Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ports/ Router

Frage Netzwerke Router & Routing

Mitglied: mike7050

mike7050 (Level 2) - Jetzt verbinden

25.04.2006, aktualisiert 07.05.2006, 6065 Aufrufe, 10 Kommentare

Hi,
ich möchte gerne die Sicherheit in meinem Netzwerk erhöhen indem ich natürlich die Dienste die ich nicht benötige bzw. anbieten möchte stoppe. Ich habe eine Win 2000 Domäne mit acht XP prof Clients.

Jetzt die Frage: Es muss doch eigentlich reichen wenn ich die Dienste die gestoppt werden sollen direkt an meinem Router outbound sperre. Damit kann ich mir ausserdem die ganze Handarbeit bei den Clients sparen?! Es sei denn man möchte bei verschiedenen Clients unterschiedliche Dienste anbieten!

Wie sieht eigentlich die Grundeinstellung von einem "soho Router" aus? Sind alle Ports von aussen also Outbund erst mal gesperrt (alle Ports antworten mit einem closed)? Damit ist nicht nur das NAT gemeint! Es dürften ja in der DOS Aufforderung in der Liste unter Lauschenden "Listening" Diensten ja gar keine Dienste mehr aktiv sein bzw. Lauschen?

Mit freundlichen Grüßen Mike
Mitglied: 29047
25.04.2006 um 20:38 Uhr
Hallo,

das kann aber zu Fehlermeldungen führen wenn du hier und dort Ports für Dienste und Anwendungen sperrst und diese dennoch am laufen sind. Kannst du nicht per GPO für alle gleichzeitig Dienste zur Verfügung stellen und demnach stoppen und starten ?
Bitte warten ..
Mitglied: 16427
25.04.2006 um 22:32 Uhr
Hallo,

ich würde das ganze Problem über die GPO der Domäne regeln, denn damit ersparst du dir die Arbeit, dass du auf alle XP Prof. Clients die unbenötigten Dienste per Hand ausschalten musst. Ist auf jeden Fall eine bequeme Sache.

Mit freundlichen Grüßen

Der Burns
Bitte warten ..
Mitglied: mike7050
26.04.2006 um 10:59 Uhr
Hallo,
ich glaube ich hab da etwas noch nicht verstanden! Noch mal zur Erklärung der Frage.
1. Ich möchte die Sicherheit erhöhen. Erst mal aus dem Netz und in das Netz. Wenn also Dienste aktiv sind lauschen sie an den Ports und die sind damit geöffnet wenn ich das richtig sehe?
2. ich kann also von innen die Dienste stoppen und von aussen am Router sperren dann dürfte ja kein Dienst mehr am Port lauschen und die Ports sind dann dicht?

Mit freundlichen Grüßen Mike
Bitte warten ..
Mitglied: Elvereth
26.04.2006 um 18:17 Uhr
Die Ports, die Du am Router sperrst sind die, die nach außen (zum Internet hin) nicht gebraucht werden.

Fürs Internet brauchst Du eigentlich nur 80 (HTTP), 443 (HTTPS), 110 (POP3), 25 (SMTP). Wenn Dein Server das Routing macht und / oder Du gewährleisten willst, dass sich Leute von zu Hause arbeiten können, dann brauchst Du noch die Ports 1812 und 1813 (so wie ich es verstanden hab). für sichere Email brauchst Du noch ein Port im Bereich von 965 (bin mir da nicht ganz sicher). Den Rest kannst Du dicht machen. Achja, Dein Router sollte auch nicht auf ICMP-Anfragen von außen antworten (z.B. Ping).

Der Hinweis auf die GPOs bezieht sich darauf, dass Du auf jedem Client in Deinem Netzwerk auf diese Weise die Dienste zentral einstellen kannst. Allerdings würde ich das nicht in die Domänen-GPO rein machen, sondern eine OU "Clients" machen, alle 8 Clientcomputerkonten da rein packen und dafür ne GPO "Diensterichtlinie" erstellen, wo die Dienste dann festgelegt werden.

Da gibts auch schon von Microsoft Sicherheitsvorlagen für Clients mit unterschiedlichen Anforserungen, die man in diese GPO importieren kannst.

CU Elvereth
Bitte warten ..
Mitglied: aqui
26.04.2006 um 23:53 Uhr
Dein Router lauscht per se erstmal auf gar keinem Port, da er ein reines Layer 3 Device ist ! Ports ist Transport Layer 4 nach dem OSI Modell.
Von aussen gesehen ist dein Router also völlig stumm was Ports anbetrifft, da er gar keine kennt, denn sein Betriebssystem sieht das gar nicht vor ! Ein Portscan mit NMAP oder Superscan wird dir das bestätigen. Also in Punkt 2 schlussfolgerst du richtig das dein Router von aussen relativ "porttaub" und damit sicher ist.
An einem TCP oder UDP Port "lauscht" immer nur dein Endgerät PC das Applikationen mit Daten von diesen Ports bedienen muss wie z.B. Firefox mit HTML Daten von Port 80 oder HTTPS mit Port 443 niemals aber der Router selber. Filterst du Ports am Router bedeutet das noch lange nicht das dein PC aufhört aktiv an diesen Ports zu lauschen. Er wird dann nur im besten Fall keine Daten mehr für diesen Port bekommen....das zu deiner Frage 2.

Voraussetzung ist aber das du ihm keine Portforwardings oder Web Zugänge zum Konfigurieren oder ICMP erlaubt hast. Aber auch dann forwardet er nur passiv Packete die mit diesen Ports in der Forwarding Liste stehen er antwortet NICHT aktiv drauf. Ausnahme ist lediglich der Konfig Zugang und ICMP aber das sollte man von aussen sowieso tunlichst abschalten !
Fazit: Der NAT Router schützt dich von aussen gesehen relativ umfassend vor Zugriffen ohne das du Dienste auf den Rechnern dahinter abschalten musst.

Innerhalb des Netzwerkes sieht die Welt aber anders aus. Bei Zugriffen der Rechner untereinander ist der Router gar nicht involviert und kann hier auch gar nicht helfen. Bei Verbindungen nach draußen leitet er auch nur auf Layer 3 weiter und lauscht natürlich auch hier nicht aktiv auf TCP oder UDP Ports.
Ausnahme: DHCP, Konfiguration sei es über Web 80, Telnet 23, SSH 22 und im allgemeinen intern auch ICMP.
Consumer Router ala Netgear bieten hier keine Filter oder nur eingeschränkt (Mest werden Windows UDP NetBios Name Service Broadcast per default gefiltert). Leistungsstärkere Router (z.B. Cisco) hingegen bieten hier aber auch die Möglichkeit Accesslisten auf Portebene oder Portranges zu setzen um solche Dienste aktiv zu filtern.
Wie gesagt lediglich was durch ihn durch geht in die eine oder andere Richtung ist portseitig im Router filterbar ! Nicht was die Rechner untereinander sprechen !!!
Bitte warten ..
Mitglied: mike7050
27.04.2006 um 14:14 Uhr
Hallo,
danke für die ausführliche Antwort.

Also:
1. Ist das sperren der Ports von aussen nicht notwendig da das NAT schützt.
2. Wäre es denn möglich alles für den Zugriff von aussen zu sperren um den Zustand closed zu erreichen, da ja alle Anfragen sonst mit einem Stealth "beantwortet werden"?

3.was das Lan -> Wan angeht (vorausgesetzt der Router hat die Funktion alle Ports von innen heraus zu schliessen) kann man alle Ports auf closed setzen und gibt dann nur das frei was man braucht?

Mit freundlichen Grüßen Mike
Bitte warten ..
Mitglied: aqui
29.04.2006 um 15:40 Uhr
"1. Ist das sperren der Ports von aussen nicht notwendig da das NAT schützt."

Ja, das kann man so sagen...Sollte aber auch die Ports beinhalten die der Router direkt bedient z.B. 80 bzw. 443 fürs HTML Setup.

2. Wäre es denn möglich alles für den Zugriff von aussen zu sperren um den Zustand closed zu erreichen, da ja alle Anfragen sonst mit einem Stealth "beantwortet werden"?

Ja wenn du alle o.a. Ports abgeschaltet hast und auch keine Port Forwardings eingetragen hast ist dieser Zustand erreicht. Allerdings bleibt die Frage wie der Router auf eigene Requests seiner deaktivierten Ports reagiert. D.h. ist er bei abgeschaltetem Port komplett stumm oder schickt er dem anfragenden Rechner ein Connection reset. Ist letzteres der Fall weiss ein Angreifer das es diesen Port gibt er aber disabled ist. Das ist natürlich nicht so gut ist aber herstellerspezifisch. Ich denke aber bei den derzeitigen Geräten ist der Port stumm, so das diese Gefahr nicht besteht. Ggf. musst du das aber mal selber testen um Gewissheit zu bekommen.

3.was das Lan -> Wan angeht (vorausgesetzt der Router hat die Funktion alle Ports von innen heraus zu schliessen) kann man alle Ports auf closed setzen und gibt dann nur das frei was man braucht?

Ja das geht, kein Problem ! Ein "inverse" Accessliste ist dies. Allerdings ist dasnur möglich wenn dein Router sowas supportet. Eine solche Accessliste sähe z.B. so aus:

access-list 101 permit TCP 172.16.1.0 0.0.0.255 any eq 80
access-list 101 deny any any

Diese Liste würde auf dem inbound Ethernet Interface z.B. nur Verbindungen zum Port 80 (HTML) nach draussen durchlassen.
Bitte warten ..
Mitglied: mike7050
29.04.2006 um 21:02 Uhr
Hallo,
danke für die ausführliche Erklärung. Was hälst Du von der Fritz Box S W-Lan soll allergings nur ein Beispiel sein. Bei diesem Gerät kann man zB. nur Ports öffnen und nicht schliessen. Das heisst doch dann wohl dass ich nur ein Forwarding einstellen kann wie emule oder edonkey?

Mit freundlichen Grüßen Mike
Bitte warten ..
Mitglied: aqui
30.04.2006 um 09:59 Uhr
Ja das ist richtig und da unterscheidet sie sich nicht von allen anderen Consumer Produkten wie Linksys WRT54G, NetGear etc. Das Handling ist fast gleich auf diesen Maschinen. Allerdings solltest du die Finger von den Allerbilligsten lassen, denn dort wird auch noch an solcherlei Funktionen gespart !
Bitte warten ..
Mitglied: mike7050
07.05.2006 um 09:33 Uhr
Hallo,
kurze Frage noch mal: wenn die Dienste ja weiter lauschen (wenn nichts über die GPO eingestellt ist etc.) ist es doch eigentlich egal da der Router ja von aussen stumm ist. Allergings nur solange bis ein Dienst benutzt wird also Daten angefordert werden und somit ein Eintrag in der Nat Tabelle erstellt wird. Dann spätestens ist doch der Port von aussen sichtbar oder?

Mit freundlichen Grüßen Mike
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...