30210
May 16, 2006, updated at Oct 18, 2012 (UTC)
7461
8
0
Firewall filtert nur TCP-Pakete - Gefahren durch UDP
Firewall providerseitig eingerichtet, die nur TCP filtert
Hallo,
mein DSL-Provider bietet mir den seltenen Luxus einer Firewall direkt auf dessen zentralem Router, vermerkt aber im Konfigurationsdialog, diese filtere "aktuell nur TCP-Pakete".
Wie wahnwitzig ist es, diese Firewall zu verwenden und ansonsten UDP offen zu lassen? Andere Beiträge in diesem Forum haben die Frage m.E. nicht erschöpfend beantwortet. Mir geht es weniger um die Frage, ob rein theoretisch in einen von mir abgerufenen UDP-Datenstrom irgendwelche gefälschten Pakete geschmuggelt werden können, sondern darum, ob ich damit rechnen muss, Opfer von Würmern und anderen Angriffen zu werden, wenn meine TCP-Firewall sehr streng konfiguriert, UDP jedoch offen ist.
Besten Dank und Gruß in die Runde.
mein DSL-Provider bietet mir den seltenen Luxus einer Firewall direkt auf dessen zentralem Router, vermerkt aber im Konfigurationsdialog, diese filtere "aktuell nur TCP-Pakete".
Wie wahnwitzig ist es, diese Firewall zu verwenden und ansonsten UDP offen zu lassen? Andere Beiträge in diesem Forum haben die Frage m.E. nicht erschöpfend beantwortet. Mir geht es weniger um die Frage, ob rein theoretisch in einen von mir abgerufenen UDP-Datenstrom irgendwelche gefälschten Pakete geschmuggelt werden können, sondern darum, ob ich damit rechnen muss, Opfer von Würmern und anderen Angriffen zu werden, wenn meine TCP-Firewall sehr streng konfiguriert, UDP jedoch offen ist.
Besten Dank und Gruß in die Runde.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32640
Url: https://administrator.de/contentid/32640
Printed on: April 26, 2024 at 13:04 o'clock
8 Comments
Latest comment
Was meint er mit "zentralem" Router ??? Das nützt meist gar nichts denn die DSLAMs befinden sich meist Layer 2 seitig in einem Subnetz so das die Gefahr vielmehr auch von any to any Verbindungen seiner Kunden ausgeht. Da schützt dich dann kein "zentraler" Router. Ausserdem willst du dich blind auf die Einstellungen deines Carriers verlassen. Wer sagt dir denn das der alles richtig macht auf der FW. Es gilt der alte Grundsatz: Traue keiner FW die du nicht selber administrierst.... Da du dann sowieso für UDP und wahrscheinlich auch für ICMP und den Rest der Protollwelt filtern musst ist der Wert mehr oder weniger zweifelhaft. Sowas wird immer wieder als Produkt Addon verkauft um sich vom Mitbewerrb abzuheben aber sofern du die Struktur seines Backbones und DSLAM Anordung nicht kennst ist das m.E. alles Makulatur und befreit dich nicht davon selber für Sicherheit zu sorgen....
aqui hat da ganz recht. Ich kenne sowas allerdings mit MLPS oder ATM Verbindungen, wo eine dedizierte Verbindung da ist, da könnte eine "zentrale Firewall" schon was bringen, aber eben nur wenn sie auf genau Deine Unternehmensbelange zugeschnitten ist. Ein Firewall ist immer nur so gut wie ihre Einstellungen!!
Im Übrigen gibt es neben ICMP, TCP und UDP auch noch einige andere routbare Protokolle die übers Internet geschickt werden können (IPSEC zum Beispiel und irgenwann gabs auch mal IPX/SPX)
Im Übrigen gibt es neben ICMP, TCP und UDP auch noch einige andere routbare Protokolle die übers Internet geschickt werden können (IPSEC zum Beispiel und irgenwann gabs auch mal IPX/SPX)
IPX/SPX ging aber nie übers Internet 
(Höchstens mal über einen GRE Tunnel...)
(Höchstens mal über einen GRE Tunnel...)
Danke für Eure Überlegungen. Diese Dinge lasse ich mir natürlich ebenfalls durch den Kopf gehen. Aber primär - und akut - frage ich mich vielmehr, wie gefährlich gerade das offene UDP ist. Denn leider verhält es sich so, dass meine Maschinen, die von außen erreichbar sein sollen, nicht mehr (richtig) erreichbar sind, wenn ich in der Provider-Firewall TCP selektiv zulasse, aber in der lokalen Router-Firewall UDP blockiere. Es geht nur richtig, wenn ich UDP lokal zulasse.
Da hast Du schon recht. Drum wurde ja Novell ab Netware 4.1 auf TCP/IP umgestellt.
Wollte mal sehen ob's jemand merkt.
Routbar ist es aber trotzdem - eine externe Vernetzung wäre zumindest in der Theorie machbar.
Wollte mal sehen ob's jemand merkt.
Routbar ist es aber trotzdem - eine externe Vernetzung wäre zumindest in der Theorie machbar.
Das ist ungewöhnlich mit den UDP Ports, denn sofern du nur Standardanwendungen machst wie Email und Browser nutzt du nur TCP. UDP wird eigentlich nur benutzt für Windoze Kommunikation. Darf eigentlich nicht sein das es nicht geht. Leider schreibst du nicht welche Anwendung denn VoIP nutzt z.B. UDP mit dem RTP Protokoll...
@ratzla: Recht hast du mit der Vernetzung von IPX/SPX. Über GRE Tunnel lässt sich das auch trotzdem noch schön übers Internet übertragen
@ratzla: Recht hast du mit der Vernetzung von IPX/SPX. Über GRE Tunnel lässt sich das auch trotzdem noch schön übers Internet übertragen
Hi,
ja, mich wundert das auch. Dennoch verhält es sich so, dass meine beiden Webserver bei lokal geblocktem UDP nicht mehr korrekt erreichbar sind. Einer gar nicht mehr, der andere liefert keine Bilder aus. VoIP ist aktuell kein Problem.
Hm - aber so richtig beantwortet ist die Ausgangsfrage dann immer noch nicht, es sei denn, die Antwort versteckte sich in der Anmerkung zu Novell, welches mir außer vom Hörensagen ein Buch mit sieben Siegeln ist. Nicht vergessen, ich bin nur ein kleiner Heimvernetzer
ja, mich wundert das auch. Dennoch verhält es sich so, dass meine beiden Webserver bei lokal geblocktem UDP nicht mehr korrekt erreichbar sind. Einer gar nicht mehr, der andere liefert keine Bilder aus. VoIP ist aktuell kein Problem.
Hm - aber so richtig beantwortet ist die Ausgangsfrage dann immer noch nicht, es sei denn, die Antwort versteckte sich in der Anmerkung zu Novell, welches mir außer vom Hörensagen ein Buch mit sieben Siegeln ist. Nicht vergessen, ich bin nur ein kleiner Heimvernetzer
Nein nein...Novell IPX/SPX war nur ein Ausflug in historische Zeiten und war hier nur eine antike Randbemerkung abweichend vom Thema....
Was für Webserver benutzt du denn bzw. auf welchem OS ? Ich will nicht ausschliessen das Windows doch irgendwelche verquasten UDP Broadcasts seines NetBios Protokollsuite zur Namensauflösung nutzt. Normalerweise sollte dies natürlich in einer reinrassigen DNS IP Umgebung nicht sein aber bei Windows weiss man nie..... Genau wirst du das nur sehen können wenn man so einen Connect mal mit ansieht und mitsniffert wie z.B. mit Ethereal (www.ethereal.com). Dann kannst du es genau sagen.
Zu deinem Grundproblem ist ja oben schon alles gesagt worden. Traue niemals einer FW die du nicht selber administrierst. Solange du nicht wirklich weisst wie diese "ISP FW" eingestellt ist ist es genau so unsicher als ob du direkt im Internet hängst. Natürlich kann man mit UDP und gerade damit Zugang zu Rechnern (speziell Windows) bekommen. Siehe hier (4te Message)
Net use übers Internet verwenden, aber wie?
Was für Webserver benutzt du denn bzw. auf welchem OS ? Ich will nicht ausschliessen das Windows doch irgendwelche verquasten UDP Broadcasts seines NetBios Protokollsuite zur Namensauflösung nutzt. Normalerweise sollte dies natürlich in einer reinrassigen DNS IP Umgebung nicht sein aber bei Windows weiss man nie..... Genau wirst du das nur sehen können wenn man so einen Connect mal mit ansieht und mitsniffert wie z.B. mit Ethereal (www.ethereal.com). Dann kannst du es genau sagen.
Zu deinem Grundproblem ist ja oben schon alles gesagt worden. Traue niemals einer FW die du nicht selber administrierst. Solange du nicht wirklich weisst wie diese "ISP FW" eingestellt ist ist es genau so unsicher als ob du direkt im Internet hängst. Natürlich kann man mit UDP und gerade damit Zugang zu Rechnern (speziell Windows) bekommen. Siehe hier (4te Message)
Net use übers Internet verwenden, aber wie?