Anhang B → Wichtige Ports und Protokolle für Cybersecurity im Überblick

Wichtige Ports und Protokolle gehören zu den absoluten Grundlagen in der Cybersecurity. Wer Netzwerke absichern, Firewall-Regeln bewerten, ACLs schreiben, verdächtigen Verkehr analysieren oder Sicherheitsvorfälle einordnen will, muss wissen, welche Dienste typischerweise über welche Ports kommunizieren und welche Protokolle dabei eine Rolle spielen. Genau hier entstehen in der Praxis viele Missverständnisse. Ein offener Port ist nicht automatisch ein Problem, aber jeder erreichbare Dienst erweitert die Angriffsfläche. Ein bekannter Port bedeutet nicht, dass der dahinterliegende Dienst sicher konfiguriert ist. Und verschlüsselter Verkehr ist nicht automatisch unkritisch. Deshalb ist ein klarer Überblick über wichtige Ports und Protokolle für Cybersecurity so wertvoll: Er verbindet Netzwerkgrundlagen mit Angriffserkennung, Zugriffskontrolle, Härtung und Incident Response.

Warum Ports und Protokolle für Cybersecurity so wichtig sind

Netzwerkkommunikation basiert nicht nur auf IP-Adressen, sondern auch auf Protokollen und Ports. Während IP-Adressen Geräte und Ziele identifizieren, helfen Ports dabei, Dienste und Anwendungen auf diesen Systemen zu unterscheiden. Ein Webserver, ein SSH-Dienst, ein DNS-Resolver oder ein Mailserver können auf derselben IP-Adresse laufen, aber über unterschiedliche Ports angesprochen werden.

Aus Security-Sicht ist dieses Wissen aus mehreren Gründen entscheidend. Firewalls und ACLs filtern häufig nach Protokoll und Port. Scans und Reconnaissance zielen oft genau auf offene Dienste. Monitoring und Incident Response nutzen Ports als wichtige Kontextinformation. Und Härtung beginnt häufig mit der Frage, welche Dienste überhaupt erreichbar sein müssen.

Wichtige Sicherheitsbezüge von Ports und Protokollen

• Firewall- und ACL-Regeln arbeiten oft mit TCP-, UDP- und Portfiltern
• Offene Dienste vergrößern die Angriffsfläche
• Port-Scans liefern Angreifern erste Aufklärungsergebnisse
• Verdächtige Verbindungen lassen sich über Protokoll- und Portmuster besser einordnen
• Management- und Infrastrukturdienste müssen besonders geschützt werden

Ports, Transportprotokolle und Dienste sauber unterscheiden

Ein häufiger Fehler in der Praxis besteht darin, Ports, Protokolle und Dienste gleichzusetzen. Diese Begriffe hängen zusammen, sind aber nicht identisch. Das Transportprotokoll beschreibt, wie Daten auf Layer 4 transportiert werden, meist TCP oder UDP. Der Port kennzeichnet den logischen Ziel- oder Quellkanal eines Dienstes. Der Dienst selbst ist die Anwendung oder Funktion, etwa SSH, DNS oder HTTPS.

Ein Beispiel: SSH ist der Dienst, TCP ist das Transportprotokoll und 22 ist der Standardport. Dasselbe Prinzip gilt für viele andere Dienste.

Wichtige Begriffsabgrenzung

• TCP oder UDP sind Transportprotokolle
• Portnummern ordnen Datenströme Diensten zu
• Dienste sind die eigentlichen Anwendungen oder Funktionen
• Ein Dienst kann von seinem Standardport abweichen

Für Cybersecurity ist diese Unterscheidung wichtig, weil eine Firewall-Regel nicht „SSH“ filtert, sondern typischerweise TCP-Port 22 oder eine definierte Anwendungssignatur.

TCP und UDP im Security-Kontext

Die beiden wichtigsten Transportprotokolle in IP-Netzwerken sind TCP und UDP. Beide sind sicherheitsrelevant, aber sie verhalten sich unterschiedlich. TCP ist verbindungsorientiert und arbeitet mit Sequenzen, Bestätigungen und Sitzungsaufbau. UDP ist verbindungslos, leichtergewichtig und verzichtet auf diesen verbindungsorientierten Overhead.

Für die Cybersecurity ist das deshalb wichtig, weil unterschiedliche Dienste, Angriffsmuster und Analyseverfahren davon abhängen. TCP ist häufig Ziel von Port-Scans, Brute-Force-Angriffen und sitzungsbezogenen Kontrollen. UDP spielt eine große Rolle bei DNS, DHCP, NTP oder bestimmten Flooding-Szenarien.

Wichtige Eigenschaften von TCP

• Verbindungsorientiert
• Nutzt Bestätigungen und Sitzungslogik
• Wichtig für Web, SSH, Mail und viele Management-Dienste
• Häufig im Fokus bei Port-Scans und Brute-Force-Angriffen

Wichtige Eigenschaften von UDP

• Verbindungslos
• Geringer Overhead
• Wichtig für DNS, DHCP, NTP, TFTP und andere leichte Dienste
• Relevant für bestimmte Amplification- oder Flooding-Angriffe

Hilfreiche Analysebefehle auf Hosts

ss -tulpen
netstat -plant
tcpdump -i eth0

Diese Befehle helfen, offene TCP- und UDP-Dienste sowie aktiven Netzwerkverkehr sichtbar zu machen.

Wichtige Management-Ports und Protokolle

Management-Zugänge gehören zu den sensibelsten Kommunikationspfaden in jedem Netzwerk. Dienste wie SSH, HTTPS auf Verwaltungsoberflächen, SNMP oder RDP müssen besonders bewusst eingesetzt und abgesichert werden. Ein offener Management-Port ist aus Security-Sicht immer hoch relevant.

SSH – TCP 22

SSH ist das Standardprotokoll für sichere Remote-Administration auf Netzwerkgeräten, Linux-Systemen und vielen Appliances. Es verschlüsselt die Sitzung und schützt Zugangsdaten sowie Kommandos.

• Standardport: TCP 22
• Sicherheitswert: sehr hoch
• Typische Risiken: Brute Force, schwache Passwörter, fehlende Zugriffsbeschränkung
• Best Practice: nur aus Management-Netzen erreichbar machen

Telnet – TCP 23

Telnet ist ein historisches Remote-Protokoll und aus Security-Sicht problematisch, weil es Zugangsdaten und Sitzungsdaten unverschlüsselt überträgt.

• Standardport: TCP 23
• Sicherheitswert: kritisch
• Typische Risiken: Klartextübertragung, einfaches Mitschneiden von Zugangsdaten
• Best Practice: vermeiden und durch SSH ersetzen

HTTPS – TCP 443

HTTPS ist der Standard für verschlüsselte Webkommunikation, auch bei Management-Portalen von Firewalls, Switches, Controllern oder Cloud-Diensten.

• Standardport: TCP 443
• Sicherheitswert: hoch, abhängig von TLS-Konfiguration und Anwendung
• Typische Risiken: schwache Zertifikate, unsichere Webanwendungen, offene Admin-Portale
• Best Practice: nur benötigte Oberflächen veröffentlichen, Zugriff kontrollieren

HTTP – TCP 80

HTTP ist unverschlüsselte Webkommunikation und sollte für Management-Zwecke in produktiven Umgebungen möglichst vermieden werden.

• Standardport: TCP 80
• Sicherheitswert: niedrig
• Typische Risiken: Klartextübertragung, Session- und Credential-Abgriff
• Best Practice: nur für Weiterleitung auf HTTPS oder in kontrollierten Spezialfällen

SNMP – UDP 161 und UDP 162

SNMP dient Monitoring und Management von Netzwerkgeräten. UDP 161 wird typischerweise für Abfragen genutzt, UDP 162 für Traps.

• Standardports: UDP 161, UDP 162
• Sicherheitswert: mittel bis kritisch, je nach Version und Konfiguration
• Typische Risiken: unsichere Community Strings bei SNMPv1 oder SNMPv2c
• Best Practice: wenn möglich SNMPv3 nutzen und Zugriff einschränken

Wichtige Infrastruktur- und Basisdienste

Bestimmte Ports sind besonders wichtig, weil sie grundlegende Netzwerkfunktionen bereitstellen. Dazu gehören DNS, DHCP, NTP und weitere Basisdienste. Aus Security-Sicht sind diese Protokolle besonders relevant, weil ihr Missbrauch erhebliche Auswirkungen auf Kommunikation und Sichtbarkeit haben kann.

DNS – UDP 53 und TCP 53

DNS löst Namen in IP-Adressen auf und ist für fast jede moderne Netzwerkkommunikation zentral.

• Standardports: UDP 53, teilweise TCP 53
• Sicherheitswert: sehr hoch
• Typische Risiken: DNS-Manipulation, Tunneling, C2-Kommunikation, fehlerhafte Resolver
• Best Practice: DNS-Logs beobachten, interne Resolver absichern, unnötige Exposition vermeiden

DHCP – UDP 67 und UDP 68

DHCP verteilt IP-Konfigurationen an Clients. Unerlaubte DHCP-Antworten können Netzparameter manipulieren.

• Standardports: UDP 67 für Server, UDP 68 für Clients
• Sicherheitswert: sehr hoch
• Typische Risiken: Rogue-DHCP, falsche Gateways, manipulierte DNS-Zuweisung
• Best Practice: DHCP Snooping auf Switches einsetzen

NTP – UDP 123

NTP synchronisiert die Uhrzeit von Systemen. Zeitkonsistenz ist für Logs, Korrelation und Incident Response entscheidend.

• Standardport: UDP 123
• Sicherheitswert: mittel bis hoch
• Typische Risiken: Missbrauch in Amplification-Szenarien, unkontrollierte externe NTP-Nutzung
• Best Practice: definierte Zeitquellen verwenden und unnötige Exposition vermeiden

TFTP – UDP 69

TFTP ist ein einfaches Dateiübertragungsprotokoll, das in Netzwerken historisch oft für Boot- oder Konfigurationszwecke verwendet wurde.

• Standardport: UDP 69
• Sicherheitswert: niedrig
• Typische Risiken: keine Authentifizierung, keine Verschlüsselung
• Best Practice: nur in kontrollierten Spezialumgebungen einsetzen

Wichtige Web-, Datei- und Remote-Dienste

Neben Basisdiensten sind besonders die Dienste relevant, die direkt für Benutzer, Administratoren oder Serverkommunikation genutzt werden. Diese Ports gehören oft zu den ersten Zielen in Reconnaissance- und Angriffsphasen.

FTP – TCP 20 und TCP 21

FTP dient der Dateiübertragung, ist aber aus Security-Sicht problematisch, weil es klassisch unverschlüsselt arbeitet.

• Standardports: TCP 20 und TCP 21
• Sicherheitswert: niedrig
• Typische Risiken: Klartext-Credentials, unsichere Dateiübertragung
• Best Practice: durch SFTP oder SCP ersetzen

SFTP und SCP – typischerweise über TCP 22

SFTP und SCP nutzen in der Regel SSH als sicheren Transportkanal.

• Standardport: meist TCP 22
• Sicherheitswert: hoch
• Typische Risiken: dieselben wie bei SSH-Zugängen
• Best Practice: für sichere Dateiübertragung bevorzugen

SMB – TCP 445

SMB ist für Datei- und Druckdienste in vielen Windows-Umgebungen zentral, aber aus Security-Sicht hoch relevant.

• Standardport: TCP 445
• Sicherheitswert: hochkritisch bei unnötiger Exposition
• Typische Risiken: laterale Bewegung, Dateifreigaben, Ransomware-Ausbreitung
• Best Practice: intern restriktiv segmentieren, niemals unnötig extern exponieren

RDP – TCP 3389

Remote Desktop Protocol ermöglicht grafische Fernadministration auf Windows-Systemen.

• Standardport: TCP 3389
• Sicherheitswert: hochkritisch bei offener Erreichbarkeit
• Typische Risiken: Brute Force, Credential Stuffing, unsichere Remote-Exposition
• Best Practice: nur über abgesicherte Management-Pfade oder VPN/Jump Hosts erreichbar machen

Wichtige E-Mail-Ports und ihre Relevanz

E-Mail-Dienste gehören in vielen Umgebungen zu den zentralen Kommunikationssystemen und damit auch zu relevanten Sicherheitszielen. Die Ports variieren je nach Protokoll und Einsatzzweck.

SMTP – TCP 25, TCP 587, TCP 465

SMTP dient dem Versand von E-Mails. Dabei gibt es unterschiedliche Ports für Relay, Submission und TLS-nahe Varianten.

• Typische Ports: TCP 25, TCP 587, TCP 465
• Sicherheitswert: hoch relevant
• Typische Risiken: offenes Relay, Missbrauch für Spam, schwache Authentifizierung
• Best Practice: Submission trennen, TLS nutzen, Relay kontrollieren

POP3 und IMAP – TCP 110, TCP 995, TCP 143, TCP 993

POP3 und IMAP dienen dem Abruf von E-Mails. Die sicheren Varianten nutzen in der Regel dedizierte TLS-Ports.

• POP3: TCP 110, sicher oft TCP 995
• IMAP: TCP 143, sicher oft TCP 993
• Sicherheitswert: relevant für Zugangsdaten und Inhaltsvertraulichkeit
• Best Practice: verschlüsselte Varianten bevorzugen

Wichtige VPN- und Tunnel-Protokolle

VPNs und Tunnelprotokolle sind für sichere Fernzugriffe und Standortvernetzung zentral. Gleichzeitig sind sie aus Security-Sicht sensible Übergangspunkte.

IPsec – mehrere Protokolle und Ports

IPsec nutzt je nach Betriebsmodus verschiedene Komponenten, darunter IKE und ESP.

• Häufig relevant: UDP 500, UDP 4500 sowie ESP
• Sicherheitswert: sehr hoch
• Typische Risiken: schwache Authentifizierung, falsch segmentierte Tunnelziele
• Best Practice: starke Kryptografie, klares Berechtigungsmodell hinter dem Tunnel

SSL-VPN oder TLS-basierte VPNs – häufig TCP 443

Viele moderne Remote-Access-VPNs nutzen HTTPS-nahe oder TLS-basierte Kommunikation.

• Typischer Port: TCP 443
• Sicherheitswert: hoch
• Typische Risiken: zu breite Berechtigungen nach erfolgreicher Einwahl
• Best Practice: Zugriff nach dem Tunnel zusätzlich segmentieren und autorisieren

Ports im Kontext von Angriffen richtig verstehen

Ein Port ist nie isoliert zu bewerten. Er muss im Kontext des Dienstes, der Exposition und des Kommunikationspfads betrachtet werden. Ein offener SSH-Port auf einem internen Management-System kann legitim sein, während derselbe Port auf einem offen erreichbaren Internet-Host ohne zusätzliche Schutzmaßnahmen ein hohes Risiko darstellt. Ebenso ist TCP 445 in einem abgeschotteten Dateiserversegment etwas anderes als ein offen erreichbarer SMB-Dienst an der Internetkante.

Wichtige Bewertungsfragen aus Security-Sicht

• Ist der Dienst überhaupt notwendig?
• Ist der Port intern, extern oder nur in einer Management-Zone erreichbar?
• Wird der Dienst verschlüsselt betrieben?
• Gibt es starke Authentifizierung und Zugriffskontrolle?
• Ist der Dienst überwacht und geloggt?

Diese Fragen sind wesentlich wichtiger als bloßes Auswendiglernen von Portnummern.

Wichtige Protokolle ohne klassische Portbindung

Nicht alle sicherheitsrelevanten Protokolle lassen sich nur über TCP- oder UDP-Ports erklären. Einige wichtige Mechanismen wirken auf anderen Ebenen oder werden eher über Funktionsweise als über klassische Porttabellen verstanden.

ARP

ARP ist ein Layer-2/Layer-3-nahes Protokoll zur Auflösung von IPv4-Adressen in MAC-Adressen. Es arbeitet nicht über klassische TCP- oder UDP-Ports, ist aber aus Security-Sicht sehr relevant.

• Keine klassischen Ports
• Wichtig für lokale Kommunikation
• Typische Risiken: ARP-Spoofing, Man-in-the-Middle-Szenarien

ICMP

ICMP wird für Fehler- und Diagnosemeldungen genutzt, etwa bei Ping oder Traceroute. Auch ICMP arbeitet nicht mit TCP- oder UDP-Ports.

• Keine klassischen Ports
• Wichtig für Diagnose und Netzwerkanalyse
• Typische Risiken: Missbrauch für Scans, Echo-Requests, Tunneling oder bestimmte DoS-Muster

Gerade in ACLs und Firewalls sollte verstanden werden, dass ICMP zwar kein klassischer Dienst-Port-Verkehr ist, aber sicherheitsrelevante Auswirkungen haben kann.

Typische Portgruppen, die Einsteiger kennen sollten

Für den praktischen Einstieg ist es sinnvoll, wichtige Ports thematisch zu gruppieren, statt sie nur als isolierte Liste zu lernen. So werden sie leichter in Firewall-Regeln, Logs und Angriffsszenarien wiedererkannt.

Management und Administration

• TCP 22 – SSH
• TCP 23 – Telnet
• UDP 161/162 – SNMP
• TCP 3389 – RDP

Web und Anwendungen

• TCP 80 – HTTP
• TCP 443 – HTTPS

Infrastruktur und Basisdienste

• UDP 53 / TCP 53 – DNS
• UDP 67/68 – DHCP
• UDP 123 – NTP
• UDP 69 – TFTP

Dateien und Freigaben

• TCP 20/21 – FTP
• TCP 22 – SFTP/SCP über SSH
• TCP 445 – SMB

E-Mail

• TCP 25 / 587 / 465 – SMTP-Varianten
• TCP 110 / 995 – POP3 und POP3S
• TCP 143 / 993 – IMAP und IMAPS

Ports und Protokolle mit CLI prüfen

Für Einsteiger ist es wichtig, Ports und Protokolle nicht nur theoretisch zu kennen, sondern auch praktisch sichtbar zu machen. Genau dafür gibt es eine Reihe nützlicher Befehle auf Hosts, Linux-Systemen und Netzwerkgeräten.

Linux- und Host-Befehle

ss -tulpen
netstat -plant
tcpdump -i eth0
nslookup
dig
ip addr
ip route

ss -tulpen zeigt offene und lauschen­de TCP- und UDP-Dienste. tcpdump hilft beim Mitschnitt von Verkehr. nslookup und dig sind für DNS-Analyse besonders nützlich.

Cisco-nahe Prüfkommandos

show access-lists
show ip interface brief
show logging
show users
show running-config

Diese Befehle zeigen nicht direkt „offene Ports“ wie auf einem Host, helfen aber bei Zugriffskontrolle, Interface-Zuständen, Logs und Management-Sessions.

Wie du Ports und Protokolle sinnvoll lernst

Der beste Weg, wichtige Ports und Protokolle zu lernen, ist nicht stumpfes Auswendiglernen, sondern funktionales Verstehen. Es ist nützlicher zu wissen, warum TCP 22 kritisch ist und wie man SSH absichert, als nur die Nummer zu kennen. Dasselbe gilt für DNS, DHCP, SMB oder RDP. Ein Port wird erst im technischen und sicherheitsbezogenen Kontext wirklich verständlich.

Praktische Lernstrategie

• Ports nach Dienstart gruppieren
• Zu jedem Dienst das zugehörige Risiko verstehen
• Mit CLI-Befehlen prüfen, ob der Dienst lokal oder im Netz sichtbar ist
• Firewall- und ACL-Beispiele mit den Ports verknüpfen
• Angriffsszenarien mit typischen Diensten koppeln

Genau dadurch wird aus einer Portliste ein echter Werkzeugkasten für Netzwerksicherheit. Wer wichtige Ports und Protokolle im Überblick beherrscht, versteht Firewalls besser, schreibt präzisere ACLs, analysiert Logs fundierter und erkennt auffällige Kommunikationsmuster deutlich schneller.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.