Ohne Ports wäre eine Kommunikation über die im Internet üblichen Protokolle Transmission Control Protocol (TCP) und User Datagram Protocol (UDP) nicht möglich. Die Nebenstellen erlauben es, dass mehrere Anwendungsprozesse über eine Internet-Verbindung gleichzeitig Daten austauschen können.
Auch bei der Konfiguration einer Firewall ist ein Grundwissen über Portnummern vonnöten. Ein Paketfilter entscheidet bei jedem Datenpaket anhand festgelegter Filterregeln, ob er es weiterleitet oder nicht. Dabei werden unter anderem Header-Informationen wie Absender- und Zielport ausgelesen. Auf Grund dieser Regeln kann eine Firewall reine Service-Filterungen vornehmen. Service-Prozesse benutzen immer bestimmte Ports. Um beispielsweise den FTP-Service abzublocken, sondert die Firewall alle Pakete aus, die im Header den Port 21 eingetragen haben. Ebenso spielt es eine große Rolle, von welchem Rechner aus eine Verbindung aufgebaut wird: von einem Client im LAN oder von einem externen Rechner.
In diesem Beitrag erläutern wir Ihnen die Funktionsweise von Ports und welche verschiedenen Gruppen es gibt. Darüber hinaus haben wir für Sie eine Übersicht über die wichtigsten Firewall-Regeln für ein Firmennetz zusammengestellt, die wir in regelmäßigen Abständen ergänzen. In unserer tecDaten-Tabelle finden Sie zudem zahlreiche Informationen zu "guten und bösen" Programmen, die Ports nutzen.
Im aktuellen Update ergänzen wir diesen Beitrag um Firewall-Regeln für Microsoft-Windows-Netzwerke und Microsoft Exchange.
Was sind Portnummern?
Portnummern zählen zu den grundlegenden Elementen beim Einsatz der Protokolle TCP und UDP. Sind die Daten am Zielrechner angekommen, müssen sie noch an den richtigen Anwendungsprozess ausgeliefert werden. Beim Transport der Informationen durch die Netzwerkschichten benötigt man einen Mechanismus, der zuerst einmal die Übergabe an das jeweilige richtige Protokoll sicherstellt.
Das Zusammenlegen von Daten aus mehreren Quellen zu einem einzigen Datenstrom nennt man Multiplexen. Ankommende Daten aus dem Netz muss das Internet Protocol (IP) also demultiplexen. Dazu kennzeichnet das IP die Transportprotokolle mit Protokollnummern. Die Transportprotokolle selber nutzen wiederum die Portnummern zur Identifizierung von Anwendungen.
Die IP-Protokollnummer steht in einem Byte im dritten Wort des Datagramm-Headers. Dieser Wert bestimmt die Übergabe an das jeweilige Protokoll in der Transportschicht, beispielsweise "6" für TCP oder "17" für UDP. Das Transportprotokoll muss nach Empfang die Daten an den richtigen Anwendungsprozess übergeben. Anwendungsprozesse werden anhand der 16 Bit langen Portnummer identifiziert, an die die Daten nach Empfang auf dem Zielrechner übergeben werden. Im ersten Wort jedes TCP- und UDP-Headers sind daher sowohl die "Source Port"-Nummer als auch die "Destination Port"-Nummer enthalten.
Soll also eine Applikation unter einer bestimmten Portnummer erreichbar sein, teilt sie dies dem TCP/IP-Protokoll-Stack mit.
Sockets
Die Kombination aus IP-Adresse und Portnummer bezeichnet man als Socket. Damit ist es möglich, einen einzelnen Netzwerkprozess innerhalb des gesamten Internets eindeutig zu identifizieren. Die Notation ist folgende: IP-Adresse:Port, zum Beispiel 62.96.227.70:80. Zwei Sockets definieren eine Verbindung: einer für den Ausgangs- und einer für den Zielrechner.
TCP und UDP können dieselben Portnummern vergeben. Erst die Kombination aus Protokoll und Portnummer ist eindeutig. Somit ist die Portnummer 53 in TCP nicht identisch mit der Portnummer 53 in UDP.
Den Aufbau und die Funktionsweise der Protokollfamilie TCP/IP haben wir Ihnen bereits im tecCHANNEL-Beitrag "So funktioniert TCP/IP" ausführlich erläutert.
Portgruppen
Insgesamt stehen jeweils 65.535 verschiedene TCP- und UDP-Ports zur Verfügung. Um einen Überblick zu behalten und bestimmten Applikationen feste Nummern zuweisen zu können, hat man diese in drei Gruppen unterteilt:
Well Known Ports: Bei diesem Typ handelt es sich um reservierte und standardisierte Portnummern zwischen 1 und 1023. Dies vereinfacht den Aufbau einer Verbindung, weil sowohl Absender und Empfänger bereits wissen, dass Daten für einen bestimmten Prozess an einen bestimmten Port gesendet werden müssen. So nutzen beispielsweise alle Telnet-Server den Port 23. Die Well Known Ports ermöglichen den Clients die Verbindung zu Servern, ohne dass eine weitere Konfiguration notwendig ist. Die Verwaltung dieser Ports übernimmt die Internet Assigned Numbers Authority (IANA). Eine Liste der aktuell vergebenen Portnummern finden Sie hier.
Bis 1992 bewegten sich die Well Known Ports im Bereich zwischen 1 und 255. Die Nebenstellen zwischen 256 und 1023 wurden für Unix-spezifische Dienste verwendet.
Registered Ports: Diese Ports im Bereich von 1024 bis 49.151 sind für Dienste vorgesehen, die üblicherweise auf bestimmten Nebenstellen laufen. Ein Beispiel hierfür ist der Port 3128, der von Proxy-Servern oft alternativ für das Hypertext Transport Protocol (HTTP) verwendet wird.
Dynamically Allocated Ports: Diese auch Ephemeral Ports genannten Nebenstellen werden stets dynamisch zugewiesen. Sie liegen im Bereich von 49.152 bis 65.535. Jeder Client kann diese Ports nutzen, solange die Kombination aus Transportprotokoll, IP-Adresse und Portnummer eindeutig ist. Wenn ein Prozess einen Port benötigt, fordert er diesen bei seinem Host an.
Welcher Port wird verwendet?
Wie bereits erwähnt, ist für die Einrichtung einer Firewall das Wissen über Ports unerlässlich. Sie müssen festlegen, von welchen Nebenstellen Verbindungen ein- und ausgehen dürfen. Doch oft weiß man nicht, welche Ports eine Applikation benutzt. Oder man möchte nachsehen, welche Nebenstelle für ein Programm auf dem Client gerade dynamisch nach dem Zufallsprinzip zugewiesen wurde.
Um dies herauszufinden, können Sie beispielsweise das Windows-Bordmittel Netstat verwenden. Allerdings hat dieses Tool nur einen geringen Funktionsumfang. So zeigt das Programm nicht an, welche Verbindung von welcher Applikation verwendet wird.
Empfehlenswerter ist die Shareware Essential NetTools von Tamos Software. Eines der Features ist das sehr ausführliche Netstat-Tool. Es zeigt nicht nur die offenen Ports und Verbindungen auf einem System an, sondern zusätzlich auch eine Klartext-Auflösung der Adressen und Nebenstellen sowie die dazugehörige Applikation inklusive dem kompletten Pfad.
Beispiel für eine Verbindung
In diesem Beispiel laden wir mit einem Webbrowser eine Internet-Seite von www.tecChannel.de herunter. Der Browser baut dabei eine Verbindung zu der IP-Adresse 62.96.227.70 auf. Auf dem Server wird der TCP-Port 80 verwendet, der Well Known Port für Webserver. Auf dem Client läuft die Verbindung über die dynamische Nebenstelle 1897.
Der Client, der die Internet-Seite abruft, liegt in einem lokalen Netzwerk, erkennbar an der IP-Adresse 192.168.80.99. Die Daten laufen über einen Router und über Network Address Translation (NAT) kommt Masquerading zum Einsatz.
Details zu Masquerading und zur Port-zu-Port-Kommunikation über Router erfahren Sie im nächsten Abschnitt.
Router: Masquerading
Wenn der Internet-Zugang über einen Router mit dem Internet erfolgt, so ist eine direkte Port-zu-Port-Kommunikation unter TCP/IP nicht möglich.
Meist werden in lokalen Netzwerken private IPv4-Adressen verwendet, da die Zuteilung von offiziellen IPv4-Adressen in größeren Mengen mittlerweile schwierig geworden ist. Der gesamte Internet-Traffic läuft über einen Router. Mit einer solchen Absenderadresse können Clients jedoch nicht direkt mit dem Internet in Kontakt treten. Die Antwortpakete finden den Weg nicht zurück. Woher kennt nun ein Server im Internet die entsprechende Portnummer eines Clients im LAN?
Hier kommt das so genannte Masquerading zum Einsatz. Dabei handelt es sich um eine spezielle Art der Adressumsetzung, welche auch Source Network Address Translation (SNAT) genannt wird. Bei Paketen von intern, die über den Router nach extern gelangen sollen, werden die Quelladresse durch die des Routers und der ursprüngliche Quellport durch eine neue Nebenstelle ersetzt. Diese Daten werden in einer Tabelle hinterlegt, damit die Antwortpakete entsprechend wieder umgesetzt werden können. So "merkt" ein Internet-Service nicht, dass er mit einem Port des Routers statt mit dem Client kommuniziert.
Weitere Details zu Masquerading erfahren Sie im tecCHANNEL-Beitrag "Masquerading mit Linux".
Router: Port-Forwarding
Durch das Funktionsprinzip von Network Address Translation (NAT), wie es in vielen Firmennetzen eingesetzt wird, ist es nicht möglich, von außen direkte Verbindungen zu einem Rechner hinter einem Router aufzubauen. Als Port-Forwarding oder Port-Mapping bezeichnet man die Technik, bei der ein Rechner auf einem bestimmten Port auf einen Verbindungsaufbau wartet und die Datenpakete an einen anderen Computer im LAN weiterleitet. Damit ist der Betrieb eines Internet-Servers auf einem Client hinter einem Router möglich.
Zugegriffen wird somit nicht direkt auf den Rechner im lokalen Netz, sondern auf einen bestimmten Port des Routers. Dieser leitet den Zugriff auf den entsprechenden Port des Zielrechners weiter. Die Pakete, die der Rechner zurückschickt, müssen ebenfalls bearbeitet werden. Es werden die IP-Adresse und die Portnummer des Rechners durch die IP-Adresse und den Forwarding-Port auf dem Router ersetzt. Port-Forwarding ist sozusagen ein Gegenstück zum Masquerading. Wie bei diesem sind die Clients für das Internet unsichtbar.
Zum besseren Verständnis hier ein Beispiel, wie Port-Forwarding für einen Webserver ablaufen könnte: Ein Client mit der Adresse 192.168.80.99 in einem lokalen Netz ist über einen Router mit der öffentlichen Adresse 194.246.96.76 mit dem Internet verbunden. Um auf den Webserver auf dem Client zugreifen zu können, wird der Router dahingehend konfiguriert, dass er sämtliche Datenpakete für den Port 4711 an den Port 80 auf dem Rechner 192.168.80.99 weiterleitet. Die Antwortpakete von 192.168.80.99:80 werden vom Router auf 194.246.96.76:4711 umgeschrieben.
Ports - ein offenes Tor
Die TCP- und UDP-Ports können jedoch auch ein Sicherheitsrisiko darstellen. Zahlreiche Würmer und Trojaner greifen über diese auf lokale Systeme zu oder bauen eine Verbindung ins Internet auf. Gerade unter Windows-Systemen ist daher der Einsatz einer Firewall anzuraten.
In bestimmten Kreisen entwickelt es sich mittlerweile zum Volkssport, wahllos IP-Adressen auf Backdoors zu untersuchen und sich damit unbemerkt Zugang zu verschaffen. Mit Hilfe eines Port-Scanners können Angreifer sehr schnell herausfinden, welche Ports auf einem Rechner offen sind. Ein solcher Scanner macht dabei nichts anderes, als alle Nebenstellen einzeln abzuklappern und zu prüfen, ob dort eine Antwort kommt. Wenn sie kommt, ist der entsprechende Port aktiv und kann möglicherweise missbraucht werden.
Aus diesem Grund ist der Einsatz einer Firewall unerlässlich. Im nächsten Abschnitt erläutern wir Ihnen die Konfiguration einer Firewall anhand von Regeln. Wenn Sie diese auf Ihrem Rechner anwenden, sind Sie vor den meisten Gefahren im Internet geschützt.
Grundlagen und weitere Informationen über die Funktionsweise einer Firewall erfahren Sie im tecCHANNEL-Beitrag "Firewall-Grundlagen".
Einrichten einer Firewall
Im Folgenden erläutern wir Ihnen anhand einer Meta-Sprache wichtige Filterregeln für eine sichere Firewall. Diese lassen sich auf alle üblichen Firewalls anwenden. Grundsätzlich sollte man alle Ports erst einmal sperren und nur die öffnen, die wirklich benötigt werden. Filterregeln ergeben sich aus mehreren Optionen, die in folgender Tabelle aufgeführt werden:
Option | Beschreibung |
|---|---|
FORWARD/ACCEPT/REJECT/DROP | Datenpakete weiterleiten/annehmen/blockieren/ignorieren |
-dir IN/OUT | Eingehend/ausgehend |
-prot TCP/UDP/ICMP | Verwendetes Protokoll: TCP, UDP oder ICMP |
-src HOST:PORT | Quellrechner:Port |
-dest HOST:PORT | Zielrechner:Port |
Für die Meta-Sprache verwenden wir folgende Notation:
FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP -src HOST:PORT -dest HOST:PORT
Über die IP-Adresse des Quellrechners können Sie Dienste für bestimmte Rechner in ihrem lokalen Netz sperren. Zudem sollte man bei der Konfiguration beachten, dass einige Dienste nicht über eine bereits geöffnete Datenverbindung antworten, sondern eine neue Verbindung aufbauen. Aus diesem Grund sollte die Firewall auch fallweise Verbindungen erlauben:
IF FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP -src HOST:PORT -dest HOST:PORT THEN FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP -src HOST: PORT -dest HOST:PORT
Mehrere einzelne Regeln nennt man auch Ruleset. Bei jeder Anfrage aus dem lokalen Netz oder aus dem Internet wird das Ruleset von oben bis unten abgearbeitet. Es verarbeitet und filtert jedes Datenpaket.
In unserem Konfigurationsbeispiel sind in einer Firma mehrere Clients über eine Firewall mit dem Internet verbunden. Ein Proxyserver kommt nicht zum Einsatz.
Standarddienste I
Im ersten Schritt empfiehlt es sich, die Standarddienste zu konfigurieren, die in der Regel bei den meisten Internet-Verbindungen benötigt werden. Hierzu zählt unter anderem der Zugriff auf Webseiten und FTP-Server.
Domain Name Service: Diese Regel ermöglicht es dem lokalen Rechner, eine Verbindung mit dem Nameserver des Providers aufzubauen. Diese beiden Regeln werden in jedem Fall benötigt:
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:53
FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:53
Weitere Details zum Domain Name System erfahren Sie hier.
File Transfer Protokoll: Das FTP bietet zwei verschiedene Verbindungsarten, die unterschiedliche Port-Filtereigenschaften voraussetzen. Grundsätzlich sollte man dem passiven FTP den Vorzug geben, da hier alle Verbindungen vom Client aus aufgebaut werden und keine von außen initiierten Verbindungen zugelassen werden müssen. Im aktiven Modus baut der Client eine Verbindung zum Port 21 des Servers auf. Der Server bestätigt die Verbindung und baut eine Verbindung von seinem Port 20 zum Client auf. Der Vollständigkeit halber erläutern wir jedoch beide Varianten. Beim aktiven FTP sollte die Firewall dahingehend konfiguriert werden, dass nur der Server eine Verbindung aufbauen darf, zudem zuvor der entsprechende Client eine Verbindung über Port 20 aufgebaut hat.
Passives FTP:
FORWARD -dir OUT -prot TCP -scr LOCAL_CLIENT:ANY ANY:21
Aktives FTP:
IF FORWARD -dir OUT -prot TCP -scr LOCAL_CLIENT:ANY FTP_SERVER:21 THEN FORWARD -dir IN -prot TCP -src FTP_SERVER:20 LOCAL_CLIENT:ANY
Standarddienste II
SSH Remote Login Protocol: SSH ermöglicht eine sichere Kommunikation und Authentifizierung. Dazu wird der komplette Login-Prozess einschließlich der Passwortübermittlung verschlüsselt. Diese Regel sollten man nur bei Bedarf einrichten.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:22
Hypertext Transfer Protocol: HTTP ist das Standardprotokoll für Webbrowser und ermöglicht den Zugriff auf Internet-Seiten.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:80
Wenn im Firmennetz ein Proxyserver zum Einsatz kommt, muss die Regel entsprechend angepasst werden.
Hypertext Transfer Protocol over TLS/SSL: Dient zur sicheren Übertragung von Webseiten zwischen Webserver und Browser. Die Kommunikation erfolgt hierbei SSL-verschlüsselt. Das HTTPS-Protokoll wird von zahlreichen Webseiten verwendet, wie beispielsweise beim Online-Banking. Daher sollten die entsprechenden Ports freigegeben werden.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:443
Mail- und Newsdienste
Damit ein Zugriff auf externe Mailserver zum Senden und Empfangen von Mails möglich ist, müssen auch hier entsprechende Ports freigegeben werden.
Simple Mail Transfer Protocol: Das SMTP wird in der Regel zum Versenden von Nachrichten verwendet. Soll der Versand von Mails nur über einen bestimmten Server möglich sein, so kann man dies hier festlegen. Nachrichten lassen sich so beispielsweise nur über den Firmen-Mailserver verschicken.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:25
Post Office Protocol Version 3: Diese Regel ermöglicht das Abrufen von Mails von POP3-Mailservern. Auch hier besteht die Möglichkeit, den Zugriff wieder auf bestimmte Server zu beschränken.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:110
Network News Transfer Protocol: NNTP dient zur Übertragung von Usenet-Nachrichten. Diese Regel sollte nur bei Bedarf angelegt werden.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:119
Internet Message Access Protocol Version 4: Soll der Zugriff auf E-Mails über IMAP4 erfolgen, so muss man hierfür ebenfalls eine Regel anlegen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:143
Internet Message Access Protocol Version 4 over TLS/SSL: Dieses Protokoll dient der SSL-verschlüsselten Datenübertragung zwischen Mail-Client und IMAP4-Server. Diese Regel ist nur anzulegen, sofern das Protokoll eingesetzt wird.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:993
Post Office Protocol Version 3 over TLS/SSL: Falls der verwendete POP3-Server eine sichere Datenübertragung über SSL unterstützt, ist folgende Paketfilterregel anzulegen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:995
Weitere Informationen zu den Protokollen SMTP, POP und IMAP sowie zu der grundlegenden Technik und dem Aufbau einer E-Mail erfahren Sie im tecCHANNEL-Beitrag "So funktioniert E-Mail".
Audio und Video I
In diesem Abschnitt erfahren Sie, welche Paketfilterregeln nötig sind, um häufig eingesetzte Audio- und Videoprogramme wie Apples QuickTime-Player oder den RealPlayer mit einer Firewall einsetzen zu können. Diese Regeln sollten nur dann angelegt werden, wenn es unbedingt sein muss. Ist dies der Fall, ist es ratsam, die Regeln nur für bestimmte Clients im LAN freizugeben.
Real Player: Der Player baut über die TCP-Ports 554, 7070 und 7071 eine Verbindung zum entsprechenden Streaming-Server auf. Den Audio-/Video-Stream sendet der Server von einem der UDP-Ports zwischen 6970 und 7170. Da es aber nicht ratsam ist, alle diese Ports freizugeben, empfehlen wir, nur einen UDP-Port für den Real Player freizugeben und in der Software diesen einen Port einzutragen. Alternativ kann man den Stream auch über TCP empfangen. Die Qualität jedoch soll laut Real qualitativ schlechter sein.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:554
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:7070
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:7071
Der UDP-Port sollte zwischen 6970 und 6997 liegen, da diese derzeit noch keine Registered Ports sind, zum Beispiel:
IF FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY REAL_SERVER:554 THEN FORWARD -dir IN -prot UDP -src REAL_SERVER:6971 -dest LOCAL_CLIENT:ANY
Die Firewall sollte dahingehend konfiguriert werden, dass nur der Server eine Verbindung aufbauen darf, zudem zuvor der entsprechende Client eine Verbindung aufgebaut hat.
Audio und Video II
Microsoft Media Player: Der Media Server verwendet für Audio- und Video-Streams (*.asf) ein proprietäres Serverprotokoll, das von Microsoft entwickelt wurde. Dieses wird vom MS Media Server ab Version 4.0 sowie vom MS Media Player unterstützt. Der Media Player kontaktiert zum Verbindungsaufbau den Server auf dem TCP-Port 1755. Der Stream wird dann über den UDP-Port 1755 vom Server zum Client gesendet.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:1755
IF FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY MEDIA_SERVER:1755 THEN FORWARD -dir IN -prot UDP -src MEDIA_SERVER:1755 -dest LOCAL_CLIENT:ANY
Apple QuickTime: Der Audio-/Video-Player verwendet für den Verbindungsaufbau zum Server wie der Real Player den TCP-Port 554. Die Streaming-Daten sendet Apples QuickTime-Player über die UDP-Ports 6970 bis 6999 zum Client. Auch hier ist es nicht empfehlenswert, alle diese Nebenstellen freizugeben. In diesem Fall raten wir, den QuickTime-Stream über HTTP zu empfangen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:554
Kommunikation und Chat
In der Regel haben Instant Messenger in einem Firmennetz nichts verloren. Sollen deren Einsatz dennoch möglich sein, erfordern diese eigene Filterregeln.
ICQ: Für die Client-zu-Server-Kommunikation mit dem Rechner "login.icq.com" verwendet das Programm den TCP-Port 5190. Optional kann für diesen Server auch der TCP-Port 443 mit SSL-Verschlüsselung verwendet werden. Zur Kommunikation zwischen den Clients kommen beliebige TCP-Ports zwischen 1024 und 65535 zum Einsatz. Hier sollte man nur einen Port freigeben und diesen in den Optionen von ICQ festlegen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest login.icq.com:5190
Yahoo! Messenger: Bei diesem Messenger läuft die gesamte Kommunikation über den TCP-Port 5050. Daher kommen folgende drei Server zum Einsatz: "cs1.yahoo.com", "cs2.yahoo.com" sowie "cs3.yahoo.com". Daher sind für diese drei Server die Ports freizugeben. Kann über den Port 5050 keine Verbindung zum Yahoo!-Server hergestellt werden, wird der Port 80 verwendet.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY cs1.yahoo.com:5050
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY cs2.yahoo.com:5050
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY cs3.yahoo.com:5050
AOL Instant Messenger: AOLs Chat-Programm verwendet wie ICQ den TCP-Port 5190.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:5190
MSN Messenger: Microsofts Instant Messenger nutzt zur Kommunikation den TCP-Port 1863. Zur Verwendung der AOL Instant Messenger Integration muss zusätzlich der TCP-Port 5190 freigegeben werden:
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:1863
AIM-Integration:
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:5190
Neu: VoIP
Bei VoIP-Traffic ist zwischen verschiedenen Szenarien zu unterscheiden. Das erste Szenario ist ein einzelnes VoIP-Telefon (Software oder Hardware) hinter einer NAT-Firewall, das sich über einen VoIP-Provider anmeldet. Dort agiert ein Proxy als Mittelsmann.
Über das Protokoll SIP erfolgt zum einen die Anmeldung beim VoIP-Provider und zum anderen auch der Aufbau eines Anrufs. Dazu muss also der entsprechende Port 5060 nach außen freigegeben sein. SIP verwendet sowohl UDP als auch TCP.
FORWARD -dir OUT -prot TCP -src VOIP_PHONE:ANY -dest ANY:5060
FORWARD -dir OUT -prot UDP -src VOIP_PHONE:ANY -dest ANY:5060
Eingehende Anrufwünsche werden ebenfalls über den Port 5060 empfangen. Sie sind also an das IP-Telefon weiterzuleiten.
FORWARD -dir IN -prot TCP -src ANY:ANY -dest VOIP_PHONE:5060
FORWARD -dir IN -prot UDP -src ANY:ANY -dest VOIP_PHONE:5060
Diese Freigaben betreffen allerdings nur die Anrufsignalisierung. Die eigentlichen Sprachdaten werden mit dem RTP per UDP übertragen. Im Allgemeinen kann man beim VoIP-Telefon einstellen, über welche UDP-Ports der RTP-Stream eingehen soll. Diesen Port und den nächsthöheren leiten Sie an das Telefon weiter. Der zusätzliche Port dient der Übermittlung von RTPS-Nachrichten, über die die Gegenstelle Informationen über Qualität und potenzielle Fehler meldet.
FORWARD -dir IN -prot UDP -src ANY:ANY -dest VOIP_PHONE:RTP_PORT
FORWARD -dir IN -prot UDP -src ANY:ANY -dest VOIP_PHONE:RTP_PORT+1
ICMP: Internet Control Message Protocol
Das Internet Control Message Protocol (ICMP) dient zum Austausch von Fehler- und Statusmeldungen, falls bei der Übertragung des Internet Protocol (IP) Fehler auftreten. Ist beispielsweise ein Host nicht erreichbar, sendet ein Router die Fehlermeldung "Destination Unreachable" zum Absender. Neben der Fehlerübermittlung dient ICMP auch zur Kontrolle: So verwendet der Ping-Befehl ICMP-Pakete, um die Laufzeit von Datagrammen zwischen zwei Hosts zu ermitteln.
Weitere Details zum Internet Control Message Protocol erfahren Sie im tecCHANNEL-Beitrag "So funktioniert TCP/IP" sowie in RFC 792.
Angriffe über ICMP
Das Internet Control Message Protocol ist eine Gratwanderung zwischen Sicherheit und Performance. Wer geringe Performance-Einbußen in Kauf nimmt, kann das Protokoll vollständig blocken. Die Internetverbindung sollte in den meisten Fällen trotzdem problemlos funktionieren.
Die Gefahr ist, dass das ICMP für Angriffe missbraucht werden kann, indem künstlich falsche Fehlermeldungen versendet werden. So ist beispielsweise ein Angriff wie Denial-of-Service (DoS) möglich. Ein solcher Angriff kann zum Ausfall einiger Dienste oder im schlimmsten Fall zum Systemabsturz eines Rechners führen.
Durch die ICMP-Dienste Echo und Echo Reply kann sich ein Angreifer auch nützliche Informationen über den Aufbau eines Netzwerks verschaffen. Hierzu gehören die Anzahl der Maschinen und welche IP-Adressen existieren. Diese Informationen können von Hackern dann für weitere, gezielte Angriffe verwendet werden.
Weitere Details zu Angriffen aus dem Internet bietet Ihnen der Artikel "Firewall-Grundlagen".
ICMP-Meldungen I
Wie bereits erwähnt, sollte man grundsätzlich erst einmal alle Ports schließen und nur diejenigen öffnen, die wirklich benötigt werden. Bei ICMP gibt es zahlreiche Meldungen, in der Praxis benötigt man jedoch nur wenige. Die Meldungen sind in ICMP-Typen unterteilt. Weitere Informationen zu den einzelnen Typen finden Sie hier auf den Webseiten der IANA. Die benötigten Paketfilterregeln erläutern wir Ihnen im Folgenden.
Fehlermeldungen
Typ 3 - Destination Unreachable : Diese Meldung wird versendet, falls ein Gateway ein entsprechendes Netz, oder ein Zielrechner ein Protokoll oder einen Port nicht finden kann. Eingehende Datenpakete dieses Typs sollte man zulassen. Dies spart Wartezeit, ansonsten muss der Client auf einen Time-out warten.
FORWARD -dir IN -prot ICMP_Typ_3 -src ANY:ANY -dest LOCAL_CLIENT:ANY
Typ 11 - Time Exceeded: Dem Sender eines Datenpakets teilt diese Meldung mit, dass das Datenpaket wegen einer Zeitüberschreitung nicht übertragen wurde. Ein Grund hierfür kann ein "Paketstau" am entsprechenden Router sein, oder auf dem Zielrechner ist das IP-Protokoll nicht in der Lage, die Fragmente zu einem vollständigen Datenstrom zusammenzusetzen. Diese Meldung sollte man eingehend zulassen.
FORWARD -dir IN -prot ICMP_Typ_11 -src ANY:ANY -dest LOCAL_CLIENT:ANY
ICMP-Meldungen II
Typ 12 - Parameter Problem: Dem Sender eines Datagramms teilt diese Meldung mit, warum das Datenpaket nicht übertragen wurde.
FORWARD -dir IN -prot ICMP_Typ_12 -src ANY:ANY -dest LOCAL_CLIENT:ANY
Typ 4 - Source Quench: Die Puffer-Problem-Meldung teilt dem Sender des Datenpakets mit, warum das Datenpaket nicht übertragen wurde.
FORWARD -dir IN -prot ICMP_Typ_4 -src ANY:ANY -dest LOCAL_CLIENT:ANY
Informationsmeldung
Typ 8 - Echo / Typ 0 - Echo Reply: An den Sender eines Echo Request werden vom Empfänger alle im Datenpaket enthaltenen Daten zurückgeschickt. Dadurch stellt man fest, ob eine bestimmte IP-Adresse erreichbar ist oder nicht. Viele selbst ernannte Hacker scannen das Internet mit Echo nach Rechnern, die mit Echo Reply antworten. Diese Rechner werden daraufhin auf Trojaner durchsucht. Daher sollte man Echo nur ausgehend und Echo Reply nur eingehend zulassen.
FORWARD -dir OUT -prot ICMP_Typ_8 -src ANY -dest ANY
FORWARD -dir IN -prot ICMP_Typ_0 -src ANY -dest ANY
File-Sharing-Tools I
File-Sharing-Dienste wie Gnutella und eDonkey erfreuen sich steigender Beliebtheit. Sei es zum Tausch von Musikdateien, Videos oder erotischen Materials zur Befriedigung unerfüllter Phantasien. So mancher Chef möchte diese Dienste trotzdem seinen Mitarbeitern im Firmennetz zur Verfügung stellen, auch wenn diese nicht allzu viel mit der eigentlichen Arbeit zu tun haben. Auf den folgenden Seiten erläutern wir die hierzu nötigen Paketfilterregeln.
Gnutella: Der Peer-to-Peer-Dienst Gnutella ist einer der bekanntesten Tauschdienste. Um auf die File-Sharing-Dienste zugreifen zu können, müssen die TCP-Ports 6346 und 6347 ausgehend freigegeben werden.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:6346
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:6347
Weitere Details zum Einsatz von Gnutella hinter Firewalls finden Sie hier.
File-Sharing-Tools II
eDonkey: Standardmäßig nutzt eDonkey die Ports 4661, 4662 sowie 4665. Allerdings muss man zur Nutzung des Clients nur den TCP-Port 4662 ausgehend öffnen. Der TCP-Port 4661 wird für den Serverbetrieb benötigt und ist somit für den Client nicht relevant. Die Nachrichtenfunktion von eDonkey nutzt den UDP-Port 4665.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:4662
Obiges Beispiel ist somit ausreichend. Will man einen Server laufen lassen und dazu noch Nachrichten mit anderen Usern austauschen, sind folgende Paketfilterregeln anzulegen.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:4661
FORWARD -dir IN -prot UDP -src ANY:ANY -dest LOCAL_CLIENT:4662
FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:4665
KaZaA und Morpheus: Die beiden Peer-to-Peer-Tools KaZaA und Morpheus nutzen den TCP-Port 1214 zum Austausch von Daten mit anderen Anwendern.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:1214
Online-Spiele I
Gemeinsam über das Internet zu spielen wird immer beliebter. Die nötigen Firewall-Regeln für die beliebtesten Online-Games haben wir hier zusammengefasst. Diese sollte man allerdings nur freischalten, wenn der Chef gelegentliches Spielen am Arbeitsplatz erlaubt.
Battle.net: Das wohl bekannteste Portal ermöglicht das gemeinsame Spielen von StarCraft, WarCraft II, Diablo sowie Diablo II. Dazu ist der Port 6112 jeweils für TCP und UDP ein- und ausgehend freizuschalten.
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:6112
IF FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY GAME_SERVER:6112 THEN FORWARD -dir IN -prot TCP -src GAME_SERVER:6112 -dest LOCAL_CLIENT:ANY
FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:6112
IF FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY GAME_SERVER:6112 THEN FORWARD -dir IN -prot UDP -src GAME_SERVER:6112 -dest LOCAL_CLIENT:ANY
Online-Spiele II
Microsoft Zone.com: MSN ermöglicht auf der Homepage Zone.com das gemeinsame Spielen von Strategietiteln wie Age of Empires. Zur Nutzung müssen die entsprechenden Ports für Zone.com sowie für die Spieleschnittstelle DirectX freigegeben werden.
Zone.com:
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:6667
FORWARD -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:28800-29100
DirectX 8:
FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:6073
FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:2302-2400
IF FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY GAME_SERVER:2302-2400 THEN FORWARD -dir IN -prot UDP -src GAME_SERVER:2302-2400 -dest LOCAL_CLIENT:ANY
Microsoft SideWinder Game Voice: Das Peripheriegerät für den PC erlaubt sowohl die direkte Kommunikation mit anderen Spielern via LAN oder Internet, als auch die Sprachsteuerung von Spielen.
FORWARD -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:9110
Soll ein Rechner im lokalen Netz auch als Chat-Host fungieren, muss der UDP-Port 9110 auch eingehend freigegeben werden.
FORWARD -dir IN -prot UDP -src ANY:9110 -dest LOCAL_CLIENT:ANY
Microsoft Netzwerk
Windows verwendet eine Reihe von Ports, um seine Netzwerkfunktionen zu erfüllen. In der alten Implementation, die bis Windows Me/NT zum Einsatz kam, waren das die Ports 137, 138 und 139. Seit Windows 2000 werden die Server Message Blocks über Port 445 versendet. Natürlich sind die Windows-Versionen ab 2000 auch rückwärts kompatibel, so dass beide Verfahren nebeneinander laufen können.
Über Port 137 wird der so genannte NetBIOS name service abgewickelt. Über diesen ordnet Windows - ähnlich wie bei DNS - Rechnernamen und IP-Adressen einander zu. Das führt unter Umständen zu folgendem Effekt: Surft ein Benutzer auf einem Windows-Webserver, kommt von diesem eine Anfrage auf Port 137 an den Rechner des Benutzers. Denn der Windows-Server nutzt die Winsock-Funktion gethostbyaddr(), um den Namen des entfernten Rechners aufzulösen. Unter Windows ist diese Funktion allerdings so implementiert, dass zunächst die NetBIOS-Namensauflösung versucht wird und erst bei einem Fehlschlag die DNS-Auflösung erfolgt.
Solcher Traffic sollte generell unterbunden werden, sowohl eingehend als auch ausgehend. Sollen zwei Windows-Netzwerke über das Internet Daten austauschen, ist generell ein VPN angeraten.
DROP -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:137
DROP -dir IN -prot UDP -src ANY:ANY -dest LOCAL_CLIENT:137
DROP -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:137
DROP -dir IN -prot TCP -src ANY:ANY -dest LOCAL_CLIENT:137
Microsoft Netzwerk Port 138
Hinter Port 138 versteckt sich der NetBIOS datagram service. Über diesen versendet Windows hauptsächlich Informationen über das Windows-Netzwerk, meistens per Broadcast. Beispielsweise der Windows-Dienst Computerbrowser nutzt NetBIOS-Nachrichten, um eine Liste aktueller Rechner im Windows-Netzwerk zu erstellen und über die Netzwerkumgebung anzuzeigen.
Die größte Gefahr bei den datagram services ist, dass ein Hacker Windows mittels gefälschter Pakete davon überzeugen kann, dass sein Rechner zum lokalen Netzwerk gehört und damit die Sicherheits-Unterscheidung zwischen lokalen und Internet-Rechnern umgehen kann.
Auch hier gilt, dass man diesen Port in beide Richtungen dicht machen sollte.
DROP -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:138
DROP -dir IN -prot UDP -src ANY:ANY -dest LOCAL_CLIENT:138
DROP -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:138
DROP -dir IN -prot TCP -src ANY:ANY -dest LOCAL_CLIENT:138
Microsoft Netzwerk Port 139
Der eigentliche Datenaustausch bei Windows-Netzwerken findet über Port 139 statt, den NetBIOS session service. Ist dieser Port offen, kann ein Hacker sich mit dem Rechner verbinden und versuchen, die Datei- und Druckerfreigabe zu hacken. Meist erfolgt das über eine Brute-Force-Attacke, bei der eine Vielzahl gängiger Passwörter ausprobiert wird.
Ein offener Port 139 verursacht zudem andere Probleme. Beispielsweise lauscht auch der Messenger-Dienst von Windows hier auf Nachrichten, die per net send geschickt werden. Immer öfter wird das zum Spammen missbraucht. Dabei kommt keine E-Mail beim User an, sondern ein Windows-Fenster mit dem Spam geht auf.
Deshalb sollte dieser Port unbedingt in beide Richtungen gesperrt werden.
DROP -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:139
DROP -dir IN -prot UDP -src ANY:ANY -dest LOCAL_CLIENT:139
DROP -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:139
DROP -dir IN -prot TCP -src ANY:ANY -dest LOCAL_CLIENT:139
Microsoft Netzwerk Port 135
Auch wenn Sie den Port 139 geschlossen haben, kann der Messenger-Spam bei Ihnen ankommen. Das Kommando net send nutzt ein undokumentiertes Feature des Microsoft RPC-Dienstes, der hinter Port 135 (epmap, endpoint mapper) auf eingehende RPC-Anfragen lauscht. Dieser bietet nämlich unter anderem eine Verbindung zum Messenger-Dienst, so dass net send diesen Weg als Alternative versucht, wenn der normale Zugang über Port 139 fehlschlägt. Inzwischen gibt es schon Spam-Tools, die gleich diese Methode nutzen, um den Spam abzusetzen.
Weitere Dienste, die ebenfalls über epmap versorgt werden, sind beispielsweise der DHCP-, der DNS- und der WINS-Server von Windows. Zudem wird Port 135 zur entfernten Administration für beinahe alle Windows-Dienste verwendet.
Dementsprechend gilt auch für diesen Port: sperren!
DROP -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:135
DROP -dir IN -prot UDP -src ANY:ANY -dest LOCAL_CLIENT:135
DROP -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:135
DROP -dir IN -prot TCP -src ANY:ANY -dest LOCAL_CLIENT:135
Microsoft Netzwerk Port 445
Mit Windows 2000 hat Microsoft das SMB-Protokoll um die Möglichkeit erweitert, komplett über TCP/IP abgewickelt zu werden - ohne den Umweg via "NetBIOS über TCP/IP". Dazu verwendet Windows ausschließlich den Port 445 (microsoft-ds).
In einer Umgebung mit nur Windows 2000, XP und .NET Server 2003 können Sie diese Ports abschalten, indem Sie in den Optionen der Netzwerkkarte "NetBIOS über TCP/IP" deaktivieren. Infolgedessen wird allerdings die Namensauflösung im LAN nur noch über DNS abgewickelt und nicht mehr über WINS oder NetBIOS-Broadcasts. Dann benötigen Sie also entweder einen DNS-Server im LAN, der auch die lokalen Rechner verwaltet (etwa Windows 2000 als DHCP- und DNS-Server) oder Sie müssen auf jedem Rechner eine Host-Liste anlegen.
Auch für den Port 445 gilt: SMB-Traffic hat nur innerhalb des LAN etwas zu suchen:
DROP -dir OUT -prot UDP -src LOCAL_CLIENT:ANY -dest ANY:445
DROP -dir IN -prot UDP -src ANY:ANY -dest LOCAL_CLIENT:445
DROP -dir OUT -prot TCP -src LOCAL_CLIENT:ANY -dest ANY:445
DROP -dir IN -prot TCP -src ANY:ANY -dest LOCAL_CLIENT:445
Neu: Microsoft Exchange
Der Exchange-Server von Microsoft agiert auf einer ganzen Reihe von Ports. Neben den bereits beschriebenen Ports für Mail- und News-Dienste - POP3, POP3S, SMTP, IMAP4 und IMAPS - kommen dazu noch X.400 MTA, LDAP, Secure LDAP und epmap. Letzterer dient zur entfernten Verwaltung des Exchange-Servers und sollte, wie bereits beschrieben, für den Zugriff von außen gesperrt werden.
Da die Kommunikationsports auch von außen erreichbar sein sollen, müssen sie auf der Firewall für den Exchange-Server freigeschaltet werden, zumindest für SMTP, damit MTAs ihre Mails abliefern können:
FORWARD -dir IN -prot TCP -src ANY:ANY -dest EXCHANGE_SRV:25
Sollen die Postfachinhaber in der Lage sein, auch von extern auf ihre Mails zuzugreifen, sind die POP- und IMAP-Ports ebenfalls für den Exchange-Server zu öffnen:
FORWARD -dir IN -prot TCP -src ANY:ANY -dest EXCHANGE_SRV:110
FORWARD -dir IN -prot TCP -src ANY:ANY -dest EXCHANGE_SRV:995
FORWARD -dir IN -prot TCP -src ANY:ANY -dest EXCHANGE_SRV:143
FORWARD -dir IN -prot TCP -src ANY:ANY -dest EXCHANGE_SRV:993
Über LDAP und Secure LDAP ermöglicht der Exchange-Server die Suche nach Namen, Telefonnummern und Mail-Adressen. Das sollte eigentlich den Benutzern im LAN vorbehalten sein:
DROP -dir IN -prot TCP -src ANY:ANY -dest ANY:389
DROP -dir IN -prot TCP -src ANY:ANY -dest ANY:636
Auf Port 102 wartet Exchange auf Anfragen von X.400-fähigen Mail Transfer Agents. Diesen können Sie je nach Bedarf freischalten.
Neu: Microsoft SQL Server
Auf Grund der vielen bekannten Sicherheitslücken im MS SQL Server sollten Sie den Zugriff nur Systemen im LAN ermöglichen. Zuständig sind die Ports 1433 und 1434. Ersterer dient der eigentlichen Kommunikation und Letzterer ist für das Monitoring zuständig.
DROP -dir IN -prot TCP -src ANY:ANY -dest ANY:1433
DROP -dir IN -prot UDP -src ANY:ANY -dest ANY:1434
Neu: SUSE Meta PPP-Daemon
Viele Netzwerke besitzen keine feste Anbindung an das Internet, sondern wählen sich bei Bedarf ein. Die Kontrolle über diese Verbindung hat dabei je nach Einwahlart (ISDN oder DSL) der ipppd oder der pppd. Im Prinzip reicht es, diese Programme korrekt zu starten, um online zu sein.
Um die Verbindung automatisch bei Bedarf herzustellen oder den Daemon von einer anderen Maschine aus zu steuern, eignet sich der SUSE Meta PPP Daemon (smpppd). Er stellt Hilfsprogrammen eine einheitliche Schnittstelle zur Verfügung, die in zwei Richtungen funktioniert.
Zum einen programmiert er den jeweils nötigen pppd oder ipppd, und steuert dessen Einwahlverhalten. Zum anderen stellt er den Benutzerprogrammen verschiedene Provider zur Verfügung, und übermittelt Informationen über den aktuellen Zustand der Verbindung. Da der smpppd auch über das Netz (Port 3185) steuerbar ist, eignet er sich gut, um die Einwahl ins Internet von einer Workstation im privaten Subnetz aus zu steuern.
Allerdings sollte der Zugriff auf den Daemon auf das lokale Netz beschränkt bleiben:
DROP -dir IN -prot TCP -src ANY:ANY -dest ANY:3185
Neu: KDE System Guard
Dabei handelt es sich um den KDE Task Manager und Performance Monitor, der die Daten auch von entfernten Stationen einsammeln kann. Die Kommunikation läuft über den Port 3112.
Da es im Allgemeinen nicht erwünscht ist, dass beliebige Rechner aus dem Internet diese Daten abfragen, sollte der entsprechende Port an der Firewall geblockt werden.
DROP -dir IN -prot TCP -src ANY:ANY -dest ANY:3112
Ports im Überblick
In der tecDaten-Tabelle haben wir für Sie alle wichtigen Ports zusammengestellt. Unsere Übersicht gibt Ihnen Aufschluss darüber, welche Nebenstellen von welchen Applikationen verwendet werden und welches Protokoll zum Einsatz kommt: TCP oder UDP. Zudem haben wir jeweils die bekanntesten und häufigsten Trojaner und Würmer aufgeführt.
Wir haben für Sie die einzelnen Ports bewertet. So wissen Sie in Zukunft genau, welche Ports Sie bei der Konfiguration Ihrer Firewall freigeben oder sperren sollten:
Note | Beschreibung |
|---|---|
1 | Werden in praktisch jeder Umgebung benötigt |
2 | Werden meist benötigt |
3 | Je nach Bedarf freischalten |
4 | Werden selten benötigt |
5 | Nur freigeben, wenn es unbedingt sein muss |
6 | Unter keinen Umständen freigeben |
Diese Übersicht ergänzen wir in regelmäßigen Abständen. (mha)