Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst LAN Ports nach Draußen schließen

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

22.11.2011 um 17:06 Uhr, 4891 Aufrufe, 10 Kommentare

Hallo,

ich hätte vor in unserem kleinen Büro die nicht verwendeten Ports auch nach Draußen zu schließen damit wir unerwünschte Kommunikation /Schadsoftware, Botnetze, Spiele, usw) möglichst verhindern können.

Die folgenden Ports bräuchten wir:

80, 443 für Surfen
5060 für VoIP
usw.

Meine Fragen:

ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?

ich habe leider zu wenig Erfahrung. Die Sperrrung würde ich in dem Router via pfSense vornehmen.

Danke sehr.

Gr. I.
Mitglied: Lochkartenstanzer
22.11.2011 um 17:09 Uhr
Zitat von istike2:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche
Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?


Alles dichtmachen und dann nur die Ports öffnen, die benötigt werden. So ist das übliche vorgehen.
Bitte warten ..
Mitglied: istike2
22.11.2011 um 17:19 Uhr
Danke.

und woher weiß ich ja welche Ports von welcher Anwendung gebraucht werden? Soll ich die einzelnen Clients mit NMAP "abtasten" oder hat pfSense möglicherweise ein LOG mit dieser Info? Auf Anhieb kenne ich nur diese 3 Ports, die wir brauchen...

Was ich vermeiden möchte wäre, dass die User mich tagelang anrufen, weil die Software "komischerweise" nicht funktioniert....

Es wäre gut, diese Änderungen in einer Welle durchziehen...

Gr. I.
Bitte warten ..
Mitglied: Hitman4021
22.11.2011 um 17:31 Uhr
Hallo

also für Voip benötigst du sicher mehr wie 5060/tcp auf diesem port wird die Verbindung nur aufgebaut. Die Gesprächsdaten werden via udp übertragen.

Sonst spiegl mal alle Switch Ports und schaue welche Ports du brauchst.

grußw
Bitte warten ..
Mitglied: istike2
22.11.2011 um 17:41 Uhr
Hallo,

wäre gut, wenn der Switch es könnte. Dieser hat leider dieses Feature nicht. Ich werde mir mal einen allgemeinen Regel auf pfSense einrichtet und mir die Logs anschauen. Es besteht irgendwo ganz sicher die Möglichkeit... Ein Regel, der nur geloggt wird ohne sperren zu können.

Gr. I.
Bitte warten ..
Mitglied: Hitman4021
22.11.2011 um 17:45 Uhr
Hallo,

ich kenne pfsense leider nicht aber ich schätze du brauchst noch die UDP Port <1024 für Voip

gruß
Bitte warten ..
Mitglied: BillyBunny
22.11.2011 um 18:13 Uhr
Hallo,

wie Lochkartenstanzer schon schreibt.... erst mal macht man alles dicht und öffnet dann die Ports die man braucht.

Welche Ports das sind kann Dir hier wohl keiner sagen, da keiner weiß welche Software und welche Verbindungen und Ports Du brauchst.

Das geht los mit I-Net, FTP, SSH, Telnet, RDP, VPN, POP3, SMTP, VNC, usw. die Liste ist uferlos....

Du solltest schon wissen welche Ports Ihr nach außen hin braucht....

Erst mal sorgfältig analysieren und dann machen.... eine Liste der Standardports sollte schon mal einen ersten Aufschluss geben (google)
und der Rest ist wie gesagt von verwendeter Software und benötigten Verbindungen abhängig.

Gruß
BB
Bitte warten ..
Mitglied: brammer
22.11.2011 um 18:38 Uhr
Hallo,

wie bereits schon gesagt: Alle Ports zu machen.

Dann Nutzungsbezogen wieder öffnen was benötigt wird

http 80
https/ssl 443
ssh 22
telnet 23 (aber eher nicht zu empfehlen)
VNC nach Einstellung, Standard 5900

Hängt halt davon ab was wieso nach hause telefonieren möchte.

brammer
Bitte warten ..
Mitglied: istike2
23.11.2011 um 15:33 Uhr
pfSense hat offensichtlich ganz gute Übersichtfunktionen. Ich sammle mal ein bißchen und machen die unnötigen Ports dicht.

Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss gezielt kontrolliert werden.

Gr. I.
Bitte warten ..
Mitglied: mrtux
23.11.2011 um 15:49 Uhr
Hi !

Die PfSense hat ein Firewall-Log! (Siehe auch aqui's Tutorials über die Monowall!) Dem kannst Du die benötigten Infos entnehmen und wenn nachträglich Programme installiert werden, deren Kommunikation erwünscht ist, musst Du die dann halt in der Firewall freigeben...

Zitat von istike2:
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss
gezielt kontrolliert werden.

Wie soll die PfSense auch? Das setzt eine intelligente Verhaltensanalyse voraus, die heute nicht mal annähernd irgendeine Sicherheitssoftware schafft. Und selbst die muss vom Menschen "gefüttert" werden....

Wofür bist Du eigentlich da? Zwischen Gut und Böse zu unterscheiden ist eine Standardaufgabe für des Admin's Brain.exe...

mrtux
Bitte warten ..
Mitglied: Sam1991
24.11.2011 um 09:43 Uhr
Hallo zusammen,

zudem sollte es für "gute" Programme eine Dokumentation geben, in der genau beschrieben wird welche Ports aus welchen Gründen benötigt wird. Gibt es keine Dokumentation dazu oder keinerlei Hinweise zu dem Programm halte ich das schon für verdächtig.

Denn alles freizugeben was an der Firewall ankommt kann unter Umständen auch nicht gerade prickelnd sein, wenn Schadsoftware sich bereits in deinem Netz breitgemacht hat.

Dass dich User unter Umständen anrufen, wenn etwas nicht funktioniert nur weil diese Anwendungen Port xy benötigen ist völlig normal und das wirst du bei einem sicheren Netz niemals umgehen können. Zudem möchtest du ja verhindern, dass sich ein infizierter Rechner nach Hause telefonieren kann bloß weil der Anwender ein "gaaaanz wichtiges" Programm installiert hat. Wie heißt es so schön: Sicherheit ist erst dann gut, wenn sie nervt

Viel Erfolg beim "dichtmachen" !

Sam1991
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Reicht ein normales 100 Meter LAN-Kabel für draußen?

Frage von DaveDaveLAN, WAN, Wireless13 Kommentare

Hey Leute! Bin eigentlich sehr zuversichtlich, aber frage vorsichtshalber trotzdem: Muss für zwei Tage von Haus A nach Haus ...

LAN, WAN, Wireless

Was ist ein LAN Bypass oder was sind Bypass LAN Ports (RJ45)

gelöst Frage von 108012LAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich trage mich mit dem Gedanken demnächst ein NAS mit FreeNAS und ein Firewall mit pfSense selber ...

Windows 10

Was ist das für eine Verbindung die ständig nach draussen will?

Frage von decoderWindows 104 Kommentare

Hallo, bei mir will explorer.exe alle paar Minuten nach draussen eine Verbindung aufbauen. Was ist das denn? 10.01 20:34:13 ...

LAN, WAN, Wireless

Netzwerkkabel von Wohnung nach Draußen führen

gelöst Frage von manuelwLAN, WAN, Wireless6 Kommentare

Hallo, ich wohne in einer Mietwohnung und würde gerne an meinem Wohnzimmerfenster im Freien einen AccesPoint anbringen. Da nämlich ...

Neue Wissensbeiträge
Datenschutz

Die Datenkrake Google verlängert ihr Arme mal wieder ein wenig, automatische Anmeldung

Tipp von magicteddy vor 20 StundenDatenschutz2 Kommentare

Benutzer mit einem Google Account und gespeicherten Zugangsdaten werden von chrome 69 automatisch bei Google angemeldet, natürlich alles zum ...

Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 1 TagVerschlüsselung & Zertifikate3 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 3 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 4 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Heiß diskutierte Inhalte
Hardware
Sophos SG135 - Routing
gelöst Frage von Xaero1982Hardware22 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

E-Mail
Welche ist die beste E-Mail Groupware für die Zukunft?
Frage von ITCrowdSupporterE-Mail18 Kommentare

Guten Tag allerseits :) Ich möchte mich mit einer Frage heute mal an die Schwarmintelligenz wenden. Aktuell befasse ich ...

Windows Server
In-Place Upgrade von Windows Server 2008 R2 Datacenter zu Windows Server 2016 Datacenter (Zwischenschritt über 2012 R2)
gelöst Frage von TowerpleaseWindows Server16 Kommentare

Hallo Administratoren, Wir haben uns vor ein paar Monaten Windows Server 2016 Datacenter Lizenzen gekauft und wollen nun unsere ...

Windows 7
Mit gpedit gesetzte Richtlinien in rsop.msc nicht definiert und ausgegraut
gelöst Frage von 137006Windows 715 Kommentare

Hallo zusammen, anfangs verweise ich fairerweise daruf dass ich dieses Thema bereits im Forum angeschnitten habe, nachdem ich hier ...