10
ports/ Router
Hi,
ich möchte gerne die Sicherheit in meinem Netzwerk erhöhen indem ich natürlich die Dienste die ich nicht benötige bzw. anbieten möchte stoppe. Ich habe eine Win 2000 Domäne mit acht XP prof Clients.
Jetzt die Frage: Es muss doch eigentlich reichen wenn ich die Dienste die gestoppt werden sollen direkt an meinem Router outbound sperre. Damit kann ich mir ausserdem die ganze Handarbeit bei den Clients sparen?! Es sei denn man möchte bei verschiedenen Clients unterschiedliche Dienste anbieten!
Wie sieht eigentlich die Grundeinstellung von einem "soho Router" aus? Sind alle Ports von aussen also Outbund erst mal gesperrt (alle Ports antworten mit einem closed)? Damit ist nicht nur das NAT gemeint! Es dürften ja in der DOS Aufforderung in der Liste unter Lauschenden "Listening" Diensten ja gar keine Dienste mehr aktiv sein bzw. Lauschen?
MfG Mike
ich möchte gerne die Sicherheit in meinem Netzwerk erhöhen indem ich natürlich die Dienste die ich nicht benötige bzw. anbieten möchte stoppe. Ich habe eine Win 2000 Domäne mit acht XP prof Clients.
Jetzt die Frage: Es muss doch eigentlich reichen wenn ich die Dienste die gestoppt werden sollen direkt an meinem Router outbound sperre. Damit kann ich mir ausserdem die ganze Handarbeit bei den Clients sparen?! Es sei denn man möchte bei verschiedenen Clients unterschiedliche Dienste anbieten!
Wie sieht eigentlich die Grundeinstellung von einem "soho Router" aus? Sind alle Ports von aussen also Outbund erst mal gesperrt (alle Ports antworten mit einem closed)? Damit ist nicht nur das NAT gemeint! Es dürften ja in der DOS Aufforderung in der Liste unter Lauschenden "Listening" Diensten ja gar keine Dienste mehr aktiv sein bzw. Lauschen?
MfG Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 31149
Url: https://administrator.de/contentid/31149
Printed on: April 20, 2024 at 01:04 o'clock
10 Comments
Latest comment
Hallo,
das kann aber zu Fehlermeldungen führen wenn du hier und dort Ports für Dienste und Anwendungen sperrst und diese dennoch am laufen sind. Kannst du nicht per GPO für alle gleichzeitig Dienste zur Verfügung stellen und demnach stoppen und starten ?
das kann aber zu Fehlermeldungen führen wenn du hier und dort Ports für Dienste und Anwendungen sperrst und diese dennoch am laufen sind. Kannst du nicht per GPO für alle gleichzeitig Dienste zur Verfügung stellen und demnach stoppen und starten ?
Hallo,
ich würde das ganze Problem über die GPO der Domäne regeln, denn damit ersparst du dir die Arbeit, dass du auf alle XP Prof. Clients die unbenötigten Dienste per Hand ausschalten musst. Ist auf jeden Fall eine bequeme Sache.
MfG
Der Burns
ich würde das ganze Problem über die GPO der Domäne regeln, denn damit ersparst du dir die Arbeit, dass du auf alle XP Prof. Clients die unbenötigten Dienste per Hand ausschalten musst. Ist auf jeden Fall eine bequeme Sache.
MfG
Der Burns
Hallo,
ich glaube ich hab da etwas noch nicht verstanden! Noch mal zur Erklärung der Frage.
1. Ich möchte die Sicherheit erhöhen. Erst mal aus dem Netz und in das Netz. Wenn also Dienste aktiv sind lauschen sie an den Ports und die sind damit geöffnet wenn ich das richtig sehe?
2. ich kann also von innen die Dienste stoppen und von aussen am Router sperren dann dürfte ja kein Dienst mehr am Port lauschen und die Ports sind dann dicht?
MfG Mike
ich glaube ich hab da etwas noch nicht verstanden! Noch mal zur Erklärung der Frage.
1. Ich möchte die Sicherheit erhöhen. Erst mal aus dem Netz und in das Netz. Wenn also Dienste aktiv sind lauschen sie an den Ports und die sind damit geöffnet wenn ich das richtig sehe?
2. ich kann also von innen die Dienste stoppen und von aussen am Router sperren dann dürfte ja kein Dienst mehr am Port lauschen und die Ports sind dann dicht?
MfG Mike
Die Ports, die Du am Router sperrst sind die, die nach außen (zum Internet hin) nicht gebraucht werden.
Fürs Internet brauchst Du eigentlich nur 80 (HTTP), 443 (HTTPS), 110 (POP3), 25 (SMTP). Wenn Dein Server das Routing macht und / oder Du gewährleisten willst, dass sich Leute von zu Hause arbeiten können, dann brauchst Du noch die Ports 1812 und 1813 (so wie ich es verstanden hab). für sichere Email brauchst Du noch ein Port im Bereich von 965 (bin mir da nicht ganz sicher). Den Rest kannst Du dicht machen. Achja, Dein Router sollte auch nicht auf ICMP-Anfragen von außen antworten (z.B. Ping).
Der Hinweis auf die GPOs bezieht sich darauf, dass Du auf jedem Client in Deinem Netzwerk auf diese Weise die Dienste zentral einstellen kannst. Allerdings würde ich das nicht in die Domänen-GPO rein machen, sondern eine OU "Clients" machen, alle 8 Clientcomputerkonten da rein packen und dafür ne GPO "Diensterichtlinie" erstellen, wo die Dienste dann festgelegt werden.
Da gibts auch schon von Microsoft Sicherheitsvorlagen für Clients mit unterschiedlichen Anforserungen, die man in diese GPO importieren kannst.
CU Elvereth
Fürs Internet brauchst Du eigentlich nur 80 (HTTP), 443 (HTTPS), 110 (POP3), 25 (SMTP). Wenn Dein Server das Routing macht und / oder Du gewährleisten willst, dass sich Leute von zu Hause arbeiten können, dann brauchst Du noch die Ports 1812 und 1813 (so wie ich es verstanden hab). für sichere Email brauchst Du noch ein Port im Bereich von 965 (bin mir da nicht ganz sicher). Den Rest kannst Du dicht machen. Achja, Dein Router sollte auch nicht auf ICMP-Anfragen von außen antworten (z.B. Ping).
Der Hinweis auf die GPOs bezieht sich darauf, dass Du auf jedem Client in Deinem Netzwerk auf diese Weise die Dienste zentral einstellen kannst. Allerdings würde ich das nicht in die Domänen-GPO rein machen, sondern eine OU "Clients" machen, alle 8 Clientcomputerkonten da rein packen und dafür ne GPO "Diensterichtlinie" erstellen, wo die Dienste dann festgelegt werden.
Da gibts auch schon von Microsoft Sicherheitsvorlagen für Clients mit unterschiedlichen Anforserungen, die man in diese GPO importieren kannst.
CU Elvereth
Dein Router lauscht per se erstmal auf gar keinem Port, da er ein reines Layer 3 Device ist ! Ports ist Transport Layer 4 nach dem OSI Modell.
Von aussen gesehen ist dein Router also völlig stumm was Ports anbetrifft, da er gar keine kennt, denn sein Betriebssystem sieht das gar nicht vor ! Ein Portscan mit NMAP oder Superscan wird dir das bestätigen. Also in Punkt 2 schlussfolgerst du richtig das dein Router von aussen relativ "porttaub" und damit sicher ist.
An einem TCP oder UDP Port "lauscht" immer nur dein Endgerät PC das Applikationen mit Daten von diesen Ports bedienen muss wie z.B. Firefox mit HTML Daten von Port 80 oder HTTPS mit Port 443 niemals aber der Router selber. Filterst du Ports am Router bedeutet das noch lange nicht das dein PC aufhört aktiv an diesen Ports zu lauschen. Er wird dann nur im besten Fall keine Daten mehr für diesen Port bekommen....das zu deiner Frage 2.
Voraussetzung ist aber das du ihm keine Portforwardings oder Web Zugänge zum Konfigurieren oder ICMP erlaubt hast. Aber auch dann forwardet er nur passiv Packete die mit diesen Ports in der Forwarding Liste stehen er antwortet NICHT aktiv drauf. Ausnahme ist lediglich der Konfig Zugang und ICMP aber das sollte man von aussen sowieso tunlichst abschalten !
Fazit: Der NAT Router schützt dich von aussen gesehen relativ umfassend vor Zugriffen ohne das du Dienste auf den Rechnern dahinter abschalten musst.
Innerhalb des Netzwerkes sieht die Welt aber anders aus. Bei Zugriffen der Rechner untereinander ist der Router gar nicht involviert und kann hier auch gar nicht helfen. Bei Verbindungen nach draußen leitet er auch nur auf Layer 3 weiter und lauscht natürlich auch hier nicht aktiv auf TCP oder UDP Ports.
Ausnahme: DHCP, Konfiguration sei es über Web 80, Telnet 23, SSH 22 und im allgemeinen intern auch ICMP.
Consumer Router ala Netgear bieten hier keine Filter oder nur eingeschränkt (Mest werden Windows UDP NetBios Name Service Broadcast per default gefiltert). Leistungsstärkere Router (z.B. Cisco) hingegen bieten hier aber auch die Möglichkeit Accesslisten auf Portebene oder Portranges zu setzen um solche Dienste aktiv zu filtern.
Wie gesagt lediglich was durch ihn durch geht in die eine oder andere Richtung ist portseitig im Router filterbar ! Nicht was die Rechner untereinander sprechen !!!
Von aussen gesehen ist dein Router also völlig stumm was Ports anbetrifft, da er gar keine kennt, denn sein Betriebssystem sieht das gar nicht vor ! Ein Portscan mit NMAP oder Superscan wird dir das bestätigen. Also in Punkt 2 schlussfolgerst du richtig das dein Router von aussen relativ "porttaub" und damit sicher ist.
An einem TCP oder UDP Port "lauscht" immer nur dein Endgerät PC das Applikationen mit Daten von diesen Ports bedienen muss wie z.B. Firefox mit HTML Daten von Port 80 oder HTTPS mit Port 443 niemals aber der Router selber. Filterst du Ports am Router bedeutet das noch lange nicht das dein PC aufhört aktiv an diesen Ports zu lauschen. Er wird dann nur im besten Fall keine Daten mehr für diesen Port bekommen....das zu deiner Frage 2.
Voraussetzung ist aber das du ihm keine Portforwardings oder Web Zugänge zum Konfigurieren oder ICMP erlaubt hast. Aber auch dann forwardet er nur passiv Packete die mit diesen Ports in der Forwarding Liste stehen er antwortet NICHT aktiv drauf. Ausnahme ist lediglich der Konfig Zugang und ICMP aber das sollte man von aussen sowieso tunlichst abschalten !
Fazit: Der NAT Router schützt dich von aussen gesehen relativ umfassend vor Zugriffen ohne das du Dienste auf den Rechnern dahinter abschalten musst.
Innerhalb des Netzwerkes sieht die Welt aber anders aus. Bei Zugriffen der Rechner untereinander ist der Router gar nicht involviert und kann hier auch gar nicht helfen. Bei Verbindungen nach draußen leitet er auch nur auf Layer 3 weiter und lauscht natürlich auch hier nicht aktiv auf TCP oder UDP Ports.
Ausnahme: DHCP, Konfiguration sei es über Web 80, Telnet 23, SSH 22 und im allgemeinen intern auch ICMP.
Consumer Router ala Netgear bieten hier keine Filter oder nur eingeschränkt (Mest werden Windows UDP NetBios Name Service Broadcast per default gefiltert). Leistungsstärkere Router (z.B. Cisco) hingegen bieten hier aber auch die Möglichkeit Accesslisten auf Portebene oder Portranges zu setzen um solche Dienste aktiv zu filtern.
Wie gesagt lediglich was durch ihn durch geht in die eine oder andere Richtung ist portseitig im Router filterbar ! Nicht was die Rechner untereinander sprechen !!!
Hallo,
danke für die ausführliche Antwort.
Also:
1. Ist das sperren der Ports von aussen nicht notwendig da das NAT schützt.
2. Wäre es denn möglich alles für den Zugriff von aussen zu sperren um den Zustand closed zu erreichen, da ja alle Anfragen sonst mit einem Stealth "beantwortet werden"?
3.was das Lan -> Wan angeht (vorausgesetzt der Router hat die Funktion alle Ports von innen heraus zu schliessen) kann man alle Ports auf closed setzen und gibt dann nur das frei was man braucht?
MfG Mike
danke für die ausführliche Antwort.
Also:
1. Ist das sperren der Ports von aussen nicht notwendig da das NAT schützt.
2. Wäre es denn möglich alles für den Zugriff von aussen zu sperren um den Zustand closed zu erreichen, da ja alle Anfragen sonst mit einem Stealth "beantwortet werden"?
3.was das Lan -> Wan angeht (vorausgesetzt der Router hat die Funktion alle Ports von innen heraus zu schliessen) kann man alle Ports auf closed setzen und gibt dann nur das frei was man braucht?
MfG Mike
"1. Ist das sperren der Ports von aussen nicht notwendig da das NAT schützt."
Ja, das kann man so sagen...Sollte aber auch die Ports beinhalten die der Router direkt bedient z.B. 80 bzw. 443 fürs HTML Setup.
2. Wäre es denn möglich alles für den Zugriff von aussen zu sperren um den Zustand closed zu erreichen, da ja alle Anfragen sonst mit einem Stealth "beantwortet werden"?
Ja wenn du alle o.a. Ports abgeschaltet hast und auch keine Port Forwardings eingetragen hast ist dieser Zustand erreicht. Allerdings bleibt die Frage wie der Router auf eigene Requests seiner deaktivierten Ports reagiert. D.h. ist er bei abgeschaltetem Port komplett stumm oder schickt er dem anfragenden Rechner ein Connection reset. Ist letzteres der Fall weiss ein Angreifer das es diesen Port gibt er aber disabled ist. Das ist natürlich nicht so gut ist aber herstellerspezifisch. Ich denke aber bei den derzeitigen Geräten ist der Port stumm, so das diese Gefahr nicht besteht. Ggf. musst du das aber mal selber testen um Gewissheit zu bekommen.
3.was das Lan -> Wan angeht (vorausgesetzt der Router hat die Funktion alle Ports von innen heraus zu schliessen) kann man alle Ports auf closed setzen und gibt dann nur das frei was man braucht?
Ja das geht, kein Problem ! Ein "inverse" Accessliste ist dies. Allerdings ist dasnur möglich wenn dein Router sowas supportet. Eine solche Accessliste sähe z.B. so aus:
access-list 101 permit TCP 172.16.1.0 0.0.0.255 any eq 80
access-list 101 deny any any
Diese Liste würde auf dem inbound Ethernet Interface z.B. nur Verbindungen zum Port 80 (HTML) nach draussen durchlassen.
Ja, das kann man so sagen...Sollte aber auch die Ports beinhalten die der Router direkt bedient z.B. 80 bzw. 443 fürs HTML Setup.
2. Wäre es denn möglich alles für den Zugriff von aussen zu sperren um den Zustand closed zu erreichen, da ja alle Anfragen sonst mit einem Stealth "beantwortet werden"?
Ja wenn du alle o.a. Ports abgeschaltet hast und auch keine Port Forwardings eingetragen hast ist dieser Zustand erreicht. Allerdings bleibt die Frage wie der Router auf eigene Requests seiner deaktivierten Ports reagiert. D.h. ist er bei abgeschaltetem Port komplett stumm oder schickt er dem anfragenden Rechner ein Connection reset. Ist letzteres der Fall weiss ein Angreifer das es diesen Port gibt er aber disabled ist. Das ist natürlich nicht so gut ist aber herstellerspezifisch. Ich denke aber bei den derzeitigen Geräten ist der Port stumm, so das diese Gefahr nicht besteht. Ggf. musst du das aber mal selber testen um Gewissheit zu bekommen.
3.was das Lan -> Wan angeht (vorausgesetzt der Router hat die Funktion alle Ports von innen heraus zu schliessen) kann man alle Ports auf closed setzen und gibt dann nur das frei was man braucht?
Ja das geht, kein Problem ! Ein "inverse" Accessliste ist dies. Allerdings ist dasnur möglich wenn dein Router sowas supportet. Eine solche Accessliste sähe z.B. so aus:
access-list 101 permit TCP 172.16.1.0 0.0.0.255 any eq 80
access-list 101 deny any any
Diese Liste würde auf dem inbound Ethernet Interface z.B. nur Verbindungen zum Port 80 (HTML) nach draussen durchlassen.
Hallo,
danke für die ausführliche Erklärung. Was hälst Du von der Fritz Box S W-Lan soll allergings nur ein Beispiel sein. Bei diesem Gerät kann man zB. nur Ports öffnen und nicht schliessen. Das heisst doch dann wohl dass ich nur ein Forwarding einstellen kann wie emule oder edonkey?
MfG Mike
danke für die ausführliche Erklärung. Was hälst Du von der Fritz Box S W-Lan soll allergings nur ein Beispiel sein. Bei diesem Gerät kann man zB. nur Ports öffnen und nicht schliessen. Das heisst doch dann wohl dass ich nur ein Forwarding einstellen kann wie emule oder edonkey?
MfG Mike
Ja das ist richtig und da unterscheidet sie sich nicht von allen anderen Consumer Produkten wie Linksys WRT54G, NetGear etc. Das Handling ist fast gleich auf diesen Maschinen. Allerdings solltest du die Finger von den Allerbilligsten lassen, denn dort wird auch noch an solcherlei Funktionen gespart !
Hallo,
kurze Frage noch mal: wenn die Dienste ja weiter lauschen (wenn nichts über die GPO eingestellt ist etc.) ist es doch eigentlich egal da der Router ja von aussen stumm ist. Allergings nur solange bis ein Dienst benutzt wird also Daten angefordert werden und somit ein Eintrag in der Nat Tabelle erstellt wird. Dann spätestens ist doch der Port von aussen sichtbar oder?
MfG Mike
kurze Frage noch mal: wenn die Dienste ja weiter lauschen (wenn nichts über die GPO eingestellt ist etc.) ist es doch eigentlich egal da der Router ja von aussen stumm ist. Allergings nur solange bis ein Dienst benutzt wird also Daten angefordert werden und somit ein Eintrag in der Nat Tabelle erstellt wird. Dann spätestens ist doch der Port von aussen sichtbar oder?
MfG Mike
