Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit durch Port-Sperren

Frage Netzwerke

Mitglied: aha

aha (Level 1) - Jetzt verbinden

04.06.2006, aktualisiert 05.06.2006, 11145 Aufrufe, 10 Kommentare

alles sperren bis auf 80, 8080, 21 usw. sinnig?

Guten abend zusammen,

Ich habe ein paar Verständnisfragen zum Thema Firewall + Portsperren.

Angenommen ich sperre jeden Verkehr (ein- und ausgehend)
bis auf folgende Ports:

21 (FTP)
25 (SMTP)
80 + 8080 + 443 (http und https)
110 (Pop)

an meiner Firewall.

a) Macht das Sinn?
b) Würde bspw. FTP reibungslos laufen, da er nur Port 21 nutzt?
c) Welche Gefahren gäbe es (außer Trojaner) noch, wenn ich nur die oben genannten Ports freischalte ?


Vielen Dank für eure Hilfe im Voraus.
Mitglied: brammer
04.06.2006 um 20:18 Uhr
Hallo,

erstmal ist es natürlich sinnvoll Türen zu schließen die man nicht braucht, insofern ist es richtig diese Ports zu schließen.
Ausreichend ist es nicht da Gefährliche Datenpakete auch über andere POrts kommen, so über die Standard ports 80 und 21 und eine anwendung die erstmal auf deinem System ist kann unter umständen auch POrts auf dem Router öffnen oder über andere offenen POrts Tunneln..
Insofern ist ein solches Schließen von Ports immer nur ein Aspekt eines Sicherheitspaketes.
Dazu gehören noch ein Virenscanner und andere Sicherheitsprogramme.
Bitte warten ..
Mitglied: Suppi250
04.06.2006 um 20:32 Uhr
Auch ich bin der Meinung, dass Ports sperren sicher mal ene sinnvoller Start ist. IDS wäre nicht gerade schlecht.

Zu deinen Fragen bezüglich zB FTP

FTP-Commands gehen über den TCP Port 21, FTP-Data über den Port 20 - brauchst also bei für aktiven FTP (passive FTPs benutzen high Ports und sind eigentlich die Regel zb.: Bei öffentlichen FTP-Servern über http!)
Zum Surfen normal ohne Proxy brauchst du den TCP Port 80, SSL-Verbindungen TCP-Port 443.
SMTP braucht TCP 25 zum Versenden, TCP 110 für POP3, vielleicht noch TCP 143 für IMAP.
ACHTUNG - einen wichtigen Port hast noch vergessen - UDP 53 für DNS, sonst wird das surfen nur über IP-Adressen sehr anstrengend!

Gruß
Suppi250
Bitte warten ..
Mitglied: aha
04.06.2006 um 21:12 Uhr
Man kann also trivial sagen das folgende Ports standard sind
und geöffnet sein sollten:

20 + 21 (FTP)
80 + 8080 + 443 (HTTP)
25 (SMTP)
110 (POP3)
53 (DNS)

Soweit ok?


Desweiteren bin ich mir zu Folgendem nicht ganz im Klaren:

Wird auf (um beim Beispiel FTP zu bleiben) auf Port 20/21
nur das File Transfer Protokol reagiert? Oder könnte da jemand meinetwegen
auch mit HTTP Daten abgreifen / ungewollt senden?
Bitte warten ..
Mitglied: Suppi250
04.06.2006 um 21:32 Uhr
DNS aber auf UDP nicht TCP Protokoll!

wäre ok! .... man könnte einen HTTP-Server auf Port 21 hören lassen (was hoffentlich aber keiner tut) - aber sagen wir so, unmöglich wäre es nicht
Bitte warten ..
Mitglied: aha
04.06.2006 um 22:45 Uhr
Also wäre es grundsätzlich möglich,
über einen dafür-nicht-vorgesehenen-port
nicht-vorgesehene Daten zu senden.
Korrekt?

Hätte ich also an Port 21 keinen Webserver,
könnten theoretisch nur Pakete des "File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am laufen habe)
Bitte warten ..
Mitglied: filippg
05.06.2006 um 00:57 Uhr
Hätte ich also an Port 21 keinen
Webserver,
könnten theoretisch nur Pakete des
"File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am
laufen habe)

Ja. Du kannst jeden beliebigen Dienst (Server) auf jeden beliebigen Port legen (also auch HTTP-Server auf 21). Und genauso kannst du Daten in jedem beliebigen Format an jeden offenen Port senden (solange deine Firewall einfach nur auf Port-Basis arbeitet). Aber wenn du HTTP-Commands an einen FTP-Server sendest, dann wird der deswegen mit Sicherheit keine Webseiten ausliefern, sondern nur eine Fehlermeldung.

Btw: Das ganze funktioniert nur für einen Server. Wenn du das für einen Rechner (oder Netz) machst, mit dem du auch noch surfen willst, dann musst du ausgehend alle Ports > 1024 freigeben, da die Standards nicht vorschreiben, von welchem Port gesendet, sondern nur auf welchem empfangen werden soll.

Filipp
Bitte warten ..
Mitglied: aha
05.06.2006 um 07:34 Uhr
Wenn du das für einen
Rechner (oder Netz) machst, mit dem du auch
noch surfen willst, dann musst du ausgehend
alle Ports > 1024 freigeben, da die
Standards nicht vorschreiben, von welchem
Port gesendet, sondern nur auf welchem
empfangen werden soll.

ergo: ich muss also zwingende für surfende PCs alle Ports ab 1024 freigeben?

Und meine letzte Frage

Warum gibt es dann Hardwarefirewalls, die mehrere tausend Euro kosten,
obwohl das Prinzip eigentlich einfach ist. Hat es was mit der Performance zu tun?
Bitte warten ..
Mitglied: Suppi250
05.06.2006 um 09:38 Uhr
teure Hardware-Firewalls:

  • Downloadmengenbeschränkung pro Benutzer
  • Quotas (für Dienste --> Port 80 höhere Priorität)
  • Filterregeln für Benutzer bzw.
  • Active-Directory integriert
  • bessere statistische Auswertung
  • RealTime Überwachung
  • VLANs
  • inkludierter VPN-Server
  • DMZ-Verwaltung
  • statische und dynamische Routenverwaltung
  • unterstützung von zB OSPF-Protokolle
  • ... ... und und und ... Features, die man kaum erraten könnte ... ... ...
Bitte warten ..
Mitglied: Suppi250
05.06.2006 um 09:43 Uhr
Alle Ports über 1024 freigeben?

NEIN - sicher nicht. Die Firewall hat intern ne NAT-Table die sie für sich verwaltet! Du musst um "nur zu surfen" nur deine oben genannten Ports freigeben (hab ich in meinem Netz mit 200 PCs auch gemacht) - funktioniert tadellos! Wie gesagt, der Router ändert ja die Host-Header-Infos um und merkt sich die ursprünglichen Daten ... ... ...
Bitte warten ..
Mitglied: Bacci
05.06.2006 um 13:03 Uhr
Hallo,

wie bereits erwähnt macht es Sinn die oben genannten Ports + DNS freizuschalten und den Rest zu sperren. Wenn Du allerdings keinen Webserver, FTP-Server oder Mail-Server betreibst, der über das Internet erreichbar sein muss, solltest Du die Ports nur ausgehend öffnen und nicht eingehend.

Es kommt auch immer auf die Umgebung an, in der die Firewall eingesetzt werden soll und was für Personen im Netzwerk arbeiten. So ist es z.B. möglich über den Port 80 eine Verbindung zu einem Server aufzubauen, der ganz andere Dienste wie IRC, ... anbietet.

MFG
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
gelöst PFSense 2.3.2 Captive Port, Administrator Zugriffsteuerung sperren (12)

Frage von horstvogel zum Thema Firewall ...

Netzwerkmanagement
gelöst Port Sicherheit verbessern Lancom Switch GS-23xx (13)

Frage von Hipstertown zum Thema Netzwerkmanagement ...

DSL, VDSL
Telekom blockiert immer noch den Port 7547 in ihrem Netz (4)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

LAN, WAN, Wireless
gelöst 1 Port in mehreren VLANs? (7)

Frage von mario87 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...