... unnützlich1
Unnützlich aus der Sicht eines normalen Anwenders. Und über eine Firewall sollten nur die Dienste ermöglicht werden, die unbedingt nötig sind.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... unnützlich2
Unnützlich aus der Sicht eines normalen Anwenders. Und über eine Firewall sollten nur die Dienste ermöglicht werden, die unbedingt nötig sind.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... unnützlich3
Unnützlich aus der Sicht eines normalen Anwenders. Und über eine Firewall sollten nur die Dienste ermöglicht werden, die unbedingt nötig sind.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 10234
Bei manchen DNS-Servern (z.Bsp. bind9) kann das Verhalten beeinflusst werden.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... passieren5
Bei 'bind' lässt sich die Verwendung der 'recursion' konfigurieren.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... unnützlich6
Unnützlich aus der Sicht eines normalen Anwenders. Und über eine Firewall sollten nur die Dienste ermöglicht werden, die unbedingt nötig sind.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...7
Für IP-Telefonie (Voice over IP) wird auch H.323 verwendet.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...& 8
siehe Anmerkungen im vorigen Absatz
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...9
From: Header können die Mailadresse des Users enthalten, wenn diese Daten in der Browser-Konfiguration enthalten sind. Proxies können Via: Header hinzufügen, woraus die IP-Adresse der Proxies zu erfahren ist.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 8010
Port 80 ist das Standardport. Einige Server laufen auf anderen Ports.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...11
Anfragen werden wie auch bei SMTP und NNTP von Server zu Server weitergereicht.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... x12
scheint 2048 zu sein, ist aber im WCCP-Protokoll nicht definiert
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...13
ICA reagiert laut meiner eigenen Erfahrung kritisch auf Übertragungsprobleme.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... ESTABLISHED14
Ob das mit iptables auch bei Broadcast funktioniert??
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...15
Am Client kann ein Portbereich definiert werden.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...16
Zum Beispiel lässt sich das Fernsteuerungswerkzeug BO2K so konfigurieren, dass es ICMP verwendet.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...ping.17
SOCKS5 stellt z.Bsp. einen angepasstes ping-Programm zur Verfügung.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... typ18
Nur bei ICMP-Paketen.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... &19
Meist oberhalb von 32768.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...& 20
Meist zwischen 33434 und 33523.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...21
iptables unter Linux ermöglicht dies mit Hilfe des Match-Operators '-m ttl ...'.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 99322
ältere Versionen verwenden Port 585
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 99323
oder Port 585
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 666724
Manche Server verwenden andere Ports.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... >&25
Anfrage geht an andern IRC-Client
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...26
Siehe Kapitel sec:ICMP.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...27
Die maximale Paketlänge bei UDP wird durch die MTU beschränkt. In einem Ethernet-LAN beträgt die MTU normalerweise 1500 Bytes. Ist die zu übertragende Datenmenge zu groß, um in ein einzelnes Paket zu passen, muss TCP verwendet werden.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 170128
Der Standard erzwingt keine Antwort vom Port 1701, die meisten Server tun dies jedoch, was Firewalladministratoren sicherlich freut.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... unterstüzen29
Normalerweise verwendet Microsoft SQL-Server für die Replikation SMB.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... enthalten30
Das 16. Byte eines NETBIOS-Namen enthält ein Typkennzeichen.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... System31
Der Begriff 'Filesystem' verwirrt, weil es sich nicht um ein wirkliches Filesystem, sondern um ein Protokoll handelt.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... TCP32
erst ab Version 6.50
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Funkuhr33
Ein in der Nähe stationierter Langwellensender könnte natürlich auch in diesem Fall eine falsche Uhrzeit simulieren.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...34
Port wird vom Server dynamisch zugewiesen.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...35
Mit 'iptables' unter Linux kann dieses Protokoll wie folgt gefiltert werden: # iptables -A xxx -p 47 -j ACCEPT
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... unnützlich36
Unnützlich aus der Sicht eines normalen Anwenders. Und über eine Firewall sollten nur die Dienste ermöglicht werden, die unbedingt nötig sind.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...37
Mit 'iptables' kann die Weiterleitung von SNMP-Traps mit folgenden Kommandos erreicht werden. Das NAT-System hat die Adresse 192.168.0.1 auf der Schnittstelle eth0 nach außen. Der Rechner, auf dem sich die Überwachungssoftware befindet, hat die Adresse 172.16.0.10. Es wird Destination-NAT durchgeführt.

# iptables -A PREROUTING -t nat -p udp -d 192.168.0.1 -dport 162 -j DNAT -to 172.16.0.10:162 -i eth0
# iptables -A PREROUTING -t nat -p udp -d 192.168.0.1 -dport 9162 -j DNAT -to 172.16.0.10:9162 -i eth0

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... unsicher38
Mit 'schlecht' ist gemeint, dass sich der SMTP-Server teilweise nicht RFC-konform verhält und mit manchen Kombinationen Probleme bereitet. 'Unsicher' deshalb, weil ein komplexes System, welches viele Features bietet, anfälliger ist, als ein System, das nur eine gewisse Tätigkeit durchzuführen hat.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...biff39
Biff hieß der Hund des Programmierers, der den Postboten immer anbellte.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...40
Beim Einrichten eines Tunnels ist darauf zu achten, dass u.U. die Firewall umgangen wird!
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...41
Kritisch ist ein erster Verbindungsaufbau zu einem Server, wenn nicht zuvor die öffentlichen Schlüssel ausgetauscht wurden. Zu diesem Zeitpunkt könnte sich ein Angreifer dazwischenhängen, selbst die benötigten Schlüssel generieren und alle Daten einschließlich Benutzernamen und Kennwort mitlesen. Ein späterer Versuch, sich mit dem Server zu verbinden, würde eine Warnung erzeugen, wenn der Angreifer nicht mit seinem Verschlüsselungsystem dazwischen hängt. Solche Warnungen sind deshalb immer aufmerksam zu behandeln!
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...42
Bei Verwendung von rhosts, werden Ports unterhalb von 1024 verwendet!
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 4943
Bei TACACS könnte es auch ein anderes Port sein.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 51844
517 bei der älteren Protokollversion
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... 1024:&45
Siehe Text oberhalb der Tabelle!
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...46
ssh verwendet in der Version 2 z.Bsp. TLS; https entspricht http + SSL; ESMTP verwendet TLS bei der STARTTLS-Erweiterung;
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...47
Auf Bastion-Hosts sollten graphische Oberflächen überhaupt vermieden werden!
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...n48
5901 entspricht Display 1
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...+n49
5801 ist das 1. VNC-Display
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Client50
Das ist der Rechner, an dem sich der User befindet. Hier läuft der X-Server!
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
... Server51
Dies ist der Rechner, auf dem sich das Anwenderprogramm befindet. Er baut die Verbindung zu X-Server auf!
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
...n52
Bei älteren Protokollen von SUN wurde Port 2000+n verwendet.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.