Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

LAN Ports nach Draußen schließen

Frage Microsoft Windows Netzwerk

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

22.11.2011 um 17:06 Uhr, 4830 Aufrufe, 10 Kommentare

Hallo,

ich hätte vor in unserem kleinen Büro die nicht verwendeten Ports auch nach Draußen zu schließen damit wir unerwünschte Kommunikation /Schadsoftware, Botnetze, Spiele, usw) möglichst verhindern können.

Die folgenden Ports bräuchten wir:

80, 443 für Surfen
5060 für VoIP
usw.

Meine Fragen:

ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?

ich habe leider zu wenig Erfahrung. Die Sperrrung würde ich in dem Router via pfSense vornehmen.

Danke sehr.

Gr. I.
Mitglied: Lochkartenstanzer
22.11.2011 um 17:09 Uhr
Zitat von istike2:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche
Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?


Alles dichtmachen und dann nur die Ports öffnen, die benötigt werden. So ist das übliche vorgehen.
Bitte warten ..
Mitglied: istike2
22.11.2011 um 17:19 Uhr
Danke.

und woher weiß ich ja welche Ports von welcher Anwendung gebraucht werden? Soll ich die einzelnen Clients mit NMAP "abtasten" oder hat pfSense möglicherweise ein LOG mit dieser Info? Auf Anhieb kenne ich nur diese 3 Ports, die wir brauchen...

Was ich vermeiden möchte wäre, dass die User mich tagelang anrufen, weil die Software "komischerweise" nicht funktioniert....

Es wäre gut, diese Änderungen in einer Welle durchziehen...

Gr. I.
Bitte warten ..
Mitglied: Hitman4021
22.11.2011 um 17:31 Uhr
Hallo

also für Voip benötigst du sicher mehr wie 5060/tcp auf diesem port wird die Verbindung nur aufgebaut. Die Gesprächsdaten werden via udp übertragen.

Sonst spiegl mal alle Switch Ports und schaue welche Ports du brauchst.

grußw
Bitte warten ..
Mitglied: istike2
22.11.2011 um 17:41 Uhr
Hallo,

wäre gut, wenn der Switch es könnte. Dieser hat leider dieses Feature nicht. Ich werde mir mal einen allgemeinen Regel auf pfSense einrichtet und mir die Logs anschauen. Es besteht irgendwo ganz sicher die Möglichkeit... Ein Regel, der nur geloggt wird ohne sperren zu können.

Gr. I.
Bitte warten ..
Mitglied: Hitman4021
22.11.2011 um 17:45 Uhr
Hallo,

ich kenne pfsense leider nicht aber ich schätze du brauchst noch die UDP Port <1024 für Voip

gruß
Bitte warten ..
Mitglied: BillyBunny
22.11.2011 um 18:13 Uhr
Hallo,

wie Lochkartenstanzer schon schreibt.... erst mal macht man alles dicht und öffnet dann die Ports die man braucht.

Welche Ports das sind kann Dir hier wohl keiner sagen, da keiner weiß welche Software und welche Verbindungen und Ports Du brauchst.

Das geht los mit I-Net, FTP, SSH, Telnet, RDP, VPN, POP3, SMTP, VNC, usw. die Liste ist uferlos....

Du solltest schon wissen welche Ports Ihr nach außen hin braucht....

Erst mal sorgfältig analysieren und dann machen.... eine Liste der Standardports sollte schon mal einen ersten Aufschluss geben (google)
und der Rest ist wie gesagt von verwendeter Software und benötigten Verbindungen abhängig.

Gruß
BB
Bitte warten ..
Mitglied: brammer
22.11.2011 um 18:38 Uhr
Hallo,

wie bereits schon gesagt: Alle Ports zu machen.

Dann Nutzungsbezogen wieder öffnen was benötigt wird

http 80
https/ssl 443
ssh 22
telnet 23 (aber eher nicht zu empfehlen)
VNC nach Einstellung, Standard 5900

Hängt halt davon ab was wieso nach hause telefonieren möchte.

brammer
Bitte warten ..
Mitglied: istike2
23.11.2011 um 15:33 Uhr
pfSense hat offensichtlich ganz gute Übersichtfunktionen. Ich sammle mal ein bißchen und machen die unnötigen Ports dicht.

Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss gezielt kontrolliert werden.

Gr. I.
Bitte warten ..
Mitglied: mrtux
23.11.2011 um 15:49 Uhr
Hi !

Die PfSense hat ein Firewall-Log! (Siehe auch aqui's Tutorials über die Monowall!) Dem kannst Du die benötigten Infos entnehmen und wenn nachträglich Programme installiert werden, deren Kommunikation erwünscht ist, musst Du die dann halt in der Firewall freigeben...

Zitat von istike2:
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss
gezielt kontrolliert werden.

Wie soll die PfSense auch? Das setzt eine intelligente Verhaltensanalyse voraus, die heute nicht mal annähernd irgendeine Sicherheitssoftware schafft. Und selbst die muss vom Menschen "gefüttert" werden....

Wofür bist Du eigentlich da? Zwischen Gut und Böse zu unterscheiden ist eine Standardaufgabe für des Admin's Brain.exe...

mrtux
Bitte warten ..
Mitglied: Sam1991
24.11.2011 um 09:43 Uhr
Hallo zusammen,

zudem sollte es für "gute" Programme eine Dokumentation geben, in der genau beschrieben wird welche Ports aus welchen Gründen benötigt wird. Gibt es keine Dokumentation dazu oder keinerlei Hinweise zu dem Programm halte ich das schon für verdächtig.

Denn alles freizugeben was an der Firewall ankommt kann unter Umständen auch nicht gerade prickelnd sein, wenn Schadsoftware sich bereits in deinem Netz breitgemacht hat.

Dass dich User unter Umständen anrufen, wenn etwas nicht funktioniert nur weil diese Anwendungen Port xy benötigen ist völlig normal und das wirst du bei einem sicheren Netz niemals umgehen können. Zudem möchtest du ja verhindern, dass sich ein infizierter Rechner nach Hause telefonieren kann bloß weil der Anwender ein "gaaaanz wichtiges" Programm installiert hat. Wie heißt es so schön: Sicherheit ist erst dann gut, wenn sie nervt

Viel Erfolg beim "dichtmachen" !

Sam1991
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Reicht ein normales 100 Meter LAN-Kabel für draußen? (13)

Frage von DaveDave zum Thema LAN, WAN, Wireless ...

Router & Routing
Speedport w921v Gastzugang für einen LAN Port (6)

Frage von Akcent zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Netzwerkkabel von Wohnung nach Draußen führen (6)

Frage von manuelw zum Thema LAN, WAN, Wireless ...

Outlook & Mail
gelöst Outlook 2016 Postfächer lassen sich nicht schließen (16)

Frage von master3477 zum Thema Outlook & Mail ...

Neue Wissensbeiträge
Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(2)

Information von DerWoWusste zum Thema Microsoft ...

Heiß diskutierte Inhalte
Monitoring
Netzwerk-Monitoring Software (18)

Frage von Ghost108 zum Thema Monitoring ...

Windows 10
Seekrank bei Windows 10 (18)

Frage von zauberer123 zum Thema Windows 10 ...

Windows 10
Windows 10 Fall Creators Update Fehler (13)

Frage von ZeroCool23 zum Thema Windows 10 ...