Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall filtert nur TCP-Pakete - Gefahren durch UDP

Frage Netzwerke Router & Routing

Mitglied: 30210

30210 (Level 1)

16.05.2006, aktualisiert 18.10.2012, 7150 Aufrufe, 8 Kommentare

Firewall providerseitig eingerichtet, die nur TCP filtert

Hallo,

mein DSL-Provider bietet mir den seltenen Luxus einer Firewall direkt auf dessen zentralem Router, vermerkt aber im Konfigurationsdialog, diese filtere "aktuell nur TCP-Pakete".

Wie wahnwitzig ist es, diese Firewall zu verwenden und ansonsten UDP offen zu lassen? Andere Beiträge in diesem Forum haben die Frage m.E. nicht erschöpfend beantwortet. Mir geht es weniger um die Frage, ob rein theoretisch in einen von mir abgerufenen UDP-Datenstrom irgendwelche gefälschten Pakete geschmuggelt werden können, sondern darum, ob ich damit rechnen muss, Opfer von Würmern und anderen Angriffen zu werden, wenn meine TCP-Firewall sehr streng konfiguriert, UDP jedoch offen ist.

Besten Dank und Gruß in die Runde.
Mitglied: aqui
16.05.2006 um 20:15 Uhr
Was meint er mit "zentralem" Router ??? Das nützt meist gar nichts denn die DSLAMs befinden sich meist Layer 2 seitig in einem Subnetz so das die Gefahr vielmehr auch von any to any Verbindungen seiner Kunden ausgeht. Da schützt dich dann kein "zentraler" Router. Ausserdem willst du dich blind auf die Einstellungen deines Carriers verlassen. Wer sagt dir denn das der alles richtig macht auf der FW. Es gilt der alte Grundsatz: Traue keiner FW die du nicht selber administrierst.... Da du dann sowieso für UDP und wahrscheinlich auch für ICMP und den Rest der Protollwelt filtern musst ist der Wert mehr oder weniger zweifelhaft. Sowas wird immer wieder als Produkt Addon verkauft um sich vom Mitbewerrb abzuheben aber sofern du die Struktur seines Backbones und DSLAM Anordung nicht kennst ist das m.E. alles Makulatur und befreit dich nicht davon selber für Sicherheit zu sorgen....
Bitte warten ..
Mitglied: ratzla
16.05.2006 um 20:22 Uhr
aqui hat da ganz recht. Ich kenne sowas allerdings mit MLPS oder ATM Verbindungen, wo eine dedizierte Verbindung da ist, da könnte eine "zentrale Firewall" schon was bringen, aber eben nur wenn sie auf genau Deine Unternehmensbelange zugeschnitten ist. Ein Firewall ist immer nur so gut wie ihre Einstellungen!!

Im Übrigen gibt es neben ICMP, TCP und UDP auch noch einige andere routbare Protokolle die übers Internet geschickt werden können (IPSEC zum Beispiel und irgenwann gabs auch mal IPX/SPX)
Bitte warten ..
Mitglied: aqui
16.05.2006 um 20:44 Uhr
IPX/SPX ging aber nie übers Internet

(Höchstens mal über einen GRE Tunnel...)
Bitte warten ..
Mitglied: 30210
16.05.2006 um 21:10 Uhr
Danke für Eure Überlegungen. Diese Dinge lasse ich mir natürlich ebenfalls durch den Kopf gehen. Aber primär - und akut - frage ich mich vielmehr, wie gefährlich gerade das offene UDP ist. Denn leider verhält es sich so, dass meine Maschinen, die von außen erreichbar sein sollen, nicht mehr (richtig) erreichbar sind, wenn ich in der Provider-Firewall TCP selektiv zulasse, aber in der lokalen Router-Firewall UDP blockiere. Es geht nur richtig, wenn ich UDP lokal zulasse.
Bitte warten ..
Mitglied: ratzla
17.05.2006 um 09:04 Uhr
Da hast Du schon recht. Drum wurde ja Novell ab Netware 4.1 auf TCP/IP umgestellt.
Wollte mal sehen ob's jemand merkt.
Routbar ist es aber trotzdem - eine externe Vernetzung wäre zumindest in der Theorie machbar.
Bitte warten ..
Mitglied: aqui
17.05.2006 um 20:43 Uhr
Das ist ungewöhnlich mit den UDP Ports, denn sofern du nur Standardanwendungen machst wie Email und Browser nutzt du nur TCP. UDP wird eigentlich nur benutzt für Windoze Kommunikation. Darf eigentlich nicht sein das es nicht geht. Leider schreibst du nicht welche Anwendung denn VoIP nutzt z.B. UDP mit dem RTP Protokoll...

@ratzla: Recht hast du mit der Vernetzung von IPX/SPX. Über GRE Tunnel lässt sich das auch trotzdem noch schön übers Internet übertragen
Bitte warten ..
Mitglied: 30210
18.05.2006 um 17:47 Uhr
Hi,

ja, mich wundert das auch. Dennoch verhält es sich so, dass meine beiden Webserver bei lokal geblocktem UDP nicht mehr korrekt erreichbar sind. Einer gar nicht mehr, der andere liefert keine Bilder aus. VoIP ist aktuell kein Problem.

Hm - aber so richtig beantwortet ist die Ausgangsfrage dann immer noch nicht, es sei denn, die Antwort versteckte sich in der Anmerkung zu Novell, welches mir außer vom Hörensagen ein Buch mit sieben Siegeln ist. Nicht vergessen, ich bin nur ein kleiner Heimvernetzer
Bitte warten ..
Mitglied: aqui
19.05.2006, aktualisiert 18.10.2012
Nein nein...Novell IPX/SPX war nur ein Ausflug in historische Zeiten und war hier nur eine antike Randbemerkung abweichend vom Thema....
Was für Webserver benutzt du denn bzw. auf welchem OS ? Ich will nicht ausschliessen das Windows doch irgendwelche verquasten UDP Broadcasts seines NetBios Protokollsuite zur Namensauflösung nutzt. Normalerweise sollte dies natürlich in einer reinrassigen DNS IP Umgebung nicht sein aber bei Windows weiss man nie..... Genau wirst du das nur sehen können wenn man so einen Connect mal mit ansieht und mitsniffert wie z.B. mit Ethereal (www.ethereal.com). Dann kannst du es genau sagen.
Zu deinem Grundproblem ist ja oben schon alles gesagt worden. Traue niemals einer FW die du nicht selber administrierst. Solange du nicht wirklich weisst wie diese "ISP FW" eingestellt ist ist es genau so unsicher als ob du direkt im Internet hängst. Natürlich kann man mit UDP und gerade damit Zugang zu Rechnern (speziell Windows) bekommen. Siehe hier (4te Message)
http://www.administrator.de/forum/net-use-%c3%bcbers-internet-verwenden ...
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
Problem durch Konvertierung von TCP zu UDP
Frage von LostInNetNetzwerkprotokolle2 Kommentare

Hallo Administratoren, ich habe folgenden Aufbau, damit man das Problem dann auch versteht: Softgate <TCP> SBC (Session Border Controller) ...

Netzwerkgrundlagen
DCs sehr viele UDP-Verbindungen zur Firewall
gelöst Frage von watchdoggNetzwerkgrundlagen5 Kommentare

Hallo, unsere Firma hat momentan, regional bedingt, eine Internet-Standleitung mit geringer Bandbreite. Im November können wir endlich auf 50 ...

Batch & Shell
Powershell: TCP und UDP Verbindungen loggen und duplicate bzw. ähnliche Einträge entfernen
gelöst Frage von clubmateBatch & Shell4 Kommentare

Hallo Freunde, ich möchte von einem PC die TCP/UDP verbindungen loggen und diese in einer .txt oder .csv speichern. ...

Router & Routing
99 Prozent Paketverlust beim Netalyzer Performance Test (UDP pakete)
Frage von f0rml0sRouter & Routing13 Kommentare

Hallo Admins, ich habe ein Problem mit meiner Leitung seit einiger Zeit und vielleicht könnt ihr das Problem mit ...

Neue Wissensbeiträge
DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 45 MinutenDSL, VDSL

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 56 MinutenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 4 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server19 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement17 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...