Sicherheit durch Port-Sperren

aha

alles sperren bis auf 80, 8080, 21 usw. sinnig?

Guten abend zusammen,

Ich habe ein paar Verständnisfragen zum Thema Firewall + Portsperren.

Angenommen ich sperre jeden Verkehr (ein- und ausgehend)
bis auf folgende Ports:

21 (FTP)
25 (SMTP)
80 + 8080 + 443 (http und https)
110 (Pop)

an meiner Firewall.

a) Macht das Sinn?
b) Würde bspw. FTP reibungslos laufen, da er nur Port 21 nutzt?
c) Welche Gefahren gäbe es (außer Trojaner) noch, wenn ich nur die oben genannten Ports freischalte ?


Vielen Dank für eure Hilfe im Voraus.

Content-Key: 33603

Url: https://administrator.de/contentid/33603

Ausgedruckt am: 17.01.2022 um 02:01 Uhr

Mitglied: brammer
brammer 04.06.2006 um 20:18:33 Uhr
Goto Top
Hallo,

erstmal ist es natürlich sinnvoll Türen zu schließen die man nicht braucht, insofern ist es richtig diese Ports zu schließen.
Ausreichend ist es nicht da Gefährliche Datenpakete auch über andere POrts kommen, so über die Standard ports 80 und 21 und eine anwendung die erstmal auf deinem System ist kann unter umständen auch POrts auf dem Router öffnen oder über andere offenen POrts Tunneln..
Insofern ist ein solches Schließen von Ports immer nur ein Aspekt eines Sicherheitspaketes.
Dazu gehören noch ein Virenscanner und andere Sicherheitsprogramme.
Mitglied: Suppi250
Suppi250 04.06.2006 um 20:32:40 Uhr
Goto Top
Auch ich bin der Meinung, dass Ports sperren sicher mal ene sinnvoller Start ist. IDS wäre nicht gerade schlecht.

Zu deinen Fragen bezüglich zB FTP

FTP-Commands gehen über den TCP Port 21, FTP-Data über den Port 20 - brauchst also bei für aktiven FTP (passive FTPs benutzen high Ports und sind eigentlich die Regel zb.: Bei öffentlichen FTP-Servern über http!)
Zum Surfen normal ohne Proxy brauchst du den TCP Port 80, SSL-Verbindungen TCP-Port 443.
SMTP braucht TCP 25 zum Versenden, TCP 110 für POP3, vielleicht noch TCP 143 für IMAP.
ACHTUNG - einen wichtigen Port hast noch vergessen - UDP 53 für DNS, sonst wird das surfen nur über IP-Adressen sehr anstrengend!

Gruß
Suppi250
Mitglied: aha
aha 04.06.2006 um 21:12:22 Uhr
Goto Top
Man kann also trivial sagen das folgende Ports standard sind
und geöffnet sein sollten:

20 + 21 (FTP)
80 + 8080 + 443 (HTTP)
25 (SMTP)
110 (POP3)
53 (DNS)

Soweit ok?


Desweiteren bin ich mir zu Folgendem nicht ganz im Klaren:

Wird auf (um beim Beispiel FTP zu bleiben) auf Port 20/21
nur das File Transfer Protokol reagiert? Oder könnte da jemand meinetwegen
auch mit HTTP Daten abgreifen / ungewollt senden?
Mitglied: Suppi250
Suppi250 04.06.2006 um 21:32:07 Uhr
Goto Top
DNS aber auf UDP nicht TCP Protokoll!

wäre ok! .... man könnte einen HTTP-Server auf Port 21 hören lassen (was hoffentlich aber keiner tut) - aber sagen wir so, unmöglich wäre es nicht ;-) face-wink
Mitglied: aha
aha 04.06.2006 um 22:45:00 Uhr
Goto Top
Also wäre es grundsätzlich möglich,
über einen dafür-nicht-vorgesehenen-port
nicht-vorgesehene Daten zu senden.
Korrekt?

Hätte ich also an Port 21 keinen Webserver,
könnten theoretisch nur Pakete des "File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am laufen habe)
Mitglied: filippg
filippg 05.06.2006 um 00:57:41 Uhr
Goto Top
Hätte ich also an Port 21 keinen
Webserver,
könnten theoretisch nur Pakete des
"File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am
laufen habe)

Ja. Du kannst jeden beliebigen Dienst (Server) auf jeden beliebigen Port legen (also auch HTTP-Server auf 21). Und genauso kannst du Daten in jedem beliebigen Format an jeden offenen Port senden (solange deine Firewall einfach nur auf Port-Basis arbeitet). Aber wenn du HTTP-Commands an einen FTP-Server sendest, dann wird der deswegen mit Sicherheit keine Webseiten ausliefern, sondern nur eine Fehlermeldung.

Btw: Das ganze funktioniert nur für einen Server. Wenn du das für einen Rechner (oder Netz) machst, mit dem du auch noch surfen willst, dann musst du ausgehend alle Ports > 1024 freigeben, da die Standards nicht vorschreiben, von welchem Port gesendet, sondern nur auf welchem empfangen werden soll.

Filipp
Mitglied: aha
aha 05.06.2006 um 07:34:51 Uhr
Goto Top
Wenn du das für einen
Rechner (oder Netz) machst, mit dem du auch
noch surfen willst, dann musst du ausgehend
alle Ports > 1024 freigeben, da die
Standards nicht vorschreiben, von welchem
Port gesendet, sondern nur auf welchem
empfangen werden soll.

ergo: ich muss also zwingende für surfende PCs alle Ports ab 1024 freigeben?

Und meine letzte Frage ;-) face-wink

Warum gibt es dann Hardwarefirewalls, die mehrere tausend Euro kosten,
obwohl das Prinzip eigentlich einfach ist. Hat es was mit der Performance zu tun?
Mitglied: Suppi250
Suppi250 05.06.2006 um 09:38:42 Uhr
Goto Top
teure Hardware-Firewalls:

  • Downloadmengenbeschränkung pro Benutzer
  • Quotas (für Dienste --> Port 80 höhere Priorität)
  • Filterregeln für Benutzer bzw.
  • Active-Directory integriert
  • bessere statistische Auswertung
  • RealTime Überwachung
  • VLANs
  • inkludierter VPN-Server
  • DMZ-Verwaltung
  • statische und dynamische Routenverwaltung
  • unterstützung von zB OSPF-Protokolle
  • ... ... und und und ... Features, die man kaum erraten könnte ... ... ...
Mitglied: Suppi250
Suppi250 05.06.2006 um 09:43:56 Uhr
Goto Top
Alle Ports über 1024 freigeben?

NEIN - sicher nicht. Die Firewall hat intern ne NAT-Table die sie für sich verwaltet! Du musst um "nur zu surfen" nur deine oben genannten Ports freigeben (hab ich in meinem Netz mit 200 PCs auch gemacht) - funktioniert tadellos! Wie gesagt, der Router ändert ja die Host-Header-Infos um und merkt sich die ursprünglichen Daten ... ... ...
Mitglied: Bacci
Bacci 05.06.2006 um 13:03:37 Uhr
Goto Top
Hallo,

wie bereits erwähnt macht es Sinn die oben genannten Ports + DNS freizuschalten und den Rest zu sperren. Wenn Du allerdings keinen Webserver, FTP-Server oder Mail-Server betreibst, der über das Internet erreichbar sein muss, solltest Du die Ports nur ausgehend öffnen und nicht eingehend.

Es kommt auch immer auf die Umgebung an, in der die Firewall eingesetzt werden soll und was für Personen im Netzwerk arbeiten. So ist es z.B. möglich über den Port 80 eine Verbindung zu einem Server aufzubauen, der ganz andere Dienste wie IRC, ... anbietet.

MFG
Heiß diskutierte Beiträge
question
Welches Anti Spam Gateway verwendet ihr?jojo0411Vor 1 TagFrageExchange Server9 Kommentare

Hallo Leute, Wir verwenden seit Jahren GFI Mailessentials. Ist OK. Aber mir kommt so vor als tut sich dort nicht mehr viel neues. Was verwendet ...

question
White Label Cloud Speicher (EU) gelöst IllusionFACTORYVor 1 TagFrageCloud-Dienste13 Kommentare

Hallo, zusammen, ich möchte unseren Kunden gerne Cloud Speicher anbieten, das soll a) auf uns gebrandet sein und b) in der EU (wegen DSGVO). Kennt ...

question
Lexmark M3150 - Firmware downgrade gesucht gelöst Strahlemann-69Vor 1 TagFrageDrucker und Scanner9 Kommentare

Hallo an alle, ich bekam einen Lexmark M3150 mit 3 Papierfächern + Toner geschenkt. Nun wollte ich ihn leerdrucken und dann entsorgen, da unrentabel. Jetzt ...

question
10Gbit Netzwerkkabel HPE J9287b X242 SFP+ gelöst jedineo2002Vor 17 StundenFrageNetzwerke10 Kommentare

Hallo zusammen, ich hätte hier zwei HPE J9287B SFP+ Kabel zur Verfügung, in der Länge von 15 Metern, was zumindest schon einmal perfekt wäre von ...

question
SQL Daten in Excel gelöst robdoxVor 1 TagFrageMicrosoft Office6 Kommentare

Hallo zusammen und ein schönen Start ins Wochenende! Ich habe vorab eine Frage zu einem bestimmten Vorgehen, was meinerseits noch teils theoretischer Natur ist. Ich ...

question
Windows Server 2012 - LSASS 1000 1015 RebootfrunkyVor 19 StundenFrageWindows Server9 Kommentare

Hallo Zusammen, ich habe einen Windows Server 2012 als Domänen Controller diese Woche neu aufgesetzt. Der Server macht ca. alle 3 Stunden einen Reboot. Die ...

question
Fujitsu TX 2540 M1 - Netzteil Lüfter drehen täglich hoch gelöst CrallyVor 1 TagFrageServer-Hardware5 Kommentare

Hallo zusammen, Ich habe einen Fujitsu TX 2540 M1, auf welchem Proxmox als OS läuft. Jeden Tag um genau 23:00 Uhr drehen die Lüfter der ...

question
Windows Exchange-Server benötige ich eine Domaine?Bella21Vor 9 StundenFrageWindows Server4 Kommentare

Hallo alle zusammen, ich bin neu auf dem Gebiet. Ich habe Exchange Server auf einen Windows Server 2012 installiert. Nach der Installation fertig war, ist ...