Cisco Router ZFW offener Port 53
Guten Abend,
Bin neu in Forum bzw. schon lange aber Mitleser.
Erstmal vielen dank für das Tutorial.
Ich hätte da noch eine Frage bzw. Problem.
Wenn ich auf meine externe IP einen Portscan aus dem WLAN VLAN mache, sagt mit NMAP das Port 53 offen ist.
Nach einem Portscan aus dem Mobilfunknetz war dieser nicht mehr zu sehen.
Das wird daran liegen das ich im Router ip dns server aktivert habe.
Der NMAP zeigt mir jetzt nach dem Portscan nur noch das an?
Das sollte ja passen, oder?
Hier die Konfig aus dem Router:
Grüße
Bin neu in Forum bzw. schon lange aber Mitleser.
Erstmal vielen dank für das Tutorial.
Ich hätte da noch eine Frage bzw. Problem.
Wenn ich auf meine externe IP einen Portscan aus dem WLAN VLAN mache, sagt mit NMAP das Port 53 offen ist.
Nach einem Portscan aus dem Mobilfunknetz war dieser nicht mehr zu sehen.
Das wird daran liegen das ich im Router ip dns server aktivert habe.
Der NMAP zeigt mir jetzt nach dem Portscan nur noch das an?
Not shown: 997 filtered tcp ports (no-response)
PORT STATE SERVICE VERSION
135/tcp closed msrpc
139/tcp closed netbios-ssn
445/tcp closed microsoft-ds
Das sollte ja passen, oder?
Hier die Konfig aus dem Router:
ip dns server
!
access-list 101 permit ip 192.168.100.0 0.0.0.255 any
access-list 101 permit ip 192.168.101.0 0.0.0.255 any
!
zone security Internet
zone security Kabel
zone security WLAN
!
class-map type inspect match-any Router-Protocols-Erlaubt
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any Kabel-Erlaubt
match protocol dns
match protocol http
match protocol https
match protocol pop3s
match protocol pop3
match protocol imaps
match protocol imap3
match protocol imap
match protocol smtp
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tftp
match protocol tcp
match protocol udp
match protocol icmp
!
class-map type inspect match-any WLAN-Erlaubt
match protocol dns
match protocol http
match protocol https
match protocol pop3s
match protocol pop3
match protocol imaps
match protocol imap3
match protocol imap
match protocol smtp
match protocol rtsp
match protocol ftp
match protocol ftps
match protocol ssh
match protocol ntp
match protocol tftp
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect Router-WAN-Policy
description Traffic Router zum Internet
class type inspect Router-Protocols-Erlaubt
inspect
class class-default
drop
!
policy-map type inspect Kabel-Policy
description Traffic Kabel zum Internet
class type inspect Kabel-Erlaubt
inspect
class class-default
drop
!
zone-pair security Router-Internet source self destination Internet
service-policy type inspect Router-WAN-Policy
!
zone-pair security Kabel-Internet source Kabel destination Internet
service-policy type inspect Kabel-Policy
!
zone-pair security WLAN-Internet source WLAN destination Internet
service-policy type inspect WLAN-Policy
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5748274185
Url: https://administrator.de/forum/cisco-router-zfw-offener-port-53-5748274185.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
15 Kommentare
Neuester Kommentar
Das wird daran liegen das ich im Router ip dns server aktivert habe.
Das ist richtig, denn das ist ja ein DNS Server. Du siehst diese offenen Ports aber bei einer aktiven ZFW Firewall ausschliesslich nur auf internen Ports NICHT aber auf dem WAN/Internet Port.Gleiches gilt für alle anderen Ports auch! Wäre ja auch fatal wenn dort etwas offen ist.
Das sollte ja passen, oder?
Nein, denn weder nach innen noch nach außen sollten RPC (135) oder die beiden SMB Ports (139, 445) offen sein. Wäre rein auf den Router bezogen technisch unmöglich, denn zumindestens der Cisco selber supportet diese Protokolle gar nicht selbst. Folglich kann das also niemals vom Router selber kommen.Man kann hier nur mutmaßen und raten das du ggf. mit Port Forwarding oder sowas arbeitest und diese Ports freigegeben hast. Umso fataler weil SMB niemals ins Internet gehört geschweige denn dort übertragen werden sollte. Grade mal an 3 ISR Modellen und einem 886er getestet. Da ist weder intern noch extern was von diesen Ports unter nmap zu sehen.
Ohne die gesamte Konfig zu kennen ist das leider alles Kristallkugelei.
Die grundsätzliche Frage ist ja auch warum du das WLAN und LAN in 2 unterschiedliche Zonen legst wenn du so oder so die gleiche Instection damit machst. Das macht nur dann Sinn wenn LAN und WLAN untereinander vollkommen getrennt sein sollen. Andernfall könntest du effizienter beide Interfaces in eine gemeinsame Zone packen. Geht ja nur darum deine FW Logik zu verstehen...
Naja - ich denke mal eher er hat SMB freigegeben weil er sich überlegt hat "nutzt mein NAS ja also nen Dienst den ich brauche" und nicht überlegt hat ob der Router / die FW das überhaupt jemals sieht. Das ist jetzt ja nicht zwingend ein Anzeichen dafür das es aus dem Internet erreichbar ist. WENN Samba aus dem Internet erreichbar ist - gute Nacht...
Die einzig sinnvolle Alternative die mir so einfällt wäre mE. das es ein "Servernetz" gibt - was aber bei der Konfig nicht danach aussieht.
Die einzig sinnvolle Alternative die mir so einfällt wäre mE. das es ein "Servernetz" gibt - was aber bei der Konfig nicht danach aussieht.
Du hast oben über die Class maps mehrer eingehende ACLs aktiviert, die dir Ports aus dem Internet in der ZFW freigeben. Das sind im ZFW Tutorial z.B. die "ALLOWv4" Accessliste.
class-map type inspect match-all ALLOW_IN
match access-group name ALLOWv4
Diese korrespondiert zur entsprechenden ACL "ALLOWv4":
ip access-list extended ALLOWv4
permit udp any any eq 1701
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
Wie du selber liest erlaubt diese die Ports UPD 550, 4500 und das ESP Protokoll, die zu IPsec gehören, damit der Zugriff auf den Router dafür erlaubt ist.
Du arbeitest (aus der Konfig geschlossen) vermutlich auch mit Port Forwarding. Auch DAS muss entsprechend in der ZFW berücksichtigt werden damit diese Ports durch die Firewall passieren können.
Hier hast du vermutlich irgendwo einen Fehler gemacht in der ACL und fälschlicherweise irgendwo RPC und SMB erlaubt.
Auch das Port Forwarding aus dem Internet wird immer über eine entsprechende Access Liste mit Bezug zu einer Class Map geregelt in der Cisco Zone based Firewall.
Ein genaues Beispiel wie man das Port Forwarding mit der ZFW umsetzt findest du in einem separaten Tutorial:
Cisco router with zone based firewall and port forwarding
class-map type inspect match-all ALLOW_IN
match access-group name ALLOWv4
Diese korrespondiert zur entsprechenden ACL "ALLOWv4":
ip access-list extended ALLOWv4
permit udp any any eq 1701
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
permit esp any any
Wie du selber liest erlaubt diese die Ports UPD 550, 4500 und das ESP Protokoll, die zu IPsec gehören, damit der Zugriff auf den Router dafür erlaubt ist.
Du arbeitest (aus der Konfig geschlossen) vermutlich auch mit Port Forwarding. Auch DAS muss entsprechend in der ZFW berücksichtigt werden damit diese Ports durch die Firewall passieren können.
Hier hast du vermutlich irgendwo einen Fehler gemacht in der ACL und fälschlicherweise irgendwo RPC und SMB erlaubt.
Auch das Port Forwarding aus dem Internet wird immer über eine entsprechende Access Liste mit Bezug zu einer Class Map geregelt in der Cisco Zone based Firewall.
Ein genaues Beispiel wie man das Port Forwarding mit der ZFW umsetzt findest du in einem separaten Tutorial:
Cisco router with zone based firewall and port forwarding
Das war doch nur ein Beispiel!! Du hast es mit der ip access-list extended Spiele-Server-Ports ja ebenso gemacht mit Port Forwarding. Wer weiss was du da noch in der Konfig freigegeben hast...?!
Wie gesagt die ZFW Firewall ist komplett dicht wenn man nichts von außen freigibt. Wäre ja auch ziemlich fatal und Cisco hätte ein Problem wenn es bei einer Firewall nicht so wäre... 😉
Wie gesagt die ZFW Firewall ist komplett dicht wenn man nichts von außen freigibt. Wäre ja auch ziemlich fatal und Cisco hätte ein Problem wenn es bei einer Firewall nicht so wäre... 😉
Es ist möglich das die Anzeige von Geräten kommt die aktive Sessions über den Router haben.
Trenne mal alles vom lokalen LAN oder setze die lokalen Interfaces auf shutdown das nix nach aussen kann, warte 5 Minuten und scanne nochmal von extern.
Hab das eben mal an 3 verschiedenen Systemen hier getestet mit einem externen nmap Host. Alles wasserdicht, da taucht erwartungsgemäß kein einziger SMB oder RPC Port auf, auch nicht im Live Betrieb.
Trenne mal alles vom lokalen LAN oder setze die lokalen Interfaces auf shutdown das nix nach aussen kann, warte 5 Minuten und scanne nochmal von extern.
Hab das eben mal an 3 verschiedenen Systemen hier getestet mit einem externen nmap Host. Alles wasserdicht, da taucht erwartungsgemäß kein einziger SMB oder RPC Port auf, auch nicht im Live Betrieb.