft End Point Mapper ist ein Dienst für MS Windows und vergleichbar mit SunRPC. Er wird für diverse Windows-Dienste genutzt. Der Zugriff auf diesen Port sollte nur im internen Netzwerk möglich sein. |
| 137 | NetBIOS-NS (NetBIOS Name Service) | TCP UDP | Der NetBIOS Name Service wird als Dienst zur Auflösung von NetBIOS-Namen in IP-Adressen verwendet. Er gilt inzwischen als veraltet und wurde weitgehend durch DNS ersetzt. Ein aus dem Internet erreichbarer NetBIOS-Namensdienst kann für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden. Er stellt zudem eine Gefahr für die IT-Systeme dar, da ein Angreifer die Schwachstelle potenziell nutzen kann, um Informationen über das System bzw. Netzwerk zur Vorbereitung weiterer Angriffe auszuspähen. |
| 138 | NetBIOS-DGM (NetBIOS Datagram Distribution Service) | TCP UDP | Der NetBIOS Datagram Service wird für die Kommunikation zwischen Endgeräten mittels Unicast oder Broadcast verwendet. Mittels gefälschter Pakete können Windows-Betriebssysteme getäuscht werden, dass ein Angreifer zum lokalen Netzwerk gehört, und damit die Sicherheitsunterscheidung zwischen lokalen und Internet-Rechnern umgehen. Der NetBIOS Datagram Service sollte daher nicht aus dem Internet erreichbar sein. |
| 139 | NetBIOS-SSN (NetBIOS Session Service) | TCP UDP | Der NetBIOS Session Service ermöglicht es zwei Hosts in einem Sitzungsmodus Daten auszutauschen. Aufgrund von Sicherheitsproblemen sollte NetBIOS nicht aus dem Internet erreichbar sein. |
| 143 | IMAP (Internet Message Access Protocol) | TCP UDP | Das Internet Message Access Protocol dient dem Zugriff auf E-Mail Postfächer und deren Verwaltung. Es erlaubt für den Login die Übertragung der Anmeldedaten im Klartext und bietet von Hause aus keine Verschlüsselung. Diese kann jedoch über IMAPS auf Port 993 erfolgen. Aufgrund von Sicherheitsrisiken sollte IMAP auf dem unverschlüsselten Port 143 nicht verwendet werden. |
| 161 | SNMP (Simple Network Management Protocol) | TCP UDP | Das Simple Network Management Protocol wird für die Überwachung und das Management von Netzwerkgeräten verwendet. Bei der Nutzung von SNMP in Version 1 oder 2 wird keine Verschlüsselung genutzt. Stattdessen sollte stattdessen SNMP v3 verwendet werden. Ein frei im Internet erreichbarer SNMP-Port kann durch Angreifer zum Sammeln von Informationen über das Zielsystem benutzt werden. Aufgrund dessen sollte SNMP nur im internen Netzwerk und abgesichert erreichbar sein. |
| 389 | LDAP (Lightweight Directory Access Protocol) | TCP UDP | Das Lightweight Directory Access Protocol ist ein Verzeichniszugriffsprotokoll und wird für die Verwaltung von Benutzern, Computern und Adressen verwendet. Es wird unter anderem von Microsofts Active Directory Service verwendet. Auf Port 389 erfolgt eine Verbindung entweder ungesichert oder über START-TLS. Über den Port 636 steht LDAPS zur Verfügung, das für die Verbindungssicherheit TLS nutzt. Daher sollte LDAP nur mit einer Verschlüsselung verwendet werden. |
| 443 | HTTPS (Hypertext Transfer Protocol Secure) | TCP | HTTPS verwendet im Gegensatz zu HTTP eine Transportverschlüsselung, um eine sichere Kommunikation zu ermöglichen. Bei einem aus dem Internet erreichbaren Webserver sollte daher möglichst immer HTTPS eingesetzt werden. |
| 445 | Microsoft DS (Microsoft Directory Service) | TCP | Der Dienst Microsoft Directory Services wird von Windows-Systemen für die Verbindung zum Active Directory, Windows- und SMB-Shares verwendet. Es existieren mehrere bekannte Sicherheitslücken für diesen Port, unter anderem WannaCry (2017). Er sollte nur im LAN geöffnet und nicht aus dem Internet erreichbar sein. |
| 465 | URD (URL Rendezvous Directory for SSM) SMTPS (Simple Mail Transfer Protocol Secure) | TCP | Port 465 kann von mehreren unterschiedlichen Programmen genutzt werden, unter anderem URL Rendezvous Directory for SSM oder Simple Mail Transfer Protocol Secure (auch SMTP over TLS). Abhängig von der Anwendung kann eine Absicherung über Firewall-Regeln und TLS sinnvoll sein. |
| 587 | Mail Submission Agent | TCP | Port 587 ist der Standard-Port für die Übertragung von E-Mails von einem Client auf den Server und wird meist als Postausgangs-Server bezeichnet. Es wird START-TLS unterstützt, sodass dieses Protokoll für eine verschlüsselte Übertragung verwendet werden sollte. |
| 993 | IMAPS (Internet Message Access Protocol Secure) | TCP | Das Internet Message Access Protocol Secure (auch IMAP over TLS) dient dem sicheren Zugriff auf E-Mail-Postfächer und deren Verwaltung. Auf Port 993 erfolgt eine Verschlüsselung des Datenverkehrs mit SSL/TLS bereits während des Verbindungsaufbaus. |
| 995 | POP3S (Post Office Protocol 3 Secure) | TCP | Das Post Office Protocol 3 Secure (auch POP3 over TLS) bietet eine verschlüsselte Übertragung von E-Mails an. Die Verschlüsselung wird bei Port 995 erzwungen. |
| 1433 | MS-SQL-S (Microsoft SQL Server) | TCP | Port 1433 wird als Standard-Port für die Kommunikation mit dem relationalen Datenbankmanagementsystem Microsoft SQL verwendet. Er sollte nicht aus dem Internet erreichbar sein. Eine Verschlüsselung über TLS ist möglich und sollte aktiviert werden. |
| 1512 | WINS (Windows Internet Name Service) | TCP UDP | Der Windows Internet Naming Service ist ein Microsoft-Netzwerkdienst, der NetBIOS-Computernamen IP-Adressen zuordnet, um die Kommunikation in lokalen Windows-Netzwerken zu erleichtern. WINS gilt als veraltet und es wird empfohlen, stattdessen das Standard-Protokoll DNS für Namenszuordnungen zu verwenden. |
| 1723 | PPTP (Point-to-Point Tunneling Protocol) | TCP UDP | Das Point-to-Point Tunneling Protocol setzt auf das Internet Protocol auf und dient dem Aufbau eines VPN-Tunnels. Es gilt seit 2012 als nicht mehr sicher und sollte daher auch nicht weiter verwendet werden. |
| 2222 | EtherNet/IP | N.N. | EtherNet/IP ist ein in der Industrie im Bereich der Automatisierungstechnik verwendetes Netzwerkprotokoll, das das Common Industrial Protocol (CIP) auf Standard-Ethernet überträgt, um den Datenaustausch von Automatisierungsgeräten aus der Operational Technology (OT) mit der IT zu ermöglichen. Es handelt sich hierbei um ein Soft-Realtime-System. Eine Absicherung über TLS sollte vorgenommen werden. |
| 2483 | TTC (Oracle Transparent Network Computing) | TCP UDP | Oracle Transparent Network Computing wird vom Oracle Database Listener-Dienst verwendet. Eine Verschlüsselung über TLS erfolgt dabei nicht. Port 2483 ersetzt Port 1521. Es sollte kein Zugriff aus dem Internet auf diesen Port möglich sein. |
| 2484 | TTC-SSL (Oracle Transparent Network Computing Secure Sockets Layer) | TCP UDP | Oracle Transparent Network Computing Secure Sockets Layer wird vom Oracle Database Listener-Dienst verwendet. Der Datenverkehr wird dabei über SSL verschlüsselt. Es sollte kein Zugriff aus dem Internet auf Port 2484 möglich sein. |
| 3306 | MySQL | TCP UDP | Port 3306 wird für Verbindungen mit einer MySQL- oder MariaDB-Datenbank verwendet. Der Zugang zu diesem Port sollte eingeschränkt werden. Dies kann unter anderem über Firewall-Regeln, die den Zugriff auf die notwendigen IP-Adressen beschränken, geschehen. Außerdem sollte über eine Einschränkung des Remote-Login für den Root-Benutzer nachgedacht werden. |
| 3389 | MS-WBT-Server (Microsoft Windows-Based Terminal Server) | TCP UDP | Der Microsoft Windows-Based Terminal Server bietet über das Remote Desktop Protocol (RDP) eine Verbindung zu einem Windows Terminal Server an. Es sollte vermieden werden, dass Port 3389 aus dem Internet erreichbar ist. Im LAN kann es sinnvoll sein, den Zugang über Firewall-Regeln auf bestimmte IP-Adressen zu beschränken. Generell sollte auf dem Terminal Server die TLS-Verschlüsselung für das RDP-Protokoll verwendet werden. |
| 4369 | EPMD (Erlang Port Mapper Daemon) | N.N. | Port 4369 wird vom Erlang Port Mapper Daemon verwendet. Er verwaltet dabei die Zuordnung von Namen zu Adressen. |
| 5432 | PostgreSQL | TCP UDP | Port 5432 dient der Kommunikation mit dem relationalen Datenbankverwaltungssystem PostgreSQL. Die Datenbank sollte nicht aus dem Internet erreichbar sein. Zusätzlich sollte der Zugriff nur von bestimmten IP-Adressen aus möglich sein. Eine Verschlüsselung über TLS ist möglich und sollte aktiviert werden. |
| 5666 | NRPE (Nagios Remote Plugin Executor) | TCP | Port 5666 wird vom Nagios Remote Plugin Executor verwendet. Dabei handelt es sich um eine Erweiterung für die Netzwerk-Monitoring-Software Nagios zum Ausführen von Nagios-/Icinga-Plugins auf einem Linux-System. Eine Verbindung zu Port 5666 sollte nur durch den Nagios-Server erfolgen und durch eine Firewall-Regel sichergestellt werden. |
| 5672 | AMQP (Advanced Message Queuing Protocol) | TCP | Das Advanced Message Queuing Protocol dient der asynchronen Kommunikation zwischen Sender und Empfänger. Es benutzt dafür einen Messaging-Broker und Warteschlangen auf Sender-Seite. Es wird häufig für die verlässliche, schnelle Übertragung von vielen Datenpaketen verwendet. Die Übertragung sollte mit TLS abgesichert werden. Für eine weitergehende Absicherung können Firewall-Regeln gesetzt werden. |
| 5984 | CouchDB | TCP UDP | Port 5984 dient der Kommunikation mit der NoSQL-Dokumentendatenbank Apache CouchDB. Die Datenbank sollte nicht aus dem Internet erreichbar sein. Zusätzlich sollte der Zugriff nur von bestimmten IP-Adressen aus möglich sein. Eine Verschlüsselung über TLS ist möglich und sollte aktiviert werden. |
| 6379 | Redis (REmote DIctionary Service) | TCP | Port 6379 wird meist für die In-Memory Datenbank Redis verwendet. Diese wird häufig zum Caching von anderen Datenbanken eingesetzt. Bei einem offen aus dem Internet erreichbarem Redis-Server ohne SASL-Authentifizierung kann ein Angreifer Daten auslesen, modifizieren oder löschen. Dadurch können sensible Informationen ausgespäht werden. Der Server sollte daher nicht offen aus dem Internet erreichbar sein. Auch das Setzen von Firewall-Regeln oder Anpassen der Redis-Konfiguration, um den Zugriff auf den Server zu begrenzen, ist sinnvoll. Der Einsatz von TLS zur Absicherung des Transportweges ist möglich. |
| 8080 | HTTP-alt u.a. | TCP UDP | Port 8080 kann von mehreren Applikationen verwendet werden, unter anderem als alternativer HTTP-Port (HTTP-alt), für Proxy-Server, Apache Tomcat und Atlassian JIRA. Abhängig von der Anwendung kann eine Absicherung über Firewall-Regeln und TLS sinnvoll sein. |
| 8443 | PCsync-HTTPS u.a. | TCP UDP | Port 8443 kann von mehreren Applikationen verwendet werden, unter anderem für PCsync HTTPS, Apache Tomcat SSL oder Apple iCal. Abhängig von der Anwendung kann eine Absicherung über Firewall-Regeln und TLS sinnvoll sein. |
| 8983 | Apache Solr | TCP | Port 8983 dient der Kommunikation mit der Unternehmens-Suchplattform Apache Solr. Der Zugriff sollte nur von bekannten, vertrauenswürdigen IP-Adressen aus möglich sein. Eine Verschlüsselung des Datenverkehrs mittels TLS ist sinnvoll. |
| 27017 | MongoDB | TCP | Port 27017 dient der Kommunikation mit der dokumentenorientierte NoSQL-Datenbank MongoDB, die meistens für Webanwendungen verwendet wird. Der MongoDB-Server sollte nicht aus dem Internet aus erreichbar sein. Zusätzlich sollte im LAN der Zugriff auf den Server über Firewall-Regeln abgesichert werden. |