Poorten en poortnummers

Poorten en poortnummers zijn een essentieel onderdeel van de internetcommunicatie (TCP/UDP) tussen pc's. Poorten maken het namelijk mogelijk dat een pc meerdere communicatielijnen tegelijkertijd kan gebruiken. In dit artikel gaan we in op de belangrijkste poorten van uw pc en hun specifieke functie.

 

In het kader van beveiliging van uw pc is er een onderverdeling te maken tussen 'goede en slechte' programma's. De makers van slechte software (die onrechtmatig gebruik willen maken van de poorten op uw pc) kunnen er immers kwade bedoelingen mee hebben. Uw firewall maakt hen dat onmogelijk. Een pakketfilter-firewall leest namelijk het poortnummer uit van de afzender en de geadresseerde. Op basis van deze poortnummers reageert de firewall met het al dan niet actief maken van een firewall-beleidsregel. Om firewalls optimaal te kunnen configureren is enige basiskennis van poorten dan ook onontbeerlijk.

 

De combinatie van een IP-adres en een poort noemen we een socket. Via de socket is het mogelijk om een bepaald netwerkbereik te benaderen. De notatie van zo'n socket is als volgt:

 

61.98.225.60:90.

 

Eerst wordt het IP-adres genoemd en achteraan het poortnummer. In totaal staan de gebruiker 65.535 TCP/UDP-poorten ter beschikking.

 

Om in het grote aantal poorten structuur aan te brengen heeft men de poorten in drie groepen verdeeld.

 

Dit zijn poortnummers tussen 1 en 1023, die officieel worden beheerd door de Internet Assigned Numbers Authority (Engelstalige externe site). Tot 1992 waren de poorten 1 tot en met 255 in gebruik, daarna is het scala uitgebreid tot 1023 omdat er voor specifieke UNIX-services poorten bij moesten komen. Omdat zowel afzender als ontvanger weten welke poort gebruikt wordt voor bijvoorbeeld een sessie via een telefoonlijn (de standaard poort voor zo'n 'TelNet'-verbinding is poort 23), is het eenvoudig om een verbinding op te zetten. Clients kunnen zo eenvoudig inloggen op een server zonder speciale ingrepen.

 

Een overzicht van de meest bekende poorten:

 

 

Registered ports
Dit is het poortbereik tussen 1024 en 49151. Dit bereik is bedoeld als back-up voor speciale diensten. Zo maakt een proxy server als alternatief voor poort 80 (http) gebruik van poort nummer 3128.

 

 

Dynamically Allocated Ports
Deze worden ook wel Ephemeral ports genoemd. De poorten liggen in het bereik 49152 tot en met 65535. Ze worden dynamisch toegewezen aan clients die een poort nodig hebben. Mits ze voldoen aan een geldige combinatie van transportprotocol, IP-adres en poortnummer.

 

Om inzage te krijgen in wat er met de poorten gebeurt en hoe zij worden gebruikt, moet u gebruik maken van een speciale tool. Bij Windows worden standaard twee van deze tools meegeleverd, NetStat en NbtStat. Ook bekijken we een tool uit het shareware-circuit.

 

Om te weten welke poorten actief zijn op uw pc kunt u gebruik maken van het commando netstat dat in Windows is ingebouwd. Het programma biedt weliswaar niet zeer veel opties maar kan toch een aardig beeld geven welke poorten open staan wanneer u met de pc werkt:

 

 

C> netstat

 

U ziet nu een venster zoals hierboven afgebeeld. NetStat toont een lijst van alle inbound en alle outbound netwerkconnecties, inclusief alle informatie van openstaande TCP- en UDP-poorten, IP-adressen en de status van een connectie. Het programma kent een aantal parameters. Om meer essentiëlere informatie uit NetStat te kunnen destilleren heeft u deze parameters beslist nodig. Een overzicht van deze parameters kunt u opvragen terwijl u werkt met NetStat door te typen:

 

netstat /?

 

» Meer informatie (Engelstalig)

 

Een andere ingebouwde Windows netwerkanalyse-tool is NbtStat. Dit programma start u op dezelfde manier als NetStat, dus ook via de command prompt. Het programma toont de protocolstatistieken van NetBIOS, zoals dat via TCP/IP (NetBT) wordt gebruikt. Zo ziet u de naamtabellen van NetBIOS voor zowel de lokale pc als voor de remote computer en wordt ook de naamcache getoond van NetBIOS. Verder kan NbtStat deze naamcache opschonen.

 

» Meer informatie (Engelstalig)

 

Het shareware-circuit biedt een aantal interessante programma's. Een van die programma's is Essential NetTools dat u kunt downloaden van Tamos (externe Engelstalige site). Het gaat hier om een set netwerk-tools om uw netwerk te diagnosticeren. Helaas is het pakket niet in het Nederlands verkrijgbaar, maar uiteraard wel in het Engels. Het is het beste te vergelijken met een Zwitsers legermes en biedt talloze opties en mogelijkheden:

 

Vergelijkbaar met de gelijknamige tool van Windows XP en Windows 2000. De Essential NetTools- versie kan ook aangeven welke applicatie de eigenaar is van een bepaalde verbinding.

 

Dit is een krachtige en snelle NetBIOS-scanner. NBScan scant een netwerk binnen een bepaalde IP-range en geeft een lijst van de computers die NetBIOS en shares aanbieden. Daarnaast toont de utility de naamtabellen en MAC-adressen. Het is vergelijkbaar met de Microsoft-tool NbtStat, maar dan met een grafische gebruikersinterface. Hierdoor is het gebruikersvriendelijk. Een interessante optie is het parallel scannen: hierdoor kunt u een netwerk in minder dan een minuut scannen.

 

 

Dit is een TCP-poortscanner die het netwerk afzoekt naar actieve poorten. U kunt zoeken naar poorten die een volledige connectie toestaan (conventionele poorten) of poorten die maar voor de helft open staan (stealth).

 

Het programma Shares verzorgt het monitoren en bijhouden van externe connecties naar de gedeelde bronnen van uw computer. De optie toont lokale shares en biedt hulp bij het contact leggen met externe bronnen. 
 
SysFiles

SysFiles is een eenvoudige editor voor de vijf belangrijkste systeembestanden: services, protocollen, netwerken, hosts en lmhosts.

 

Deze tool kan u helpen om potentiële beveiligingslekken op te sporen.

 

Deze tool biedt u de mogelijkheid om een low-level TCP- and UDP-connectie op te zetten en zo de verschillende netwerk services te testen.

 

Een handige utility om verbindingsproblemen te analyseren en op te lossen.

 

Een conversie-tool voor IP-adressen naar hostnamen en vice versa, het verkrijgen van aliassen, en het uitvoeren van geavanceerde DNS-queries zoals MX of CNAME.

 

Dit is wellicht het meest interessante onderdeel van de toolset. ProcMon toont alle actieve programma's met volledige informatie over de locatie van het programma, de leverancier, het ID van het proces en de actieve modules. Met ProcMon kunt u verborgen applicaties ontdekken en ongewenste processen afsluiten, waardoor u de beschikbare bronnen van uw pc beter kunt beheren.

 

Om te zien wat er in de praktijk gebeurt met actieve poorten, openen we een willekeurige internetpagina, terwijl Essential Nettools op uw pc actief is.

 

 

 

 

Bij het instellen van uw beveiligingssoftware, virusscanners en vooral firewalls moet u tal van instellingen opgeven. Een aantal daarvan heeft betrekking op de poorten van uw systemen: welke poorten stelt u open voor communicatie en welke niet. Dit artikel heeft u hiervoor enige achtergrondinformatie gegeven over de werking en de betekenis van de poorten.