Poorten en poortnummers

In het kader van beveiliging is het noodzakelijk te weten dat je pc's en netwerk met de buitenwereld communiceren via zogenaamde 'poorten'.

In dit artikel gaan we in op de verschillende poorten die er zijn en hoe je kunt zien wat er via deze poorten aan dataverkeer in- en uitgaat.

  • Meerdere communicatielijnen
  • Socket
  • Onderverdeling van de poorten
  • Tools geven inzage in de poorten
  • Tool 1 - NetStat toont ingebruik zijnde poorten
  • Tool 2 - NbtStat toont de naamtabellen
  • Tool 3 - Essential nettools als Zwitsers legermes
  • Verbinding monitoren
  • Tot slot

Meerdere communicatielijnen

Poorten en poortnummers zijn een essentieel onderdeel van de internetcommunicatie (TCP/UDP) tussen pc's. Poorten maken het namelijk mogelijk dat een pc meerdere communicatielijnen tegelijkertijd kan gebruiken. In dit artikel gaan we in op de belangrijkste poorten van je pc en hun specifieke functie.

In het kader van beveiliging van je pc is er een onderverdeling te maken tussen 'goede en slechte' programma's. De makers van slechte software (die onrechtmatig gebruik willen maken van de poorten op je pc) kunnen er immers kwade bedoelingen mee hebben. Je firewall maakt hen dat onmogelijk. Een pakketfilter-firewall leest namelijk het poortnummer uit van de afzender en de geadresseerde. Op basis van deze poortnummers reageert de firewall met het al dan niet actief maken van een firewall-beleidsregel. Om firewalls optimaal te kunnen configureren is enige basiskennis van poorten dan ook onontbeerlijk.


Socket

De combinatie van een IP-adres en een poort noemen we een socket. Via de socket is het mogelijk om een bepaald netwerkbereik te benaderen. De notatie van zo'n socket is als volgt:

61.98.225.60:90.

Eerst wordt het IP-adres genoemd en achteraan het poortnummer. In totaal staan de gebruiker 65.535 TCP/UDP-poorten ter beschikking.


Onderverdeling van de poorten

Om in het grote aantal poorten structuur aan te brengen heeft men de poorten in drie groepen verdeeld.

Well known ports
Dit zijn poortnummers tussen 1 en 1023, die officieel worden beheerd door de Internet Assigned Numbers Authority (Engelstalige externe site). Tot 1992 waren de poorten 1 tot en met 255 in gebruik, daarna is het scala uitgebreid tot 1023 omdat er voor specifieke UNIX-services poorten bij moesten komen. Omdat zowel afzender als ontvanger weten welke poort gebruikt wordt voor bijvoorbeeld een sessie via een telefoonlijn (de standaard poort voor zo'n 'TelNet'-verbinding is poort 23), is het eenvoudig om een verbinding op te zetten. Clients kunnen zo eenvoudig inloggen op een server zonder speciale ingrepen.

Een overzicht van de meest bekende poorten:

  • Poortnummer 21: File Transfer Protocol (FTP)
  • Poortnummer 23: Telnet
  • Poortnummer 25: Simple Mail Transfer Protocol (SMTP)
  • Poortnummer 70: Gopher
  • Poortnummer 79: Finger
  • Poortnummer 80: Hyper Text Transfer Protocol (http)
  • Poortnummer 110: Post Office Protocol 3 (POP3)
  • Poortnummer 119: Netwerk News Transfer Protocol (NNTP)

Registered ports
Dit is het poortbereik tussen 1024 en 49151. Dit bereik is bedoeld als back-up voor speciale diensten. Zo maakt een proxy server als alternatief voor poort 80 (http) gebruik van poort nummer 3128.

Schermafbeelding: Registered ports

Dynamically Allocated Ports
Deze worden ook wel Ephemeral ports genoemd. De poorten liggen in het bereik 49152 tot en met 65535. Ze worden dynamisch toegewezen aan clients die een poort nodig hebben. Mits ze voldoen aan een geldige combinatie van transportprotocol, IP-adres en poortnummer.


Tools geven inzage in de poorten

Om inzage te krijgen in wat er met de poorten gebeurt en hoe zij worden gebruikt, moet je gebruik maken van een speciale tool. Bij Windows worden standaard twee van deze tools meegeleverd, NetStat en NbtStat. Ook bekijken we een tool uit het shareware-circuit.


Tool 1 - NetStat toont ingebruik zijnde poorten

Om te weten welke poorten actief zijn op je pc kun je gebruik maken van het commando netstat dat in Windows is ingebouwd. Het programma biedt weliswaar niet zeer veel opties maar kan toch een aardig beeld geven welke poorten open staan wanneer je met de pc werkt:

  1. Kies Start >> Uitvoeren.
  2. Typ cmd en druk op Enter.
  3. In het geopende DOS-venster typ je achter de commandoprompt:

    C> netstat

Je ziet nu een venster zoals hierboven afgebeeld. NetStat toont een lijst van alle inbound en alle outbound netwerkconnecties, inclusief alle informatie van openstaande TCP- en UDP-poorten, IP-adressen en de status van een connectie. Het programma kent een aantal parameters. Om meer essentiëlere informatie uit NetStat te kunnen destilleren heb je deze parameters beslist nodig. Een overzicht van deze parameters kun je opvragen terwijl je werkt met NetStat door te typen:

netstat /?

» Meer informatie (Engelstalig)


Tool 2 - NbtStat toont de naamtabellen

Een andere ingebouwde Windows netwerkanalyse-tool is NbtStat. Dit programma start je op dezelfde manier als NetStat, dus ook via de command prompt. Het programma toont de protocolstatistieken van NetBIOS, zoals dat via TCP/IP (NetBT) wordt gebruikt. Zo zie je de naamtabellen van NetBIOS voor zowel de lokale pc als voor de remote computer en wordt ook de naamcache getoond van NetBIOS. Verder kan NbtStat deze naamcache opschonen.

» Meer informatie (Engelstalig)


Tool 3 - Essential nettools als Zwitsers legermes

Het shareware-circuit biedt een aantal interessante programma's. Een van die programma's is Essential NetTools dat je kunt downloaden van Tamos (externe Engelstalige site). Het gaat hier om een set netwerk-tools om je netwerk te diagnosticeren. Helaas is het pakket niet in het Nederlands verkrijgbaar, maar uiteraard wel in het Engels. Het is het beste te vergelijken met een Zwitsers legermes en biedt talloze opties en mogelijkheden:

NetStat
Vergelijkbaar met de gelijknamige tool van Windows XP en Windows 2000. De Essential NetTools- versie kan ook aangeven welke applicatie de eigenaar is van een bepaalde verbinding.

NBScan
Dit is een krachtige en snelle NetBIOS-scanner. NBScan scant een netwerk binnen een bepaalde IP-range en geeft een lijst van de computers die NetBIOS en shares aanbieden. Daarnaast toont de utility de naamtabellen en MAC-adressen. Het is vergelijkbaar met de Microsoft-tool NbtStat, maar dan met een grafische gebruikersinterface. Hierdoor is het gebruikersvriendelijk. Een interessante optie is het parallel scannen: hierdoor kun je een netwerk in minder dan een minuut scannen.

Schermafbeelding: Essential NetTools

PoortScanner
Dit is een TCP-poortscanner die het netwerk afzoekt naar actieve poorten. Je kunt zoeken naar poorten die een volledige connectie toestaan (conventionele poorten) of poorten die maar voor de helft open staan (stealth).

Shares
Het programma Shares verzorgt het monitoren en bijhouden van externe connecties naar de gedeelde bronnen van je computer. De optie toont lokale shares en biedt hulp bij het contact leggen met externe bronnen.

SysFiles
SysFiles is een eenvoudige editor voor de vijf belangrijkste systeembestanden: services, protocollen, netwerken, hosts en lmhosts.

NetAudit (NetBIOS Auditing Tool)
Deze tool kan je helpen om potentiële beveiligingslekken op te sporen.

RawSocket
Deze tool biedt je de mogelijkheid om een low-level TCP- and UDP-connectie op te zetten en zo de verschillende netwerk services te testen.

TraceRoute en Ping
Een handige utility om verbindingsproblemen te analyseren en op te lossen.

NSLookup
Een conversie-tool voor IP-adressen naar hostnamen en vice versa, het verkrijgen van aliassen, en het uitvoeren van geavanceerde DNS-queries zoals MX of CNAME.

ProcMon
Dit is wellicht het meest interessante onderdeel van de toolset. ProcMon toont alle actieve programma's met volledige informatie over de locatie van het programma, de leverancier, het ID van het proces en de actieve modules. Met ProcMon kun je verborgen applicaties ontdekken en ongewenste processen afsluiten, waardoor je de beschikbare bronnen van je pc beter kunt beheren.


Verbinding monitoren

Om te zien wat er in de praktijk gebeurt met actieve poorten, openen we een willekeurige internetpagina, terwijl Essential Nettools op je pc actief is.

    1. Start Internet Explorer en maak bijvoorbeeld contact met de webpagina van Microsoft Office Magazine.
    2. Activeer het venster van Essential Nettools.

Schermafbeelding: NetStat

  1. Je ziet in de afbeelding dat Internet Explorer een verbinding heeft gemaakt met het IP-adres 195.193.116.187. Op de server waarop de website van Microsoft Office Magazine draait hebben we verbinding met de well known TCP-poort 80. Op de client is dynamisch poort 1495 toegewezen. De client die deze internetpagina heeft opgeroepen is in het lokale netwerk te herkennen onder Local IP-nummer 192.168.1.102.

Tot slot

Bij het instellen van je beveiligingssoftware, virusscanners en vooral firewalls moet je tal van instellingen opgeven. Een aantal daarvan heeft betrekking op de poorten van je systemen: welke poorten stel je open voor communicatie en welke niet. Dit artikel heeft je hiervoor enige achtergrondinformatie gegeven over de werking en de betekenis van de poorten.

« terug

© copyright 1988-2014 VTM Groep | Algemene voorwaarden | Disclaimer | Sitemap

kpn