Ports und ihre Nutzung


21 Der „FTP“-Port
Wird für den Dateitransfer via FTP verwendet.
22 Der „SSH“-Port
Wird für den Zugriff mittels Secure Shell verwendet.
23 Der „Telnet“-Port
Wird zur Terminalemulation verwendet.
25 Der „SMTP“-Port
Wird für den E-Mail-Versand verwendet (siehe auch Port 465).
53 Der „DNS“-Port
Wird zur Auflösung von Domainnamen in IP-Adressen verwendet.
79 Der „Finger“-Port
Wird zur Anzeige von Informationen über einen Benutzer verwendet.
80 Der „HTTP“-Port
Wird zur Kommunikation mit dem Webserver verwendet.
110 Der „POP3“-Port
Wird zum Client-Zugriff für E-Mail-Server verwendet.
115 Der „SFTP“-Port
Wird zum „Simple File Transfer Protocol“ zum Datenaustausch verwendet.
135 Der „RPC“-Port
Wird zur Ausführung von Remote Procedure Calls verwendet.
139 Der „NetBIOS“-Port
Wird von Netbios (Network Basic Input Output System) verwendet.
143 Der „IMAP“-Port
Wird zum Zugriff und zur Verwaltung von Mailboxen verwendet.
194 Der „IRC“-Port
Wird zum Zugriff auf IMAP-Mailboxen verwendet.
389 Der „LDAP“-Port
Wird zur Abfrage und Modifikation von Verzeichnisdiensten verwendet.
443 Der „HTTPS“-Port
Wird für verschlüsselte Webserver Übertragungen verwendet.
445 Der „SMB“-Port
Wird von der Windows Dateifreigabe verwendet.
465 Der „SMTPS“-Port
Wird für gesicherten E-Mail-Versand verwendet.
1433 Der „MS SQL“-Port
Wird zur Kommunikation mit einem MS SQL-Server verwendet.
1723 Der „PPTP“-Port
Wird zum Point-to-Point Tunneling (VPN) verwendet.
3306 Der „MySQL“-Port
Wird zum Zugriff auf MySQL-Datenbanken verwendet.
3389 Der „Remote Desktop“-Port
Wird zum Windows Remotedesktopzugriff verwendet.
5632 Der „pcAnywhere“-Port
Wird zum Remote-Zugriff mittels pcANYWHERE verwendet.
5900 Der „VNC“-Port
Wird von VNC zum Viewer-Zugriff verwendet.
6112 Der „Warcraft III“-Port
Wird von Warcraft III zum Hosten von Spielen verwendet.
8080 Der „HTTP-Alt“-Port
Wird häufig von Proxy- und Caching-Servern verwendet.

VPN Zugang leicht gemacht

PPTP – Point-to-Point Tunneling Protocol

PPTP ist ein VPN-Tunneling-Verfahren für Remote-Access Verbindungen. Es baut auf den Remote Access Server für Microsoft Windows inklusive der Authentisierung auf.
PPTP wurde bereits 1996 durch mehrere Unternehmen entwickelt, die sich zum PPTP-Forum zusammengeschlossen haben. Unter anderem war auch Microsoft an der Entwicklung von PPTP beteiligt. Die häufige Nennung im Zusammenhang mit Microsoft kommt daher, weil PPTP hauptsächlich in Microsoft-Betriebssystemen zum Einsatz kommt. Ein PPTP-Client ist nicht nur in Windows, sondern auch in Linux und MacOS integriert.

Wie sicher ist PPTP?

PPTP kommt häufig als VPN-Technik zum Einsatz. Es ist in der Regel auf allen Endgeräten verfügbar und leicht einzurichten.PPTP ist ausschließlich für den Transfer von IP, IPX,  NetBEUI über IP geeignet. Die Verschlüsselung von PPTP ist nur bedingt sicher. Das liegt weniger an PPTP, sondern an dem Anmeldevorgang mit MS-CHAPv2. Microsoft selber warnt vor VPN-Zugängen, die MS-CHAPv2 (insbesondere PPTP-Verbindungen) nutzen. Sie lassen sich mit vergleichsweise geringem Aufwand knacken. Eine Lösung wäre, die MS-CHAP-Authentifizierung in einen separat verschlüsselten Tunnel, zum Beispiel Protected Extensible Authentication Protocol (PEAP), zu verpacken.

Seit Windows 2000 werden von Microsoft verschiedene Tunneling-Protokolle innerhalb von Windows angeboten. Für eine sichere Installation wird L2TP over IPsec empfohlen. L2TP weist gewisse Ähnlichkeiten zu PPTP auf und transportiert auch die Protokolle höherer Schichten. Allerdings bietet L2TP keine Verschlüsselung an. Zur Verschlüsselung der Daten muss deshalb auf IPsec zurückgegriffen werden, das auch die Authentifizierung übernimmt.

Insbesondere wegen der mangelhaften Verschlüsselung und Authentifizierung hat sich Microsoft von PPTP verabschiedet. Es bietet sich also an, statt PPTP gleich eine sichere VPN-Technik zu verwenden. Zum Beispiel L2TP/IPSec, IPSec mit IKEv2, SSTP oder die Open-Source-Software OpenVPN auf Basis von OpenSSL.

PPTP-Architektur

PPTP-Architektur
Die PPTP-Architektur teilt sich in zwei logische Systeme. Den PPTP Access Concentrator (PAC) und den PPTP Network Server (PNS). Der PAC ist üblicherweise in den Client integriert, verwaltet die Verbindungen und stellt sie zum PNS her. Der PNS ist für das Routing und die Kontrolle der vom PNS empfangenen Pakete zuständig.

PPTP-Verbindungsaufbau

PPTP-Verbindungsaufbau
PPTP baut auf eine zweigeteilte Kommunikation. Zuerst eröffnet der Client die Kontrollverbindung zum Server über den TCP-Port 1723. Über diesen Port laufen alle Kontrolldaten der PPTP-Verbindung. Dieser Port muss bei der Nutzung von PPTP von innen geöffnet sein (z. B. mit PPTP-Passthrough oder Port-Forwarding), damit ein PPTP-Client die ausgehenden bzw. eingehenden Verbindungen nutzen kann. Als Quell-Port der Kontrollverbindung benutzt PPTP einen beliebig freien Port.
PPTP-Protokoll-Stack
Der zweite Teil der Kommunikation ist die Verbindung mit GRE (Generic Routing Encapsulation). Darüber werden die PPP-Pakete getunnelt. Das bedeutet, PPTP kapselt die PPP-Pakete mit GRE in IP-Pakete.
Die Benutzerauthentifizierung erfolgt mit MS-CHAPv1 oder MS-CHAPv2. Die Authentifizierung und Aushandlung der Schlüssel gilt als Schwachstelle von PPTP. Bei MSCHAPv1 wird die Authentifizierung mit einem Passwort verschlüsselt, die sich mit einer Wörterbuch- oder Brute-Force-Attacke knacken lässt. Zwar bietet MSCHAPv2 Verbesserungen, die aber auch nur wenige Stunden standhalten.
Nach der Authentifizierung wird dem Client eine IP-Adresse aus dem LAN zugewiesen. Danach erfolgt die Datenkommunikation.
Eine Verschlüsselung findet nicht statt. Die muss mit PPP ausgehandelt werden. Z. B. mit RC4, was Microsoft auch als Microsoft Point-to-Point-Encryption (MPPE) bezeichnet.

Probleme mit NAT

Wie alle anderen VPN-Verfahren hat auch PPTP mit NAT zu kämpfen. NAT ordnet eingehende Datenpakete anhand der Portnummer einem Client zu. GRE ist ein IP-Protokoll, das keine Ports wie TCP oder UDP kennt. Dadurch ist die Zuordnung eines GRE-Pakets zu einem Client unmöglich. NAT-Router verwerfen GRE-Pakete. Ein Verbindungsaufbau ist nicht möglich.
Um die Probleme wegen NAT zu umgehen verwenden NAT-Router PPTP-Passthrough. NAT-Router, die PPTP-Passthrough bzw. PPTP mit NAT beherrschen, führen eine Liste mit den Clients und der von PPTP verwendeten Call-ID. Die Call-ID ist ein Art Tunnelnummer, die unverschlüsselt übertragen wird und der NAT-Router auslesen kann. Er kann auf diese Weise eine Liste der von Clients verwendeten Call-IDs führen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.