Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ports/ Router

Mitglied: mike7050

mike7050 (Level 2) - Jetzt verbinden

25.04.2006, aktualisiert 07.05.2006, 6136 Aufrufe, 10 Kommentare

Hi,
ich möchte gerne die Sicherheit in meinem Netzwerk erhöhen indem ich natürlich die Dienste die ich nicht benötige bzw. anbieten möchte stoppe. Ich habe eine Win 2000 Domäne mit acht XP prof Clients.

Jetzt die Frage: Es muss doch eigentlich reichen wenn ich die Dienste die gestoppt werden sollen direkt an meinem Router outbound sperre. Damit kann ich mir ausserdem die ganze Handarbeit bei den Clients sparen?! Es sei denn man möchte bei verschiedenen Clients unterschiedliche Dienste anbieten!

Wie sieht eigentlich die Grundeinstellung von einem "soho Router" aus? Sind alle Ports von aussen also Outbund erst mal gesperrt (alle Ports antworten mit einem closed)? Damit ist nicht nur das NAT gemeint! Es dürften ja in der DOS Aufforderung in der Liste unter Lauschenden "Listening" Diensten ja gar keine Dienste mehr aktiv sein bzw. Lauschen?

MfG Mike
Mitglied: 29047
25.04.2006 um 20:38 Uhr
Hallo,

das kann aber zu Fehlermeldungen führen wenn du hier und dort Ports für Dienste und Anwendungen sperrst und diese dennoch am laufen sind. Kannst du nicht per GPO für alle gleichzeitig Dienste zur Verfügung stellen und demnach stoppen und starten ?
Bitte warten ..
Mitglied: 16427
25.04.2006 um 22:32 Uhr
Hallo,

ich würde das ganze Problem über die GPO der Domäne regeln, denn damit ersparst du dir die Arbeit, dass du auf alle XP Prof. Clients die unbenötigten Dienste per Hand ausschalten musst. Ist auf jeden Fall eine bequeme Sache.

MfG

Der Burns
Bitte warten ..
Mitglied: mike7050
26.04.2006 um 10:59 Uhr
Hallo,
ich glaube ich hab da etwas noch nicht verstanden! Noch mal zur Erklärung der Frage.
1. Ich möchte die Sicherheit erhöhen. Erst mal aus dem Netz und in das Netz. Wenn also Dienste aktiv sind lauschen sie an den Ports und die sind damit geöffnet wenn ich das richtig sehe?
2. ich kann also von innen die Dienste stoppen und von aussen am Router sperren dann dürfte ja kein Dienst mehr am Port lauschen und die Ports sind dann dicht?

MfG Mike
Bitte warten ..
Mitglied: Elvereth
26.04.2006 um 18:17 Uhr
Die Ports, die Du am Router sperrst sind die, die nach außen (zum Internet hin) nicht gebraucht werden.

Fürs Internet brauchst Du eigentlich nur 80 (HTTP), 443 (HTTPS), 110 (POP3), 25 (SMTP). Wenn Dein Server das Routing macht und / oder Du gewährleisten willst, dass sich Leute von zu Hause arbeiten können, dann brauchst Du noch die Ports 1812 und 1813 (so wie ich es verstanden hab). für sichere Email brauchst Du noch ein Port im Bereich von 965 (bin mir da nicht ganz sicher). Den Rest kannst Du dicht machen. Achja, Dein Router sollte auch nicht auf ICMP-Anfragen von außen antworten (z.B. Ping).

Der Hinweis auf die GPOs bezieht sich darauf, dass Du auf jedem Client in Deinem Netzwerk auf diese Weise die Dienste zentral einstellen kannst. Allerdings würde ich das nicht in die Domänen-GPO rein machen, sondern eine OU "Clients" machen, alle 8 Clientcomputerkonten da rein packen und dafür ne GPO "Diensterichtlinie" erstellen, wo die Dienste dann festgelegt werden.

Da gibts auch schon von Microsoft Sicherheitsvorlagen für Clients mit unterschiedlichen Anforserungen, die man in diese GPO importieren kannst.

CU Elvereth
Bitte warten ..
Mitglied: aqui
26.04.2006 um 23:53 Uhr
Dein Router lauscht per se erstmal auf gar keinem Port, da er ein reines Layer 3 Device ist ! Ports ist Transport Layer 4 nach dem OSI Modell.
Von aussen gesehen ist dein Router also völlig stumm was Ports anbetrifft, da er gar keine kennt, denn sein Betriebssystem sieht das gar nicht vor ! Ein Portscan mit NMAP oder Superscan wird dir das bestätigen. Also in Punkt 2 schlussfolgerst du richtig das dein Router von aussen relativ "porttaub" und damit sicher ist.
An einem TCP oder UDP Port "lauscht" immer nur dein Endgerät PC das Applikationen mit Daten von diesen Ports bedienen muss wie z.B. Firefox mit HTML Daten von Port 80 oder HTTPS mit Port 443 niemals aber der Router selber. Filterst du Ports am Router bedeutet das noch lange nicht das dein PC aufhört aktiv an diesen Ports zu lauschen. Er wird dann nur im besten Fall keine Daten mehr für diesen Port bekommen....das zu deiner Frage 2.

Voraussetzung ist aber das du ihm keine Portforwardings oder Web Zugänge zum Konfigurieren oder ICMP erlaubt hast. Aber auch dann forwardet er nur passiv Packete die mit diesen Ports in der Forwarding Liste stehen er antwortet NICHT aktiv drauf. Ausnahme ist lediglich der Konfig Zugang und ICMP aber das sollte man von aussen sowieso tunlichst abschalten !
Fazit: Der NAT Router schützt dich von aussen gesehen relativ umfassend vor Zugriffen ohne das du Dienste auf den Rechnern dahinter abschalten musst.

Innerhalb des Netzwerkes sieht die Welt aber anders aus. Bei Zugriffen der Rechner untereinander ist der Router gar nicht involviert und kann hier auch gar nicht helfen. Bei Verbindungen nach draußen leitet er auch nur auf Layer 3 weiter und lauscht natürlich auch hier nicht aktiv auf TCP oder UDP Ports.
Ausnahme: DHCP, Konfiguration sei es über Web 80, Telnet 23, SSH 22 und im allgemeinen intern auch ICMP.
Consumer Router ala Netgear bieten hier keine Filter oder nur eingeschränkt (Mest werden Windows UDP NetBios Name Service Broadcast per default gefiltert). Leistungsstärkere Router (z.B. Cisco) hingegen bieten hier aber auch die Möglichkeit Accesslisten auf Portebene oder Portranges zu setzen um solche Dienste aktiv zu filtern.
Wie gesagt lediglich was durch ihn durch geht in die eine oder andere Richtung ist portseitig im Router filterbar ! Nicht was die Rechner untereinander sprechen !!!
Bitte warten ..
Mitglied: mike7050
27.04.2006 um 14:14 Uhr
Hallo,
danke für die ausführliche Antwort.

Also:
1. Ist das sperren der Ports von aussen nicht notwendig da das NAT schützt.
2. Wäre es denn möglich alles für den Zugriff von aussen zu sperren um den Zustand closed zu erreichen, da ja alle Anfragen sonst mit einem Stealth "beantwortet werden"?

3.was das Lan -> Wan angeht (vorausgesetzt der Router hat die Funktion alle Ports von innen heraus zu schliessen) kann man alle Ports auf closed setzen und gibt dann nur das frei was man braucht?

MfG Mike
Bitte warten ..
Mitglied: aqui
29.04.2006 um 15:40 Uhr
"1. Ist das sperren der Ports von aussen nicht notwendig da das NAT schützt."

Ja, das kann man so sagen...Sollte aber auch die Ports beinhalten die der Router direkt bedient z.B. 80 bzw. 443 fürs HTML Setup.

2. Wäre es denn möglich alles für den Zugriff von aussen zu sperren um den Zustand closed zu erreichen, da ja alle Anfragen sonst mit einem Stealth "beantwortet werden"?

Ja wenn du alle o.a. Ports abgeschaltet hast und auch keine Port Forwardings eingetragen hast ist dieser Zustand erreicht. Allerdings bleibt die Frage wie der Router auf eigene Requests seiner deaktivierten Ports reagiert. D.h. ist er bei abgeschaltetem Port komplett stumm oder schickt er dem anfragenden Rechner ein Connection reset. Ist letzteres der Fall weiss ein Angreifer das es diesen Port gibt er aber disabled ist. Das ist natürlich nicht so gut ist aber herstellerspezifisch. Ich denke aber bei den derzeitigen Geräten ist der Port stumm, so das diese Gefahr nicht besteht. Ggf. musst du das aber mal selber testen um Gewissheit zu bekommen.

3.was das Lan -> Wan angeht (vorausgesetzt der Router hat die Funktion alle Ports von innen heraus zu schliessen) kann man alle Ports auf closed setzen und gibt dann nur das frei was man braucht?

Ja das geht, kein Problem ! Ein "inverse" Accessliste ist dies. Allerdings ist dasnur möglich wenn dein Router sowas supportet. Eine solche Accessliste sähe z.B. so aus:

access-list 101 permit TCP 172.16.1.0 0.0.0.255 any eq 80
access-list 101 deny any any

Diese Liste würde auf dem inbound Ethernet Interface z.B. nur Verbindungen zum Port 80 (HTML) nach draussen durchlassen.
Bitte warten ..
Mitglied: mike7050
29.04.2006 um 21:02 Uhr
Hallo,
danke für die ausführliche Erklärung. Was hälst Du von der Fritz Box S W-Lan soll allergings nur ein Beispiel sein. Bei diesem Gerät kann man zB. nur Ports öffnen und nicht schliessen. Das heisst doch dann wohl dass ich nur ein Forwarding einstellen kann wie emule oder edonkey?

MfG Mike
Bitte warten ..
Mitglied: aqui
30.04.2006 um 09:59 Uhr
Ja das ist richtig und da unterscheidet sie sich nicht von allen anderen Consumer Produkten wie Linksys WRT54G, NetGear etc. Das Handling ist fast gleich auf diesen Maschinen. Allerdings solltest du die Finger von den Allerbilligsten lassen, denn dort wird auch noch an solcherlei Funktionen gespart !
Bitte warten ..
Mitglied: mike7050
07.05.2006 um 09:33 Uhr
Hallo,
kurze Frage noch mal: wenn die Dienste ja weiter lauschen (wenn nichts über die GPO eingestellt ist etc.) ist es doch eigentlich egal da der Router ja von aussen stumm ist. Allergings nur solange bis ein Dienst benutzt wird also Daten angefordert werden und somit ein Eintrag in der Nat Tabelle erstellt wird. Dann spätestens ist doch der Port von aussen sichtbar oder?

MfG Mike
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Offene Ports am Router überprüfen

gelöst Frage von Roland.WRouter & Routing6 Kommentare

Hallo liebes Forum! Nach langer Zeit versuche ich das Netzwerk in unserem kleinen Büro wieder auf den aktuellen Stand ...

Router & Routing

Internet Router mit PoE Ports

gelöst Frage von sunicsRouter & Routing5 Kommentare

Hallo zusammen, kennt jemand von Euch zufällig einen Internet Router (oder Firewall) mit PoE Ports (teilweise oder alle)? Bevorzugt ...

Router & Routing

OpenVPN bestimmte Ports nicht über VPN routen

Frage von kollarRouter & Routing1 Kommentar

Ausgangssituation Linux PC: 192.168.178.21 Provider GW:192.168.178.1 (fritzbox6490) VPN GW:10.8.8.1 (NordVPN) der Linux PC baut per OpenVPN eine Verbindung zu ...

Netzwerkmanagement

AVM Router mit Mikrotik Router für VLAN und Netgear GS724Tv4 für VLAN und Port Trunking

Anleitung von babylon05Netzwerkmanagement1 Kommentar

Vorab ersten einmal vielen Dank an aqui, sonst hätte ich es nicht hinbekommen. Ziel über eine günstige Konstellation ein ...

Neue Wissensbeiträge
Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 1 TagExchange Server4 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 1 TagSuche Projektpartner7 Kommentare

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

iOS
IOS 12.2 beta und OpenVPN iPad und iPhone
Erfahrungsbericht von magicteddy vor 2 TageniOS

Moin, kleiner Hinweis an die experimentierfreudigen unter Euch: Bei der aktuellen beta gibt es ein Problem im Zusammenspiel zwischen ...

Vmware
VMware Tools 10.3 verfügbar
Information von sabines vor 2 TagenVmware

Eine Sicherheitslücke wird mit den Tools der Version 10.3 geschlossen, die Tools müssen auf jeder VM aktualisiert werden. Näheres ...

Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerk einrichten - wie mache ich es richtig?
Frage von gintonikWindows Netzwerk23 Kommentare

Hallo, ich bin neu hier und erhoffe mir hier ein paar Antworten für meine Umsetzung zu erhalten. Kurz zu ...

CPU, RAM, Mainboards
4x 2 GB DDR2 1066 gesucht
gelöst Frage von Windows10GegnerCPU, RAM, Mainboards17 Kommentare

Hallo, ich plane den RAM meines Rechners aufzurüsten. Motherboard: Gigabyte X48 DS5 Der FSB steht bei 259, daher soll ...

Microsoft Office
Druckdatum nur auf ausgedrucktem Dokument anzeigen
gelöst Frage von eichi18Microsoft Office16 Kommentare

Hallo zusammen Ich versuche in einem Word Dokument das Druckdatum nur auf dem eigentlichen Ausdruck auszugeben und am Bildschirm ...

Samba
Samba-NAS Zugriff verweigert
gelöst Frage von VernoxVernaxSamba15 Kommentare

hallo ich schaffe es einfach nicht meinem User Rechte zum schreiben zu geben. Ich habe dies alles auf nem ...