Böser Port 80

Port 80 Datenstrom

Was so alles über den Port 80 kommt

image.jpg

© Hersteller/Archiv

So gelangt auch über den Weg der Web-Verbindung nichts auf den PC: Software-Lösungen (hier DeviceLock in der Version 7.1) kontrollieren und sperren den Zugang zu Web-Mail-Accounts.

Wer sich nun unter diesen Voraussetzungen auf seinem PC umschaut, wird schnell feststellen, dass eben der Port 80 in die ausgehende Richtung offen ist: Das muss er auch sein, denn sonst wäre ein Surfen im Internet nicht möglich. Schließlich erwarten die meisten Webserver entsprechende Anfragen auf diesem Port. Kommt dann eine Verbindung zustande, so kommen auch Daten vom Webserver über diese Verbindung auf den anfragenden PC zurück.

Diesen notwendigen Umstand machten sich bereits vor Jahren Entwickler zunutze, um ihren Applikationen ganz ungehindert von Firewall-Einstellungen freizügige Netzwerkzugriffe zu ermöglichen. Fernwartungsprogramme, Musik-Tauschbörsen, Dokumenten-Synchronisation und fragwürdige Programme machen von der Verbindung über Port 80 reichlich Gebrauch.

Faktisch jedes Programm besitzt eigene, typische Port-Adressen für die Kommunikation. Glaubt nun der IT-Profi, dass er durch gezieltes Sperren der Ports 5190 bis 5193 beispielsweise den bekannten AIM-Messenger (AOL Instant Messaging) blockieren kann, so wird er schnell feststellen müssen, dass die Messenger-Software in der Lage ist, die Ports dynamisch zu wechseln.

Er beherrscht das sogenannte Port-Hopping. Das ist eine Technik, die auch von beliebten Programmen wie Skype exzessiv eingesetzt wird: Standardmäßig sind 5190 bis 5193 die typischen AIM-Ports. Sind diese beispielsweise durch eine Firewall gesperrt, so wechselt die Software auf Port 80 und kommuniziert über diesen Weg typischerweise völlig ungehindert weiter.

Nun gibt es genügend Firmen, die einen freizügigen Austausch von Informationen über Instant Messenger wie den AIM oder Google-Talk nicht wünschen. Einerseits droht die Gefahr durch das Einschleusen von maligner Software, andererseits könnten auf diesem Weg aber auch Geschäftsgeheimnisse die Firma verlassen.

So kann der Einsatz eines Instant Messengers schnell zum Sicherheitsrisiko für ein Unternehmen werden. Das gleiche gilt für Anwendungen wie Skype, die ebenfalls einen ungehinderten Datentransfer möglich machen: Ein Sperren des jeweils spezifischen Ports (oder auch mehrerer Ports) kann das Problem nicht lösen - die Programme umgehen dies durch das zuvor geschilderte Port-Hopping ohne Probleme.

Bei Skype kommt etwa erschwerend hinzu, dass diese Anwendung bei jedem Start automatisch den Port wechselt, den sie verwendet: ein Albtraum für Administratoren. Auch der Einsatz von Web-Mail-Konten stellt eine entsprechende Gefahr dar: Da solch eine Verbindung ebenfalls komplett über den Browser und damit über den offenen Port 80 abläuft, findet hier in der Regel keine Kontrolle statt.

Dabei ist es nicht so gravierend, dass zum Beispiel Schadprogramme auf diesem Weg in das Netz gelangen - die werden in der Regel später noch von den internen Sicherheitsprogrammen erkannt.

Es geht vielmehr darum, dass auch auf diesem Weg Daten und Informationen jeder Art unkontrolliert aus der Firma abwandern: Wird der E-Mail-Server der Firma noch überwacht und werden die Nachrichten dort vielleicht durch entsprechende Sicherheitsrichtlinien kontrolliert, so ist das offene Scheunentor Port 80 mitsamt der Web-Mail-Konten völlig unbewacht.

Lösungsansätze

Wie kann nun der IT-Verantwortliche sicherstellen, dass nur die von ihm gewünschten Programme eingesetzt werden und ein unerlaubter Datenaustausch nicht stattfindet? Ein denkbarer Ansatz wäre es, den Start der jeweiligen Applikation auf dem Computer gezielt zu verbieten beziehungsweise zu unterbinden.

So wird dann nicht nur die nicht erwünschte Kommunikation, sondern gleich die gesamte Verwendung einer unerwünschten Applikation verhindert. Es existieren auch schon Sicherheitslösungen, die komplett auf ein so genanntes White-Listing setzen: Dabei dürfen auf den Systemen nur noch zuvor getestete und zugelassene Programme starten, alle anderen unautorisierten Anwendungen werden geblockt.

Die Pflege einer Liste mit unzulässigen und zulässigen Programmen ist jedoch mit sehr viel Aufwand verbunden und droht schon allein durch eine ständige wachsende Versionsvielfalt sehr schnell zu veralten.

Auch die in diesem Zusammenhang häufig angemahnte Verwendung von Proxy-Servern für die Anbindung ans Internet kann nur bedingt helfen: Viele Proxy-Server erkennen den speziellen Netzwerkverkehr nicht, der da über den Port 80 wandert - für diese Server ist das normaler Web-Traffic, den sie entsprechend passieren lassen.

Geht es speziell darum, derartigen Web-Verkehr zu überwachen, so bieten sowohl spezielle Lösungen zur Kontrolle der Endpunkte an, wie die im Bild oben gezeigte Software DeviceLock der gleichnamigen Firma: Mit solchen Programmen kann ein Administrator gezielt Anwendungen und eben auch Web-Mail-Dienste kontrollieren und so das Abwandern der Daten verhindern.

Diese Art der Programme ist ähnlich wie die so genannten Web-Gateways dazu in der Lage, den über den Port 80 fließenden Datenstrom auch auf den Inhalt bis hinunter auf eine Ebene, auf der einzelne Schlüsselworte erkannt werden, zu kontrollieren und im Zweifelsfall zu blockieren.

Der sicherste und für einen Administrator am leichtesten umzusetzende Weg ist der Einsatz einer UTM-(Unified Threat Management) beziehungsweise NG-Firewall-Lösung (Next Generation). Diese Geräteklasse besitzt die Fähigkeit, den Inhalt von Paketen zu analysieren und so das Netzwerk auf Inhaltsebene zu schützen.

image.jpg

© Hersteller/Archiv

Sperren in der Registry: Microsoft Windows erlaubt es zwar, über die Registry und somit auch über Gruppenrichtlinien Anwendungen gezielt zu sperren. Aber der Start über COMMAND/CMD-Konsole oder das Umbenennen der Software hebelt diesen "Schutz" bereits wieder aus.

Zudem kommen auf dieser Art von Geräten neben den klassischen Firewall-Aufgaben auch andere Schutzmechanismen wie eine Echtzeitprüfung von Paket-Inhalten kombiniert mit einem Virenscanner und zumeist auch mit einem Intrusion Detection System (IDS) zum Einsatz.

Je nach Implementierung kann der Administrator dann beispielsweise entsprechende Regeln für Up- und Downloads abhängig von Art der Dateien, Ort, Tageszeit, Benutzergruppe, Browser-Version oder URL festlegen. Hier kann er dann ebenfalls bestimmen, welche Anwendungen erlaubt sind.

Dadurch, dass diese Geräte den kompletten Datenstrom überwachen, ist es für die Applikationen unmöglich, einer solchen Sperre durch ein Port-Hopping zu entgehen: Die Firewall erkennt beispielsweise den charakteristischen Datenverkehr von Dropbox oder Skype und blockiert ihn zuverlässig.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.