Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Verständnisfrage Hotel Wlan und Ports

Frage Netzwerke LAN, WAN, Wireless

Mitglied: 111064

111064 (Level 1)

25.11.2013 um 09:20 Uhr, 4011 Aufrufe, 25 Kommentare

Hallo zusammen,

ich habe nur ein kleine Verständnisfrage. Wenn ich auf dem Rechner folgende Ports über die Windows Firewall sperre (21,22,80,443), und nur den benötigten Port für die VPN Verbindung freigeben (Hintergrund: Internetsperre ohne VPN). Können da Probleme bezüglich der Wlan Verbindung im Hotel auftreten, sodass sich der User in Prinzip nicht am Wlan Hotel anmelden kann?

Viele Grüße
ChungUI
Mitglied: aqui
25.11.2013, aktualisiert 27.11.2013
Das kommt ganz darauf an in welche Richtung (inbound oder outbound) du diese Ports sperrst. Leider teilst du uns das ja nicht mit und zwingst uns so zum Raten
Nur soviel: Inbound bekommst du sicher keine Probleme. Outbound sicher eine Menge denn 80 und 443 bedeutet das der User keinerlei Webtraffic mehr machen kann, 22 killt alle SSH Verbindungen.
21 allein ist Blödsinn denn da fehlt noch TCP 22 sorry, Fehler korrekt ist natürlich TCP 20 !! denn FTP besteht immer aus diesen beiden Ports ! Bedeutet letztlich aber das dann FTP auch nicht geht…wie gesagt nur outbound !
Bitte warten ..
Mitglied: 111064
25.11.2013, aktualisiert um 09:43 Uhr
Sorry, hast recht

Ist Outbound gemeint, deshalb trifft das zu was du gerade schreibst, dass der User keinerlei Möglichkeit hat sich im Hotel mit dem WLAN zur verbinden. Ist halt Blöd, da ich eigentlich verhindern möchte, dass der User ohne VPN ins Internet kommt. Habt ihr da vielleicht eine Idee, ich rätsel gerade wie ich das lösen könnte.
Bitte warten ..
Mitglied: aqui
25.11.2013, aktualisiert um 09:51 Uhr
Da machst du einen Denkfehler, vermutlich aus technischer Unkenntniss ?!
Mit dem WLAN kann er sich sehr wohl verbinden und er bekommt auch eine IP Adresse aus dem WLAN, da du DHCP ja nicht geblockt hast. Da ist also alles gut...
Es besteht also eine WLAN Verbindung aber dann ist die Frage WIE das Hotel WLAN funktioniert bzw. WIE die Authentisierung funktioniert.
Ist das eine unsichere Dödeleinrichtung ohne jegliche Authentisierung wie bei Piepenbrinks opn Dörphotel die sofort Internet zur Verfügung stellt geht deine Rechnung auf. Er kann dann kein Webtraffic machen, kein FTP und kein SSH, wohl aber funktionieren Email z.B. und auch dein VPN !

Hat das Hotel WLAN allerdings wie durchweg üblich ein sog. "Captive Portal" also eine Zwangswebseite mit dem man sich mit einem Einmalpasswort (Voucher) von der Rezeption authentisieren muss wie z.B. hier beschrieben, dann hat dein User Pech, denn du killst ihm ja den Webtraffic. Folglich kann er sich nicht authentisieren im Hotel WLAN.
Er hat dann keine (nromale) Möglichkeit sich im Hotel WLAN zu authentisieren, bekommt keinen Internet Zugang und aus ists…. Freaks können auch das überwinden aber dein User ist sicher nicht so einer, denn das erfordert etwas Frickelei und Rechnerkenntnis.
Kommt man aber auch von selber drauf wenn man mal ein klein wenig nachdenkt wie die Pakete sich so bewegen in einem LAN oder WLAN.
Bitte warten ..
Mitglied: 111064
25.11.2013 um 09:55 Uhr
Vielen Dank für deine ausführliche und schnelle Antwort, ich wollte mich nur somit absichern. Meine Denkweise lief in diese Richtung, leider hab ich da nicht zu ende gedacht. Danke!

Jetzt muss ich eine Lösung finden, die es trotzdem ermöglicht sich im Hotel, die ein Authentifizierungsportal anbietet zu authentifizieren. Wird wohl darauf hinauslaufen, dass es nur dann geht, wenn Port 80 etc. freigegeben wird. Das wiederum spricht halt gegen die Internet-sperre.
Bitte warten ..
Mitglied: Alchimedes
25.11.2013 um 11:51 Uhr
Hallo Aqui ,

21 allein ist Blödsinn denn da fehlt noch TCP 22 denn FTP besteht immer aus diesen beiden Ports

Nackig FTP luebbt ueber die 21 und nicht ueber die 22 ! sftp laeuft ueber die 22.

Gruss
Bitte warten ..
Mitglied: aqui
25.11.2013, aktualisiert um 14:43 Uhr
@Alchimedes
Nein, das ist schlicht falsch was du behauptest. Du verwechselst hier grundsätzlich was, vermutlich nämlich passive FTP und active.
Erstmal also bitte die Protokoll Grundlagen von FTP lesen, dann lernst du das FTP immer beide Ports zwingend benötigt:
http://de.wikipedia.org/wiki/File_Transfer_Protocol
TCP 20 ist der Datenport und TCP 21 der Controlport. FTP Daten werden niemals über den Controlport 21 gesendet !

Warum man scheinbar nur einen Port nötig hat, beschreibt der Mechnismus von Passive FTP was den Sessionaufbau des Datenports einfach "umdreht" um der NAT (Adress Translation) Problematik zu entgehen:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
bzw. hier mit Diagramm und Details...
http://slacksite.com/other/ftp.html

Hättest du dir nur mal die geringe Mühe gemacht und mal einen FTP Sessionaufbau (active und passive) an deinem Rechner mit dem Wireshark mitgesniffert, wäre diese Threadantwort obsolet gewesen.
Also lesen und verstehen bevor man solche Halbwahrheiten in einem Forum verbreitet !!

Zurück zum eigentlichen Thema….
Bitte warten ..
Mitglied: Alchimedes
25.11.2013, aktualisiert um 14:45 Uhr
@aqui

21 allein ist Blödsinn denn da fehlt noch TCP 22

Die Halbwahrheit hast Du verbreitet.

Gruss
Bitte warten ..
Mitglied: 111064
25.11.2013 um 16:09 Uhr
Hallo nochmal zusammen,

ich bin immer noch am rätseln, wie ich es trotzdem schaffe, dass die Internetsperre ohne VPN bestehen bleibt und sich der Anwender trotzdem am Hotel Wlan mit "Captive Portal" verbinden kann.

Über Ausnahmeregeln?
Bitte warten ..
Mitglied: aqui
25.11.2013 um 16:29 Uhr
@Alchimedes
Nein, sorry die Halbwahrheit hast du verbreitet:
"Nackig FTP luebbt ueber die 21 und nicht ueber die 22 !" das ist technischer Unsinn wie du aus den oben zitierten Links ja klar lernen kannst ! Fakt ist: FTP braucht immer 2 Ports !
Bitte warten ..
Mitglied: Alchimedes
25.11.2013 um 16:35 Uhr
@aqui

Jo , das ist fakt, aber nicht Port 22.... kann man zwar umbiegen auf die 22 aber klug ist das nicht.


Ging mir auch nicht darum Dein wissen in Frage zustellen sondern nur ein Hinweis das es eben Port 20 und 21 ist !
Wie aus Deinen Links klar hervorgeht.

Gruss
Bitte warten ..
Mitglied: spacyfreak
26.11.2013, aktualisiert um 08:15 Uhr
Hotel WLANs haben meist Web-Authentisierung d.h. ausgehend http / https zu blocken ist da etwas sinnfrei falls das in dem Hotel auch so ist wo du schläfst.
VPN Protokolle verwenden auch je nach Protokoll und Hersteller unterschiedliche Ports, manche auch Kombinationen.
IPSEC-VPN
IKE (UDP500)
IPSEC (ESP Protokoll oder UDP4500 bei NAT-T)
oder TCP10.000

SSL-VPN
TCP443

Juniper SSL VPN
TCP443 (ersetzt IKE Phase 1)
UDP4500 (ESP wird in UDP gekapselt)





TCP 22 ist SSH oder SFTP (verschlüsseltes telnet oder ftp quasi)
FTP braucht 20 und 21, oft reich tauch 20.
Warum der Kollege das blockt weiss ich allerdings nicht so recht.
Ausserdem nützt eine lokale Firewall wenig wenn man in nem öffentlichen LAN hockt wo ggfs. einer ARP-Poisoning macht und deinen Traffic auf sich umleitet durch Arp-Cache Manipulationen (Cain).
Soll nur heissen- eine Clientfirewall schützt nicht vor allem. In öffenlich zugänglichen Netzten ist das die Hauptgefahr würd ich mal sagen. Die Tools sind einfach zu bedienen und effektiv. Amen.
Bitte warten ..
Mitglied: aqui
26.11.2013, aktualisiert um 11:36 Uhr
@Alchimdes
Sorry, willst oder kannst du es nicht verstehen ??
Bitte lies dir die oben zitierten URL genau durch dann weisst du warum FTP (und nicht sFTP oder SCP, SSH) immer 2 Ports benötigt nämlich den Control UND den Daten Port. FTP rennt niemals nur mit einem Port und auch Port Translation lässt FTP aus genau diesem Grund nicht zu !
Es sieht oft aus als ob nur ein Port reicht, das ist dann aber passive FTP was den Sessionaufbau des Datenports nur umdreht um NAT Problemen aus dem Wege zu gehen wie oben bereits angemerkt. 2 Ports werden trotzdem immer benutzt.
Zum Thema TCP 22 hat Kollege spacyfreak ja schon alles gesagt. Ganz andere Baustelle, da ganz anderes Protokoll.

Zurück zum Thema….
Bitte warten ..
Mitglied: Alchimedes
26.11.2013 um 22:12 Uhr
@aqui

ftp braucht 2 Ports naehmlich 20 und 21 NICHT 22 !! wenn Du mal RFC 959 durchgelesen haettest, wenn Du mal die Posts durchgelesen haettest,
wuerdest Du mal von Deinem Ross runtersteigen und schnallen das in Deinem Post =

21 allein ist Blödsinn denn da fehlt noch TCP 22

der Fehler steckt !

Aber Deine Arroganz ist schon bemerkenswert.....

Gruss
Bitte warten ..
Mitglied: aqui
27.11.2013, aktualisiert um 15:55 Uhr
Auf so einem Ross sitz ich gar nicht, ist eher ein Zwergpony ...OK aber dann haben wir immer aneinander vorbeigeredet und meinen das gleiche...sorry. Klar TCP 22 ist immer SSH oder SCP und hat mit FTP nix zu tun. Das ist dann oben ein Typo im Eifer des Gefechts gewesen oben und korrigiert...sorry nochmal !
FTP ist TCP 20 und 21 wobei man dem Controlport auch einen andernePort geben kann aber nicht dem Dataport.
Bitte warten ..
Mitglied: 111064
28.11.2013 um 15:37 Uhr
Hallo zusammen,

ich kriege es leider immer noch nicht hin ein vernünftiges Konzept zu entwickeln, wie ich gleichzeitig eine Internetsperre einrichten kann solange die VPN Verbindung nicht aufgebaut ist, aber trotzdem mich im Hotel WLAN am Anmeldeportal anmelden kann.

Ich habe mal den Port 443 freigegeben, der würde dann nur https Verbindungen zulassen, solange die VPN nicht aufgebaut ist. Port 80 möchte ich ungern freigeben. gibt es wirklich keine Möglichkeit dies zu realisieren?
Bitte warten ..
Mitglied: aqui
28.11.2013 um 17:02 Uhr
Es gibt schlicht und einfach auch keine Lösung für dein Vorhaben. Genau deshalb bekommst du hier auch kein Feedback.
Wegen der Vielschichtigkeit der Hotspot Lösungen und Access Authorisierungen lässt sich das nicht so mit Bordmitteln lösen wie du es vorhast !
Eine Kröte für offene Ports musst du zwangsweise schlucken. Port 443 allein ist natürlich völliger Unsinn, da 98% alle Hotspot Lösungen eine Portal Authentisierung über TCP 80 Traffic machen um damit die Portalseite zu triggern. Die selber rennt dann auf unterschiedlichen Ports.
Dein Unterfangen alles zu blockieren blockiert damit die Gesamtfunktion.
Bitte warten ..
Mitglied: 111064
28.11.2013 um 17:18 Uhr
Somit schieße ich mir praktisch ein Eigentor, ich kann also nicht verhindern, dass der User ohne VPN nicht ins Internet gehen kann. Selbst, wenn ich es irgendwie einstellen könnte, dass die Internetsperre nach 5 min erst greifen soll. Damit hätte man 5 min Internetzugang und könnte sich so im Hotel WLAN anmelden. ( Mal simpel nachgedacht), aber geht mit Boardmittel nicht. Über GPO eventuell?

agui ich verstehe dich schon, mir ist der Sicherheitsaspekt auch sehr wichtig. Aber hier scheint es so, dass man ein Kompromiss schließen muss.
Bitte warten ..
Mitglied: aqui
29.11.2013, aktualisiert 01.12.2013
Das wäre eine denkbare Alternative, das du 5-10 Minuten vollen Zugang erlaubst und dann alles dichtmachst bis auf den VPN Port.
Ob das aber sinnvoll mit MS Bordmitteln umzusetzen ist die der User dann auch nicht aushebeln kann ist fraglich und müsste einer der Batch und Shell oder GPO Gurus hier klären.
Bitte warten ..
Mitglied: 111064
29.11.2013 um 11:32 Uhr
Ich versuche gerade, ob ich das über GPO regeln kann. Gebe dann Rückmeldung , ob das geklappt hat.

Gruß
ChungUI
Bitte warten ..
Mitglied: Alchimedes
30.11.2013 um 14:35 Uhr
Hallo ,

dann nehme ich selbstverstaendlich diesen Satz :

Aber Deine Arroganz ist schon bemerkenswert.....

zurueck und hoffe Du sattelst wieder um.

Gruss und schoenes WE noch.
Bitte warten ..
Mitglied: spacyfreak
01.12.2013, aktualisiert um 15:03 Uhr
Also ist das Vorhaben -
Firmennotebook soll nicht direkt ins Internet kommen, sondern nur VPN in die Firma machen dürfen (und ggfs. über den Firmen-Proxy ins Internet).
Wenn man auf dem Windows Rechner die http usw Ports dichtmacht und nur VPN öffnet dann geht auch via VPN kein http, dh der Anwender erreicht in der Firma auch kein Sharepoint oder Intranet Webseiten usw

Man könnte via GPO den Firmenproxy fest eintragen, und nur wenn der Anwender VPN macht in die Firma kommt er auch ins Internet via Firmenproxy.
Damit weden aber Hotel Webauths Probleme haben wenn der Client nen Proxy drin hat.

Bleibt meines Erachtens die Möglichkeit die meistens funktioniert (vorausgesetzt man hat Empfang..) - der Anwender nutzt nur UMTS/LTE und keine Hotel-WLAN Hotspots (die zumal das Endgerät grösseren Risiken aussetzen da sich da gerne mal gelangweilte Hobbyhacker tummeln und Cain&Abel anschmeissen... und dagegen hilft auch keine Clientfirewall da diese Angriffe tiefer stattfinden als die FW greifen kann - meines Wissens...
)
Bitte warten ..
Mitglied: 111064
03.12.2013 um 09:22 Uhr
Hallo nochmal zusammen,

ich bekomme es irgendwie nicht hin eine Firewall Regel zu erstellen die zeit gesteuert aktiviert wird. Das ganze möchte ich über die GPO regeln, sodass die Firewall Regel erst nach 2 min nach dem Boot aktiv wird.

Kriege das irgendwie nicht.

Viele Grüße
ChungUI
Bitte warten ..
Mitglied: spacyfreak
05.12.2013 um 16:55 Uhr
Weiss garnicht obs überhaupt jemand gibt der das hinkriegen würde. hehe.
Wer macht denn sowas?

Bei mobilen Notebooks kann man eben nicht alles umsetzen was man sich sicherheitstechnisch so zusammendenkt.
Man erreicht damit höchstens dass der Anwender kaum arbeiten kann und dann in der Not mehr geöffnet wird als offen sein müsste, wenn man die Verhältnismässigkeit von Anfang an im Auge behalten hätte.

Wenn die irgendwo sind mit ihren Notebooks dann müssen die meist halt je nach gegebenheiten vor Ort direkt auf port tcp80 / 443 kommunizieren können, grade in Gast-WLANs.
Diese Lösung mit zeitgesteuerter FW ist nicht der Hit. Was ist wenn der Anwender sein Notebook startet und dann erstmal aufs Klo geht, und länger als 5 Minuten braucht?

Alternative Lösung - der anwender ist mit dem Notebook relativ "frei" was Security angeht.
Mit dem Ding macht er eigentl. nix anderes als sich mit dem Firmennetz zu verbinden, wo sein DesktopPC steht auf den er sich per RDP verbindet.
Das ganze noch mit Clientzertifikaten und/oder 2-Faktor Autentisierung absichern und der Drops ist gelutscht. So mach ich das jedenfalls.
Bitte warten ..
Mitglied: 111064
05.12.2013 um 17:27 Uhr
Ich stimme dir Grundsätzlich zu. Die Anforderung, dass ohne VPN alles geblockt werden soll ist halt da. Ich schreibe gerade eine batch, die den Windows Firewall Dienst für 5 min stoppt und anschließend startet, sprich den Dienst verzögert starte. Anders sehe ich keine Möglichkeit das zu lösen.
Bitte warten ..
Mitglied: aqui
24.12.2013 um 14:20 Uhr
Wenns das denn nun war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Utilities
gelöst WLan Repeater Verständnisfrage (5)

Frage von trxit0 zum Thema Utilities ...

LAN, WAN, Wireless
Wlan Zero-Handoff - Hidden Station Problem - Verständnisfrage (1)

Frage von Der-Phil zum Thema LAN, WAN, Wireless ...

Netzwerke
LAN und WLAN je mit gleicher IP (13)

Frage von dauatitsbest zum Thema Netzwerke ...

Datenschutz
gelöst USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...