Was sind Ports?
Im Rahmen meines Artikels .de-Domains Healthcheck 2024 ist mir aufgefallen, dass vielen Lesern das Konzept von Ports und Services möglicherweise noch ganz unbekannt ist. Und aus diesem Grund möchte ich hier sehr vereinfacht erklären, was Ports und Services eigentlich sind. Denn auch Sie begegnen Ports und Services nicht nur in spannenden Healthcheck-Artikeln, sondern täglich indirekt bei Netzwerkzugriffen, Remote-Access oder schlicht schon beim Zugriff auf Ihre Lieblings-Website. Wie funktioniert das alles also konkret?
Unternehmensgebäude
Wir stellen uns eine Firma vor: Diese Firma hat ein Firmengebäude mit mehreren Räumen und Türen, die unterschiedliche Funktionen und Aufgaben haben. Dieses Unternehmen stellt vielleicht nicht die höchsten Anforderungen an die eigene Sicherheit, aber es hat sich zumindest grundsätzlich Gedanken darüber gemacht, wie Räume und Zugänge sinnvoll gestaltet und abgetrennt werden können. Schließlich sollen Besuchende nicht direkt im Herzstück des Unternehmens stehen, sobald sie zur Tür hereinkommen."
Das Firmengebäude des Unternehmens.
In diesem Zusammenhang hat das Unternehmen folgende Überlegungen zu den einzelnen Räumlichkeiten angestellt.
| Raum | Funktion | Von außen erreichbar | Zielgruppe | Besonderer Schutz |
|---|---|---|---|---|
| Werksverkauf | Verkauf von produzierten Waren | Ja | Jeder | Die Räumlichkeiten und die Tür werden regelmäßig gewartet und verfügen über ein hohes Maß an Sicherheitsvorkehrungen gegen Diebstahl oder für die Zeit nach Ladenschluss |
| Kantine | Verkauf von subventioniertem Essen an Mitarbeiter und externe Berechtigte | Ja | Mitarbeiter und Externe | Nur Personen mit entsprechendem Ausweis können hier Essen gehen |
| Eingangshalle | Eingangsbereich für Mitarbeiter in das Unternehmen | Ja | Mitarbeiter | Spezielle Ausweiskontrolle, da nur Mitarbeiter Zutritt erhalten sollen sowie hohe Sicherheitsvorkehrungen für diese Kontrolle |
| Lager | Lagerung von verschiedensten Waren und Gegenständen | Nein | Mitarbeiter | Keiner, da Zutritt von außen nicht möglich |
“Das Schaubild wirkt auf den ersten Blick schlüssig, doch beim Prüfen des Sicherheitskonzepts durch Experten sind einige offene Fragen aufgetreten:
- Braucht der Werksverkauf nicht eine direkte Verbindung zum Lager? Ist diese eingezeichnet?
- Können Externe über die Kantine die Mitarbeiter-Eingangshalle betreten?
- Wie sieht es mit Notaugängen aus, bspw. im Lager?
Egal, wie gut ein theoretisches Konzept zu Beginn ist - oft gehen Vorstellung und die Realität der tatsächlichen Bedarfe auseinander und es entstehen Lücken im Konzept. Auch bei unserem Gedankenbild kam es beim Check der “realen” Gegebenheiten zu den befürchteten Lücken:
Der Werksverkauf hat tatsächlich eine Verbindung zum Lager - immerhin alarmgesichert und kameraüberwacht.
Die Tür von Eingangshalle zur Kantine lässt trotz Ausweiskontrolle mehr Personen durch als vorgesehen - sie soll in Zukunft ausgetauscht werden.
Das Lager hat tatsächlich einen Notausgang. Da die Belüftung des Lagers jedoch so schlecht ist, lässt das Personal diese Tür ständig offen. Es wird nach einer Lösung für bessere Belüftung gesucht, damit diese Tür außer im Notfall geschlossen bleibt.
Server
Kommen wir zurück zu Ports und Services: Die Räume unseres fiktiven Unternehmens funktionieren sehr ähnlich zu einem Server, auf dem mehrere Services laufen. Auch hier hat jeder Dienst seine spezifische Aufgabe, seine Nutzergruppen und sollte im besten Fall nur über einen bestimmten Weg (hier nicht mehr Türen, sondern eben Ports) erreichbar sein.
Der Server des Unternehmens.
| Service | Funktion | Von Außen erreichbar | Zielgruppe | Besonderer Schutz |
|---|---|---|---|---|
| Webseite | Präsenz des Unternehmens im Internet und Verkauf in Onlineshop | Ja | Jeder | Es werden regelmäßig Updates eingepflegt sowie Überprüfungen auf Sicherheitslücken durchgeführt |
| RDP-Service | Mitarbeiter und autorisierte Externe können auf Systeme innerhalb des Unternehmens zugreifen, um darauf zu arbeiten | Ja | Mitarbeiter und Externe | Benutzer benötigen valide Zugangsdaten, um sich anmelden zu können |
| SSH-Service | Mitarbeiter können sich direkt am Server anmelden, um diesen zu Warten | Ja | Mitarbeiter | Authentifizierung nur mit gültigen Zugangsdaten möglich |
| Interne Datenbank | Speichern von Informationen und Daten für die verschiedenen Services | Nein | Mitarbeiter | Keiner, da Verbindung aus dem Internet nicht möglich |
Parallel zum Gebäude wird auch hier eine Überprüfung in Form eines Penetrationstests durchgeführt. Dabei sollen folgende Fragen geklärt werden:
- Können Besucher über die Webseite auf die interne Datenbank zugreifen?
- Können externe Mitarbeiter über den RDP-Service auf nicht für sie vorgesehene Systeme zugreifen?
- Ist die interne Datenbank ausreichend vor einem Angriff geschützt?
Nach Abschluss des Tests konnte dann für den Server folgendes festgestellt werden:
- Die Website wies bis auf einige Kleinigkeiten keine größeren Sicherheitsmängel auf, so dass ein Zugriff auf die Datenbank von der Website aus sehr unwahrscheinlich ist.
- Der RDP-Dienst war in der Tat schwach konfiguriert und externe Mitarbeiter konnten darüber auf beliebige Systeme des Unternehmens zugreifen. Aus diesem Grund wurde die Konfiguration angepasst.
- Auf die interne Datenbank konnte während des Tests aus dem Internet zugegriffen werden, da vermutlich in der Vergangenheit ein Dienstleister keinen Zugriff auf den SSH-Dienst hatte und Wartungsarbeiten an der Datenbank durchführen musste. Außerdem wurde die Datenbank seit vielen Jahren nicht mehr aktualisiert und ist daher anfällig für viele öffentlich bekannte Schwachstellen.
Ähnlich wie beim Unternehmensgebäude verhalten sich Ports und Services wie Türen und Räumlichkeiten. Und wie bei einem Firmengebäude ist es oft notwendig, regelmäßig zu überprüfen, ob alles so ist, wie man es sich vorstellt, um gegebenenfalls Lösungen für noch unbekannte Probleme zu finden. Denn egal, wie gut ein theoretisches Konzept im Vorfeld ist, in der Praxis ergeben sich oft Türen und Lücken, die nur schwer vorhersehbar sind.
Fazit
Wenn wir uns Ports als Türen und Dienste als Räume vorstellen, fällt es hoffentlich leichter zu verstehen, dass nicht jede Tür immer offen und nicht jede Tür für jeden zugänglich sein muss. Und wer sich jetzt dafür interessiert, welche Ports im Internet nicht erreichbar sein sollten, es aber sind, findet in meinem Artikel .de-Domains Healthcheck 2024 viele spannende Einblicke in den deutschen .de-Domainraum.
