tobelinked
Goto Top

Linksys Cisco wrt610n dynamic Port 49152 - 49155 von innen offen und kriege diese nicht geschlossen

Danke für die Hilfe!

Bei einem kurzen Scann in meinem LAN sind mir folgende Ports aufgefallen, welche anscheinend offen sind, ohne das ein Client diese nutzt:

49152 - 49155 dynamic Port

Gescannt wurde mein Linksys-Router wrt610n.

Weshalb sind diese Ports offen? Sind das Services, welche mir mein Router zur Verfügung stellt? Und weshalb müssen die die ganze Zeit offen sein?

Nachdem ich die Port mittels Zugriffsbeschränkung sperre, sind diese bei einem erneuten Scann immer noch offen. Gescannt wurde mit Nmap.

Vielen Dank für eine Antwort und schöne Ostern

tobelinked

Content-Key: 183224

Url: https://administrator.de/contentid/183224

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: aqui
aqui 07.04.2012 um 12:43:12 Uhr
Goto Top
15 Sek. bei Dr. Google... Das sind die neuen DCE oder DCOM Ports
http://de.wikipedia.org/wiki/Distributed_Component_Object_Model
oder hier das MS Dokument dazu:
http://support.microsoft.com/kb/179442/de
Auch iTunes benutzt das wenn z.B. dein Linksys auch ein iTunes Server ist.
Mitglied: tobelinked
tobelinked 07.04.2012 um 13:19:36 Uhr
Goto Top
vielen dank für die rasche info.

aber weshalb müssen diese ports die ganze zeit offen sein, wenn ich kein dienst nutze, der diese ports anspricht. das ist doch sicherheitstechnisch nicht so schlau.

sorry für meine fragerei, aber befasse mich erst seit einiger zeit mit netzwerken.

danke und frohe ostern
Mitglied: Pjordorf
Pjordorf 07.04.2012 um 16:36:02 Uhr
Goto Top
Hallo,

Zitat von @tobelinked:
aber weshalb müssen diese ports die ganze zeit offen sein
Warum sind diese denn überhaupt geöfnet worden? Du hast doch deinen Router konfiguriert, oder? Hast du uPNP und oder Port Triggering eingeschaltet / Konfiguriert? Und warum einen geöffneten Port erst Öffnen (Öffnen lassen durch Regeln usw) um ihn dann per "Port mittels Zugriffsbeschränkung" Manuell wieder dicht zu machen. Die Frage ist doch eindeutig "Wer oder was (uPNP usw) hat den Port geöffnet"? Da musst du ansetzen.

Gruß,
Peter
Mitglied: tobelinked
tobelinked 07.04.2012 um 17:44:24 Uhr
Goto Top
upnp ist deaktivert. habe ich manuell angestossen. so brachte ich port 1780 dpkeyserv und port 10080 amanda backup utility zu, die auch permanent geöffent waren. upnp, so wie es unter hilfe des routers steht, brauchen ja nur winxp und winnt systeme, welche nicht mehr in meinem lan genutzt werden. manuel habe ich aktuell kein port geöffnet und auch keine zugriffsberschränkung eingereichtet, da dies nichts gebracht hat.

<"Wer oder was (uPNP usw) hat den Port geöffnet"?> - da versuche ich auch anzusetzen. weder wireshark noch die logs des routers zeigen aktivitäten auf den ports. aber merkwürdig ist ja schon, dass kein client im lan ist und der router die ports dennoch offen behält, aber in den einstellungen des routers (auch nach einem firmware update) keine ports zur manuellen freigabe eingetragen sind. ausser die ports werden als grundeinstellung vom router offen behalten für irgendwelche dienste, die anscheinden in meinem lan nicht aktiv sind.


* Auszug Hilfe Linksys wrt610n: "UPnP (Universal Plug and Play) ermöglicht es unter Windows ME und XP, den Router für verschiedene Internetanwendungen wie Spiele und Videokonferenzen automatisch zu konfigurieren." Kann das sein?

danke für den kommentar pjordorf ...
Mitglied: Pjordorf
Pjordorf 07.04.2012 um 18:28:38 Uhr
Goto Top
Hallo,

Zitat von @tobelinked:
upnp ist deaktivert.
Gut so.

upnp, so wie es unter hilfe des routers steht, brauchen ja nur winxp und winnt systeme,
Wer sagt denn so etwas. das sind beispiel OSe. uPNP kann auf jedem Netzwerkfähigen Gerät laufen (IPhone, IPad, IPod, Android, Windows, Linux usw.). http://en.wikipedia.org/wiki/Universal_Plug_and_Play

da versuche ich auch anzusetzen.
Nun, wenn es nicht durch uPNP geschieht, wer hat dann welche Portforwards / Porttrigger eingerichtet? Das kann ja dann nur Manuell geschehen sein.

Nur mal jetzt zur Klarstellung. Wir reden hier von Ports die auf deinem Router von Aussen (Böses internet) nach innen (gesichertes LAN/WLAN) geöffnet sind. Und das hast du getestet indem du NMap genommen hast. Du hast aber das NMap auf einen Rechner ausgeführt der nicht in deinem Netzwerk LAN/WLAN ist? Ebenfalls hast du nicht getestet indem du eine Fernwartung egal welcher Art auf einen anderen Rechner ausserhalb deines Netzes gemacht hast? Du hast dich auch nicht von deinem Netz auf irgendwelche Server (http / https usw) verbunden um dann das NMap von aussserhalb durchzuführen? Du hast eine Kumepl angerufen und ihn gebeten deine IP (Dynmaisch oder fest) mal mit NMap zu scannen? Oder hast du dich an der WAN Schnittstelle deines WRT610N angeklemmt um dann mit NMap zu testen?

ausser die ports werden als grundeinstellung vom router offen behalten
Es gibt kein Router der von Aussen eingehende Ports für irgendwelche Grundeinstellungen offen hält.

Gruß,
Peter
Mitglied: tobelinked
tobelinked 07.04.2012 um 18:33:58 Uhr
Goto Top
mein verdacht erhärtet sich - also das diese ports absichtlich von linksys offen gehalten werden. unter http://192.168.1.1:49152/qphdevicedesc.xml sind einige infos zum router aufgelistet. keine ahnung was das aber sein soll:

<root>
<specVersion><major>*</major><minor>*</minor></specVersion>
<device><deviceType>*</deviceType>
<friendlyName>
*</friendlyName>
<manufacturer>Linksys</manufacturer>
<manufacturerURL>
><modelDescription>*</modelDescription>
<modelName>
</modelName>
<modelNumber>
</modelNumber>
<modelURL>
*</modelURL>
<serialNumber></serialNumber>
<UDN></UDN>
<UPC></UPC>
<serviceList><service><serviceType>*</serviceType>
<serviceId></serviceId>
<controlURL></controlURL>
<eventSubURL>*</eventSubURL>
<SCPDURL>
></service></serviceList>
<presentationURL>
</presentationURL></device></root>

irgendwelche ideen?
Mitglied: tobelinked
tobelinked 07.04.2012 um 18:37:51 Uhr
Goto Top
Also von aussen ist alles dicht. habe nmap über wan getestet. die ports sind nur in meinem lan offen. ich frage mich nur warum diese offen sind, wenn sie gerade nicht von einem service genutzt werden. das wiederspricht meinem verständis von it-sicherheit, auch wenn ich nicht sehr viel ahnung habe. face-smile nochmals vielen vielen dank für eine hlife.

grüsse

tobelinked
Mitglied: tobelinked
tobelinked 07.04.2012 um 18:40:09 Uhr
Goto Top
Zitat von @Pjordorf:
Hallo,

> Zitat von @tobelinked:
> upnp ist deaktivert.
Gut so.

> upnp, so wie es unter hilfe des routers steht**, brauchen ja nur winxp und winnt systeme,
Wrr sagt denn so etwas. das sind beispil OSe. uPNP kann auf jedem Netzwerkfähigen Gerät laufen (IPhone, IPad, IPod,
Android, Windows, Linux usw.). http://en.wikipedia.org/wiki/Universal_Plug_and_Play


das habe ich mir auch gedacht. werde als ersatz für upnp manuell konfigurieren. aber echt jetzt upnp ist deaktiviert und keine manuelles portforwarding eingereichet. dennoch sind die ports offen.
Mitglied: Pjordorf
Pjordorf 07.04.2012 um 19:50:12 Uhr
Goto Top
Hallo,

Zitat von @tobelinked:
Also von aussen ist alles dicht.
Das ist bei diesem Gerät das wichtigste.

habe nmap über wan getestet.
Das ist auch korrekt so.

die ports sind nur in meinem lan offen.
OK. face-smile

ich frage mich nur warum diese offen sind, wenn sie gerade nicht von einem service genutzt werden.
Nun wir nehmen jetzt mal an das alle Ports auf deinem Router WRT610N auch von Innen , also aus deinem Netz raus, zu (dicht) sind. Wie möchtest du also dann auf diese Gerät z.B. zugreifen? Wenns ein WebGUI sein soll dann doch meistens über ein http://xxx.xxx.xxx.xxx oder ein https://xxx.xxx.xxx.xxx oder auch die Optionen mit abweichenden Ports ala xxx:yyyy usw.Wie soll das gehen? Wie soll eine DNS Abfragen vonstatten gehen? Dein Rechner soll ein Ping auf aldi.de machen. Woher bekommt dein Rechner die IP für aldi.de? Klar, er fragt seinen eingetragen DNS. Der ist aber wo? Entweder auf einen DNS Server (mit eingerichteter Weiterleitung im Netz), auf deinen Router oder nur im Internet zu erreichen. Wie soll dies alleine schon funktionieren wenn dein Router auf seiner Schnittstelle deines Internen Netzes alle Ports geschlossen (dicht) hat? Er hört doch auf gar nichts mehr und ist ausser als Stromverbraucher und Miniheizung für nichts mehr zu gebrauchen. Er erfüllt dann auch die Aufgabe eines Routers nicht mehr. Er ist dann Arbeitslos.

das wiederspricht meinem verständis von it-sicherheit, auch wenn ich nicht sehr viel ahnung habe. face-smile
Da wirst du wohl nochmals die Schulbank drücken müßen. face-smile

Wenn also von Aussen alles dicht ist, ist doch das Ziel erreicht. Ein Sperren und Filtern von Innen nach aussen erfordert doch ein wenig mehr an Grundkenntnissen und Grundlagen von Routing, Protokolle und deren Anwendung und was jeweils benötigt wird. Im Firmenumfeld wird das schon gemacht. Im Privaten eher weniger. Wenn du da mal reinschauen willst, hole dir die kostenlose Astaro für daheim Wie kann ich einen Beitrag als gelöst markieren?

Gruß,
Peter
Mitglied: tobelinked
tobelinked 07.04.2012 um 22:55:34 Uhr
Goto Top
mein verdacht bestätigt sich:

443/tcp open ssl/https?

49152/tcp open upnp Portable SDK for UPnP devices 1.6.0 (kernel 2.4.20; UPnP 1.0)

49153/tcp open upnp Portable SDK for UPnP devices 1.6.0 (Linux 2.4.20; UPnP 1.0)

49154/tcp open upnp Portable SDK for UPnP devices 1.6.0 (Linux 2.4.20; UPnP 1.0)

49155/tcp open upnp Portable SDK for UPnP devices 1.6.0 (Linux 2.4.20; UPnP 1.0)

Die Ports scheinen von meinem Router offen gehalten zu werden. Naja ... damit muss ich wohl leben, oder ich eben astaro, werde mich damit auseinandersetzen. danke!!!!!!!!!!!! super forum
Mitglied: tobelinked
tobelinked 07.04.2012 um 23:01:22 Uhr
Goto Top
danke. super tipp mit astaro.

grüsse und frohe ostern