Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall filtert nur TCP-Pakete - Gefahren durch UDP

Frage Netzwerke Router & Routing

Mitglied: 30210

30210 (Level 1)

16.05.2006, aktualisiert 18.10.2012, 7137 Aufrufe, 8 Kommentare

Firewall providerseitig eingerichtet, die nur TCP filtert

Hallo,

mein DSL-Provider bietet mir den seltenen Luxus einer Firewall direkt auf dessen zentralem Router, vermerkt aber im Konfigurationsdialog, diese filtere "aktuell nur TCP-Pakete".

Wie wahnwitzig ist es, diese Firewall zu verwenden und ansonsten UDP offen zu lassen? Andere Beiträge in diesem Forum haben die Frage m.E. nicht erschöpfend beantwortet. Mir geht es weniger um die Frage, ob rein theoretisch in einen von mir abgerufenen UDP-Datenstrom irgendwelche gefälschten Pakete geschmuggelt werden können, sondern darum, ob ich damit rechnen muss, Opfer von Würmern und anderen Angriffen zu werden, wenn meine TCP-Firewall sehr streng konfiguriert, UDP jedoch offen ist.

Besten Dank und Gruß in die Runde.
Mitglied: aqui
16.05.2006 um 20:15 Uhr
Was meint er mit "zentralem" Router ??? Das nützt meist gar nichts denn die DSLAMs befinden sich meist Layer 2 seitig in einem Subnetz so das die Gefahr vielmehr auch von any to any Verbindungen seiner Kunden ausgeht. Da schützt dich dann kein "zentraler" Router. Ausserdem willst du dich blind auf die Einstellungen deines Carriers verlassen. Wer sagt dir denn das der alles richtig macht auf der FW. Es gilt der alte Grundsatz: Traue keiner FW die du nicht selber administrierst.... Da du dann sowieso für UDP und wahrscheinlich auch für ICMP und den Rest der Protollwelt filtern musst ist der Wert mehr oder weniger zweifelhaft. Sowas wird immer wieder als Produkt Addon verkauft um sich vom Mitbewerrb abzuheben aber sofern du die Struktur seines Backbones und DSLAM Anordung nicht kennst ist das m.E. alles Makulatur und befreit dich nicht davon selber für Sicherheit zu sorgen....
Bitte warten ..
Mitglied: ratzla
16.05.2006 um 20:22 Uhr
aqui hat da ganz recht. Ich kenne sowas allerdings mit MLPS oder ATM Verbindungen, wo eine dedizierte Verbindung da ist, da könnte eine "zentrale Firewall" schon was bringen, aber eben nur wenn sie auf genau Deine Unternehmensbelange zugeschnitten ist. Ein Firewall ist immer nur so gut wie ihre Einstellungen!!

Im Übrigen gibt es neben ICMP, TCP und UDP auch noch einige andere routbare Protokolle die übers Internet geschickt werden können (IPSEC zum Beispiel und irgenwann gabs auch mal IPX/SPX)
Bitte warten ..
Mitglied: aqui
16.05.2006 um 20:44 Uhr
IPX/SPX ging aber nie übers Internet

(Höchstens mal über einen GRE Tunnel...)
Bitte warten ..
Mitglied: 30210
16.05.2006 um 21:10 Uhr
Danke für Eure Überlegungen. Diese Dinge lasse ich mir natürlich ebenfalls durch den Kopf gehen. Aber primär - und akut - frage ich mich vielmehr, wie gefährlich gerade das offene UDP ist. Denn leider verhält es sich so, dass meine Maschinen, die von außen erreichbar sein sollen, nicht mehr (richtig) erreichbar sind, wenn ich in der Provider-Firewall TCP selektiv zulasse, aber in der lokalen Router-Firewall UDP blockiere. Es geht nur richtig, wenn ich UDP lokal zulasse.
Bitte warten ..
Mitglied: ratzla
17.05.2006 um 09:04 Uhr
Da hast Du schon recht. Drum wurde ja Novell ab Netware 4.1 auf TCP/IP umgestellt.
Wollte mal sehen ob's jemand merkt.
Routbar ist es aber trotzdem - eine externe Vernetzung wäre zumindest in der Theorie machbar.
Bitte warten ..
Mitglied: aqui
17.05.2006 um 20:43 Uhr
Das ist ungewöhnlich mit den UDP Ports, denn sofern du nur Standardanwendungen machst wie Email und Browser nutzt du nur TCP. UDP wird eigentlich nur benutzt für Windoze Kommunikation. Darf eigentlich nicht sein das es nicht geht. Leider schreibst du nicht welche Anwendung denn VoIP nutzt z.B. UDP mit dem RTP Protokoll...

@ratzla: Recht hast du mit der Vernetzung von IPX/SPX. Über GRE Tunnel lässt sich das auch trotzdem noch schön übers Internet übertragen
Bitte warten ..
Mitglied: 30210
18.05.2006 um 17:47 Uhr
Hi,

ja, mich wundert das auch. Dennoch verhält es sich so, dass meine beiden Webserver bei lokal geblocktem UDP nicht mehr korrekt erreichbar sind. Einer gar nicht mehr, der andere liefert keine Bilder aus. VoIP ist aktuell kein Problem.

Hm - aber so richtig beantwortet ist die Ausgangsfrage dann immer noch nicht, es sei denn, die Antwort versteckte sich in der Anmerkung zu Novell, welches mir außer vom Hörensagen ein Buch mit sieben Siegeln ist. Nicht vergessen, ich bin nur ein kleiner Heimvernetzer
Bitte warten ..
Mitglied: aqui
19.05.2006, aktualisiert 18.10.2012
Nein nein...Novell IPX/SPX war nur ein Ausflug in historische Zeiten und war hier nur eine antike Randbemerkung abweichend vom Thema....
Was für Webserver benutzt du denn bzw. auf welchem OS ? Ich will nicht ausschliessen das Windows doch irgendwelche verquasten UDP Broadcasts seines NetBios Protokollsuite zur Namensauflösung nutzt. Normalerweise sollte dies natürlich in einer reinrassigen DNS IP Umgebung nicht sein aber bei Windows weiss man nie..... Genau wirst du das nur sehen können wenn man so einen Connect mal mit ansieht und mitsniffert wie z.B. mit Ethereal (www.ethereal.com). Dann kannst du es genau sagen.
Zu deinem Grundproblem ist ja oben schon alles gesagt worden. Traue niemals einer FW die du nicht selber administrierst. Solange du nicht wirklich weisst wie diese "ISP FW" eingestellt ist ist es genau so unsicher als ob du direkt im Internet hängst. Natürlich kann man mit UDP und gerade damit Zugang zu Rechnern (speziell Windows) bekommen. Siehe hier (4te Message)
http://www.administrator.de/forum/net-use-%c3%bcbers-internet-verwenden ...
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
gelöst DCs sehr viele UDP-Verbindungen zur Firewall (5)

Frage von watchdogg zum Thema Netzwerkgrundlagen ...

Erkennung und -Abwehr
TCP Acceleration (1)

Frage von MikePost zum Thema Erkennung und -Abwehr ...

Voice over IP
Fritzbox VoIP Registrierung über TCP (16)

Frage von istike2 zum Thema Voice over IP ...

Router & Routing
UDP 4500 von ISP für eine einzige Adresse geblockt? (6)

Frage von MaHeula zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows Tools

Zeit für Energiesparmodus, Bildschirmabschaltung etc. schnell anpassen

Anleitung von hannsgmaulwurf zum Thema Windows Tools ...

Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(4)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Heiß diskutierte Inhalte
Microsoft Office
Office Druck fehler (18)

Frage von DaistwasimBusch zum Thema Microsoft Office ...

Windows Server
Zertifikat am DC erneuern funktioniert nicht (14)

Frage von takvorian zum Thema Windows Server ...