Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall filtert nur TCP-Pakete - Gefahren durch UDP

Frage Netzwerke Router & Routing

Mitglied: 30210

30210 (Level 1)

16.05.2006, aktualisiert 18.10.2012, 7114 Aufrufe, 8 Kommentare

Firewall providerseitig eingerichtet, die nur TCP filtert

Hallo,

mein DSL-Provider bietet mir den seltenen Luxus einer Firewall direkt auf dessen zentralem Router, vermerkt aber im Konfigurationsdialog, diese filtere "aktuell nur TCP-Pakete".

Wie wahnwitzig ist es, diese Firewall zu verwenden und ansonsten UDP offen zu lassen? Andere Beiträge in diesem Forum haben die Frage m.E. nicht erschöpfend beantwortet. Mir geht es weniger um die Frage, ob rein theoretisch in einen von mir abgerufenen UDP-Datenstrom irgendwelche gefälschten Pakete geschmuggelt werden können, sondern darum, ob ich damit rechnen muss, Opfer von Würmern und anderen Angriffen zu werden, wenn meine TCP-Firewall sehr streng konfiguriert, UDP jedoch offen ist.

Besten Dank und Gruß in die Runde.
Mitglied: aqui
16.05.2006 um 20:15 Uhr
Was meint er mit "zentralem" Router ??? Das nützt meist gar nichts denn die DSLAMs befinden sich meist Layer 2 seitig in einem Subnetz so das die Gefahr vielmehr auch von any to any Verbindungen seiner Kunden ausgeht. Da schützt dich dann kein "zentraler" Router. Ausserdem willst du dich blind auf die Einstellungen deines Carriers verlassen. Wer sagt dir denn das der alles richtig macht auf der FW. Es gilt der alte Grundsatz: Traue keiner FW die du nicht selber administrierst.... Da du dann sowieso für UDP und wahrscheinlich auch für ICMP und den Rest der Protollwelt filtern musst ist der Wert mehr oder weniger zweifelhaft. Sowas wird immer wieder als Produkt Addon verkauft um sich vom Mitbewerrb abzuheben aber sofern du die Struktur seines Backbones und DSLAM Anordung nicht kennst ist das m.E. alles Makulatur und befreit dich nicht davon selber für Sicherheit zu sorgen....
Bitte warten ..
Mitglied: ratzla
16.05.2006 um 20:22 Uhr
aqui hat da ganz recht. Ich kenne sowas allerdings mit MLPS oder ATM Verbindungen, wo eine dedizierte Verbindung da ist, da könnte eine "zentrale Firewall" schon was bringen, aber eben nur wenn sie auf genau Deine Unternehmensbelange zugeschnitten ist. Ein Firewall ist immer nur so gut wie ihre Einstellungen!!

Im Übrigen gibt es neben ICMP, TCP und UDP auch noch einige andere routbare Protokolle die übers Internet geschickt werden können (IPSEC zum Beispiel und irgenwann gabs auch mal IPX/SPX)
Bitte warten ..
Mitglied: aqui
16.05.2006 um 20:44 Uhr
IPX/SPX ging aber nie übers Internet

(Höchstens mal über einen GRE Tunnel...)
Bitte warten ..
Mitglied: 30210
16.05.2006 um 21:10 Uhr
Danke für Eure Überlegungen. Diese Dinge lasse ich mir natürlich ebenfalls durch den Kopf gehen. Aber primär - und akut - frage ich mich vielmehr, wie gefährlich gerade das offene UDP ist. Denn leider verhält es sich so, dass meine Maschinen, die von außen erreichbar sein sollen, nicht mehr (richtig) erreichbar sind, wenn ich in der Provider-Firewall TCP selektiv zulasse, aber in der lokalen Router-Firewall UDP blockiere. Es geht nur richtig, wenn ich UDP lokal zulasse.
Bitte warten ..
Mitglied: ratzla
17.05.2006 um 09:04 Uhr
Da hast Du schon recht. Drum wurde ja Novell ab Netware 4.1 auf TCP/IP umgestellt.
Wollte mal sehen ob's jemand merkt.
Routbar ist es aber trotzdem - eine externe Vernetzung wäre zumindest in der Theorie machbar.
Bitte warten ..
Mitglied: aqui
17.05.2006 um 20:43 Uhr
Das ist ungewöhnlich mit den UDP Ports, denn sofern du nur Standardanwendungen machst wie Email und Browser nutzt du nur TCP. UDP wird eigentlich nur benutzt für Windoze Kommunikation. Darf eigentlich nicht sein das es nicht geht. Leider schreibst du nicht welche Anwendung denn VoIP nutzt z.B. UDP mit dem RTP Protokoll...

@ratzla: Recht hast du mit der Vernetzung von IPX/SPX. Über GRE Tunnel lässt sich das auch trotzdem noch schön übers Internet übertragen
Bitte warten ..
Mitglied: 30210
18.05.2006 um 17:47 Uhr
Hi,

ja, mich wundert das auch. Dennoch verhält es sich so, dass meine beiden Webserver bei lokal geblocktem UDP nicht mehr korrekt erreichbar sind. Einer gar nicht mehr, der andere liefert keine Bilder aus. VoIP ist aktuell kein Problem.

Hm - aber so richtig beantwortet ist die Ausgangsfrage dann immer noch nicht, es sei denn, die Antwort versteckte sich in der Anmerkung zu Novell, welches mir außer vom Hörensagen ein Buch mit sieben Siegeln ist. Nicht vergessen, ich bin nur ein kleiner Heimvernetzer
Bitte warten ..
Mitglied: aqui
19.05.2006, aktualisiert 18.10.2012
Nein nein...Novell IPX/SPX war nur ein Ausflug in historische Zeiten und war hier nur eine antike Randbemerkung abweichend vom Thema....
Was für Webserver benutzt du denn bzw. auf welchem OS ? Ich will nicht ausschliessen das Windows doch irgendwelche verquasten UDP Broadcasts seines NetBios Protokollsuite zur Namensauflösung nutzt. Normalerweise sollte dies natürlich in einer reinrassigen DNS IP Umgebung nicht sein aber bei Windows weiss man nie..... Genau wirst du das nur sehen können wenn man so einen Connect mal mit ansieht und mitsniffert wie z.B. mit Ethereal (www.ethereal.com). Dann kannst du es genau sagen.
Zu deinem Grundproblem ist ja oben schon alles gesagt worden. Traue niemals einer FW die du nicht selber administrierst. Solange du nicht wirklich weisst wie diese "ISP FW" eingestellt ist ist es genau so unsicher als ob du direkt im Internet hängst. Natürlich kann man mit UDP und gerade damit Zugang zu Rechnern (speziell Windows) bekommen. Siehe hier (4te Message)
http://www.administrator.de/forum/net-use-%c3%bcbers-internet-verwenden ...
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst DCs sehr viele UDP-Verbindungen zur Firewall (5)

Frage von watchdogg zum Thema Netzwerkgrundlagen ...

Router & Routing
99 Prozent Paketverlust beim Netalyzer Performance Test (UDP pakete) (13)

Frage von f0rml0s zum Thema Router & Routing ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...