Ports im Überblick

Microsoft Netzwerk

Windows verwendet eine Reihe von Ports, um seine Netzwerkfunktionen zu erfüllen. In der alten Implementation, die bis Windows Me/NT zum Einsatz kam, waren das die Ports 137, 138 und 139. Seit Windows 2000 werden die Server Message Blocks über Port 445 versendet. Natürlich sind die Windows-Versionen ab 2000 auch rückwärts kompatibel, so dass beide Verfahren nebeneinander laufen können.

Über Port 137 wird der so genannte NetBIOS name service abgewickelt. Über diesen ordnet Windows - ähnlich wie bei DNS - Rechnernamen und IP-Adressen einander zu. Das führt unter Umständen zu folgendem Effekt: Surft ein Benutzer auf einem Windows-Webserver, kommt von diesem eine Anfrage auf Port 137 an den Rechner des Benutzers. Denn der Windows-Server nutzt die Winsock-Funktion gethostbyaddr(), um den Namen des entfernten Rechners aufzulösen. Unter Windows ist diese Funktion allerdings so implementiert, dass zunächst die NetBIOS-Namensauflösung versucht wird und erst bei einem Fehlschlag die DNS-Auflösung erfolgt.

Solcher Traffic sollte generell unterbunden werden, sowohl eingehend als auch ausgehend. Sollen zwei Windows-Netzwerke über das Internet Daten austauschen, ist generell ein VPN angeraten.

DROP -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:137
DROP -dir IN -prot UDP -src ANY:ANY -dest LOCAL_CLIENT:137
DROP -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:137
DROP -dir IN -prot TCP -src ANY:ANY -dest LOCAL_CLIENT:137