Allgemeine Begründung
In der Vergangenheit wurden von manchen Kunden Server versehentlich mit den unten aufgeführten Protokollen bereitgestellt, teilweise mit unvorhergesehenen, weitreichenden Konsequenzen für die Sicherheit unserer IT-Infrastruktur sowie der IT-Infrastruktur unserer Kunden. Weitere Informationen und detailierte Begründungen finden Sie hier: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/howto_node.html
Auf Anfrage mit nachvollziehbarer Begründung und / oder Einschränkung der Kommunikationspartner können die Ports freigeschaltet werden. Die unten aufgeführten Ports werden i.d.R. nicht für die Bereitstellung “normaler” Internet-Dienste wie Webserver, Fileserver, Mailserver, Gameserver usw. benötigt und / oder wurden vom Entwickler des jeweiligen Dienstes nicht für die Veröffentlichung im Internet vorgesehen.
Liste gesperrter Ports
Hinweis: Diese Liste wird bei bekanntwerden neuer Angriffsmöglichkeiten ggf. erweitert. Grundlage sind die Sicherheitsempfehlungen des Computer Emergency Response Teams (CERT-Bund) des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Protokoll | Port | Richtung (neue Verbindung) | Beschreibung | Grund |
---|---|---|---|---|
UDP | 67 | Eingehend | DHCP Server | Ein DHCP-Server ist ein LAN-Dienst, kein Internetdienst. |
UDP | 68 | Eingehend | DHCP Client | Ein DHCP-Client ist ein LAN-Dienst, kein Internetdienst. |
UDP | 123 | Eingehend | NTP | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/NTP-Server-Monlist/NTP-Server-Monlist_node.html |
UDP | 53 | Eingehend | DNS | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-DNS-Resolver/Offene-DNS-Resolver_node.html |
TCP | 9200 | Eingehend | ElasticSearch | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-Elasticsearch-Server/Offene-Elasticsearch-Server_node.html |
TCP+UDP | 389 | Eingehend | LDAP-Server | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-LDAP-Server/Offene-LDAP-Server_node.html |
UDP | 5353 | Eingehend / Ausgehend | mDNS | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-mDNS-Dienste/Offene-mDNS-Dienste_node.html |
TCP+UDP | 11211 | Eingehend | Memcached | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-Telnet-Server/Offene-Telnet-Server_node.html |
TCP | 27017 | Eingehend | MongoDB | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-MongoDB-Server/Offene-MongoDB-Server_node.html |
UDP | 1434 | Eingehend | MSSQL-Browserdienste | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-MSSQL-Browserdienste/Offene-MSSQL-Browserdienste_node.html |
UDP | 137 | Eingehend | NetBIOS | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-NetBIOS-Namensdienste/Offene-NetBIOS-Namensdienste_node.html |
UDP | 138 | Eingehend | NetBIOS | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-NetBIOS-Namensdienste/Offene-NetBIOS-Namensdienste_node.html |
TCP | 139 | Eingehend | NetBIOS | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-NetBIOS-Namensdienste/Offene-NetBIOS-Namensdienste_node.html |
TCP+UDP | 111 | Eingehend / Ausgehend | Portmapper | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-Portmapper-Dienste/Offene-Portmapper-Dienste_node.html |
TCP | 6379 | Eingehend | Redis | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-Redis-Server/Offene-Redis-Server_node.html |
TCP+UDP | 161 | Eingehend | SNMP | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-SNMP-Server/Offene-SNMP-Server_node.html |
TCP | 9306 | Eingehend | Sphinx | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-Sphinx-Server/Offene-Sphinx-Server_node.html |
TCP | 9312 | Eingehend | Sphinx | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-Sphinx-Server/Offene-Sphinx-Server_node.html |
UDP | 1900 | Eingehend / Ausgehend | SSDP | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-SSDP-Server/Offene-SSDP-Server_node.html |
TCP | 23 | Eingehend | Telnet | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-Telnet-Server/Offene-Telnet-Server_node.html |
UDP | 10001 | Eingehend | Ubiquiti Device Discovery | https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Reaktion/CERT-Bund/CERT-Bund-Reports/HowTo/Offene-Ubiquiti-Device-Discovery-Dienste/Offene-Ubiquiti-Device-Discovery-Dienste_node.html |