| 21 | Der „FTP“-Port Wird für den Dateitransfer via FTP verwendet. |
|---|---|
| 22 | Der „SSH“-Port Wird für den Zugriff mittels Secure Shell verwendet. |
| 23 | Der „Telnet“-Port Wird zur Terminalemulation verwendet. |
| 25 | Der „SMTP“-Port Wird für den E-Mail-Versand verwendet (siehe auch Port 465). |
| 53 | Der „DNS“-Port Wird zur Auflösung von Domainnamen in IP-Adressen verwendet. |
| 79 | Der „Finger“-Port Wird zur Anzeige von Informationen über einen Benutzer verwendet. |
| 80 | Der „HTTP“-Port Wird zur Kommunikation mit dem Webserver verwendet. |
| 110 | Der „POP3“-Port Wird zum Client-Zugriff für E-Mail-Server verwendet. |
| 115 | Der „SFTP“-Port Wird zum „Simple File Transfer Protocol“ zum Datenaustausch verwendet. |
| 135 | Der „RPC“-Port Wird zur Ausführung von Remote Procedure Calls verwendet. |
| 139 | Der „NetBIOS“-Port Wird von Netbios (Network Basic Input Output System) verwendet. |
| 143 | Der „IMAP“-Port Wird zum Zugriff und zur Verwaltung von Mailboxen verwendet. |
| 194 | Der „IRC“-Port Wird zum Zugriff auf IMAP-Mailboxen verwendet. |
| 389 | Der „LDAP“-Port Wird zur Abfrage und Modifikation von Verzeichnisdiensten verwendet. |
| 443 | Der „HTTPS“-Port Wird für verschlüsselte Webserver Übertragungen verwendet. |
| 445 | Der „SMB“-Port Wird von der Windows Dateifreigabe verwendet. |
| 465 | Der „SMTPS“-Port Wird für gesicherten E-Mail-Versand verwendet. |
| 1433 | Der „MS SQL“-Port Wird zur Kommunikation mit einem MS SQL-Server verwendet. |
| 1723 | Der „PPTP“-Port Wird zum Point-to-Point Tunneling (VPN) verwendet. |
| 3306 | Der „MySQL“-Port Wird zum Zugriff auf MySQL-Datenbanken verwendet. |
| 3389 | Der „Remote Desktop“-Port Wird zum Windows Remotedesktopzugriff verwendet. |
| 5632 | Der „pcAnywhere“-Port Wird zum Remote-Zugriff mittels pcANYWHERE verwendet. |
| 5900 | Der „VNC“-Port Wird von VNC zum Viewer-Zugriff verwendet. |
| 6112 | Der „Warcraft III“-Port Wird von Warcraft III zum Hosten von Spielen verwendet. |
| 8080 | Der „HTTP-Alt“-Port Wird häufig von Proxy- und Caching-Servern verwendet. |
VPN Zugang leicht gemacht
PPTP – Point-to-Point Tunneling Protocol
PPTP ist ein VPN-Tunneling-Verfahren für Remote-Access Verbindungen. Es baut auf den Remote Access Server für Microsoft Windows inklusive der Authentisierung auf.
PPTP wurde bereits 1996 durch mehrere Unternehmen entwickelt, die sich zum PPTP-Forum zusammengeschlossen haben. Unter anderem war auch Microsoft an der Entwicklung von PPTP beteiligt. Die häufige Nennung im Zusammenhang mit Microsoft kommt daher, weil PPTP hauptsächlich in Microsoft-Betriebssystemen zum Einsatz kommt. Ein PPTP-Client ist nicht nur in Windows, sondern auch in Linux und MacOS integriert.
Wie sicher ist PPTP?
PPTP kommt häufig als VPN-Technik zum Einsatz. Es ist in der Regel auf allen Endgeräten verfügbar und leicht einzurichten.PPTP ist ausschließlich für den Transfer von IP, IPX, NetBEUI über IP geeignet. Die Verschlüsselung von PPTP ist nur bedingt sicher. Das liegt weniger an PPTP, sondern an dem Anmeldevorgang mit MS-CHAPv2. Microsoft selber warnt vor VPN-Zugängen, die MS-CHAPv2 (insbesondere PPTP-Verbindungen) nutzen. Sie lassen sich mit vergleichsweise geringem Aufwand knacken. Eine Lösung wäre, die MS-CHAP-Authentifizierung in einen separat verschlüsselten Tunnel, zum Beispiel Protected Extensible Authentication Protocol (PEAP), zu verpacken.
Seit Windows 2000 werden von Microsoft verschiedene Tunneling-Protokolle innerhalb von Windows angeboten. Für eine sichere Installation wird L2TP over IPsec empfohlen. L2TP weist gewisse Ähnlichkeiten zu PPTP auf und transportiert auch die Protokolle höherer Schichten. Allerdings bietet L2TP keine Verschlüsselung an. Zur Verschlüsselung der Daten muss deshalb auf IPsec zurückgegriffen werden, das auch die Authentifizierung übernimmt.
Insbesondere wegen der mangelhaften Verschlüsselung und Authentifizierung hat sich Microsoft von PPTP verabschiedet. Es bietet sich also an, statt PPTP gleich eine sichere VPN-Technik zu verwenden. Zum Beispiel L2TP/IPSec, IPSec mit IKEv2, SSTP oder die Open-Source-Software OpenVPN auf Basis von OpenSSL.
PPTP-Architektur
Die PPTP-Architektur teilt sich in zwei logische Systeme. Den PPTP Access Concentrator (PAC) und den PPTP Network Server (PNS). Der PAC ist üblicherweise in den Client integriert, verwaltet die Verbindungen und stellt sie zum PNS her. Der PNS ist für das Routing und die Kontrolle der vom PNS empfangenen Pakete zuständig.
PPTP-Verbindungsaufbau
PPTP baut auf eine zweigeteilte Kommunikation. Zuerst eröffnet der Client die Kontrollverbindung zum Server über den TCP-Port 1723. Über diesen Port laufen alle Kontrolldaten der PPTP-Verbindung. Dieser Port muss bei der Nutzung von PPTP von innen geöffnet sein (z. B. mit PPTP-Passthrough oder Port-Forwarding), damit ein PPTP-Client die ausgehenden bzw. eingehenden Verbindungen nutzen kann. Als Quell-Port der Kontrollverbindung benutzt PPTP einen beliebig freien Port.
Der zweite Teil der Kommunikation ist die Verbindung mit GRE (Generic Routing Encapsulation). Darüber werden die PPP-Pakete getunnelt. Das bedeutet, PPTP kapselt die PPP-Pakete mit GRE in IP-Pakete.
Die Benutzerauthentifizierung erfolgt mit MS-CHAPv1 oder MS-CHAPv2. Die Authentifizierung und Aushandlung der Schlüssel gilt als Schwachstelle von PPTP. Bei MSCHAPv1 wird die Authentifizierung mit einem Passwort verschlüsselt, die sich mit einer Wörterbuch- oder Brute-Force-Attacke knacken lässt. Zwar bietet MSCHAPv2 Verbesserungen, die aber auch nur wenige Stunden standhalten.
Nach der Authentifizierung wird dem Client eine IP-Adresse aus dem LAN zugewiesen. Danach erfolgt die Datenkommunikation.
Eine Verschlüsselung findet nicht statt. Die muss mit PPP ausgehandelt werden. Z. B. mit RC4, was Microsoft auch als Microsoft Point-to-Point-Encryption (MPPE) bezeichnet.
Probleme mit NAT
Wie alle anderen VPN-Verfahren hat auch PPTP mit NAT zu kämpfen. NAT ordnet eingehende Datenpakete anhand der Portnummer einem Client zu. GRE ist ein IP-Protokoll, das keine Ports wie TCP oder UDP kennt. Dadurch ist die Zuordnung eines GRE-Pakets zu einem Client unmöglich. NAT-Router verwerfen GRE-Pakete. Ein Verbindungsaufbau ist nicht möglich.
Um die Probleme wegen NAT zu umgehen verwenden NAT-Router PPTP-Passthrough. NAT-Router, die PPTP-Passthrough bzw. PPTP mit NAT beherrschen, führen eine Liste mit den Clients und der von PPTP verwendeten Call-ID. Die Call-ID ist ein Art Tunnelnummer, die unverschlüsselt übertragen wird und der NAT-Router auslesen kann. Er kann auf diese Weise eine Liste der von Clients verwendeten Call-IDs führen.