garack
Goto Top

FritzBox VPN Welche Ports offen Sicherheit

Hallo,

Ich möchte die VPN Funktion einer 7490 mit OS7.01 nutzen. Funktioniert auch mit Windows, Android usw.

Ich greife dann von außen per VPN auf die Fritte und auch das Internet zu (Urlaub, WLAN, Hotspots)..

Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...

Ich hab wenig Ahnung von IPSEC aber es sollten Ports 500 und/oder4500 offen sein ?

Laut AVM ist es ja IPSEC:

https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-ve ...

(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans
Tool das VPN konfiguriert)


Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:

https://portchecker.co/check

Oder öffnen die sich nur wenn eine aktive VPN Verbindung besteht..hmm nein kann ja nicht sein..

Warum werden die Ports bei mir als closed gescannt?

Content-ID: 396433

Url: https://administrator.de/forum/fritzbox-vpn-welche-ports-offen-sicherheit-396433.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

Pjordorf
Pjordorf 21.12.2018 um 19:18:12 Uhr
Goto Top
Hallo,

Zitat von @garack:
Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...
Das sollte man sich vorher immer fragen.

Laut AVM ist es ja IPSEC:
Si

(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans Tool das VPN konfiguriert)
Ist ungefähr als wenn du Nachwuchs bekommst und dein Schlüsseldienst gibt deinem Nachwuchs Automatisch einen Haustür Schlüssel... oder deinem Besucher weil er sich genauso nennt wie dein Nachwuchs...

Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:
Von hinter (dein Netzwerk) deiner Fritte versucht oder von Extern (aus dem Internet, von der Arbeit oder vom Kumpel) aus? Das macht evtl schon den Unterschied aus...

hmm nein kann ja nicht sein..
Gut Erkannt

Warum werden die Ports bei mir als closed gescannt?
Von Intern oder von Extern versucht?

Gruß,
Peter
garack
garack 21.12.2018 um 19:24:55 Uhr
Goto Top
Siehe oben mein Beitrag da steht von extern mit einem Link.
it-fraggle
it-fraggle 21.12.2018 aktualisiert um 19:28:02 Uhr
Goto Top
Nehme an, dass das was externes ist, was von außen scannt.

EDIT: Ach, das stand da eben nicht? Wunderte mich schon wieso der Kollege fragte.
Pjordorf
Pjordorf 21.12.2018 aktualisiert um 19:33:59 Uhr
Goto Top
Hallo,

Zitat von @garack:
Siehe oben mein Beitrag da steht von extern mit einem Link.
Entweder habe ich falsch gelesen oder deine Buchstaben kommen hier verändert an.
Ich greife dann von außen per VPN auf die Fritte und auch das Internet zu
Ist klar das du von extern und nicht von dein Internes LAN auf deinen VPN Server zugreifst. Fragt sich nur wie dein
und auch das Internet zu
zu Lesen ist. Und dein
Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet
sagt auch nicht ob von Extern oder Intern... Aber jetzt wissen wir es ja.

Gruß,
Peter
garack
garack 21.12.2018 um 20:08:23 Uhr
Goto Top
steht doch der link vom portchecker dabei ...

und nun? viele Zitate..aber kein Inhalt.
Lochkartenstanzer
Lösung Lochkartenstanzer 21.12.2018 um 20:20:18 Uhr
Goto Top
Moin

Normalerweise macht die Fritzbox kein NAT-T, weil sie i.d.R. direkt am Internet hängt. Daher ist mal Port 4500 außen vor, weil das für Encapsulation bei NAT-T verwendet wird.. Außerdem ist nutzt IPSEC Port 550 für IKE über UDP. Wenn man da einfach nur ein UDP-Packet hinschickt tut sich nichts, wenn man sich nichts ans IKE-protokoll hält.

Von daher ist da erstmal nichts "offen"

Du hast natürlcih prinzipiell das Problem, wenn Du einen von außen erreichbaren Dienst hast, daß dieser natürlich auch angreifbar ist. wenn Du ein Loch in deine Tür für die Katze machst, kann da natürlich auch die Nachbarskatze rein.

lks
Lochkartenstanzer
Lochkartenstanzer 21.12.2018 um 20:23:10 Uhr
Goto Top
Zitat von @garack:

Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:

https://portchecker.co/check

Der prüft offensichtlich nur TCP und kein UDP. Dann kann der auch ncihts finden.

lks
Pjordorf
Lösung Pjordorf 21.12.2018 aktualisiert um 21:28:51 Uhr
Goto Top
Hallo,

Zitat von @garack:
steht doch der link vom portchecker dabei ...
Nur dass ich so gut wie nie einen Online Scanner verwende. Wer weiss was sich noch dahinter verbirgt...
Nimm mal http://ports.my-addr.com/check-all-open-ports-online.php und gebe deine URL oder Externe IP und einen Portrange z.B. 10-5000 ein und starte das Scannen. Was wird ausgegeben?

Normalerweise nimmt man NMAP auf seinen Rechner und lässt einen Portscan zu einer Externen IP laufen. Aber Vorsicht, es gibt Leute die das als Bewusstes Hacking und Einbruchsversuch sehen. Als CLI https://nmap.org/dist/nmap-7.70-win32.zip und dann ein CMD Fenster mit Erhöhten Rechten und Nmap URL oder IP -vv -sU -p 10-5000 oder Nmap URL oder IP -vv -p10-5000 (Keine Installation nötig) Ein Nmap ohne alles sagt dir mehr.

Gruß,
Peter
fredmy
Lösung fredmy 22.12.2018 um 10:55:33 Uhr
Goto Top
Zitat von @garack:

Nun stelle ich mir die Frage ob es so toll ist dass meine Fritte die ganze Zeit Ports offen hält...

behauptet wer ?

Ich hab wenig Ahnung von IPSEC aber es sollten Ports 500 und/oder4500 offen sein ?

gutes Halbwissen face-wink macht aber nix.

(ich habe das aber nicht gemacht was in obigem Link steht sondern einen Benutzer angelegt und VPN aktiviert, dann mit dem Fritz FernZugans
Tool das VPN konfiguriert)


Wenn ich aber eine Portchecker nehme wird mir 500 und 4500 als closed gemeldet:

dann wird er nicht die "erhofften" Anworten beim Scan bekommen

Oder öffnen die sich nur wenn eine aktive VPN Verbindung besteht..hmm nein kann ja nicht sein..
wieso ? ..er "!redet bloß nicht mit jedem Darhergelaufenen" ums mal drastisch zu sagen

Warum werden die Ports bei mir als closed gescannt?
Lese die Beschreibung des Scanners (was er wie scannt)

IPsec baut eben erst eine Verbindung auf, daß Daten fließen können, wenn alle Bedingungen gegeben sind, vorher möchte de IPSec-Sserver eben eine bestimmte Abfolge "hören" und passende Antworten dazu erhalten
(korrekten Verbindugsaufbau) ansonsten irgnoriert er dich.

Oder: wo ist der Unterschied ob die iptables (= Firewall) ignoriert ODER iptables dich zum IPSev-Server durchläßt und DER irgnoriert dich dann. Von außen gesehen: irgnoriert bleibt ignoriert face-wink

Der Rest wäre Protokollwissen und Netzwerkkenntnisse - darf man haben, muß man nicht. Solange du nicht Fehler suchen mußt, reicht es wenn du das Endergebniss kennst .


technisch vielleicht nicht 100% korrekt geschrieben..

fb Weihnachten noch

Fred
garack
garack 22.12.2018 um 15:03:01 Uhr
Goto Top
Ok, danke für all die Antworten. Mir ist nun eins klar geworden:

Die Firewall der Fritte filtert alle Ports auch die offenen, d.h. Portsscanner bekommen da gar keine Antwort oder eine mit der sie nicht sagen können ob offen oder closed.

Wenn natürlich ein entsprechendes Paket kommt welches die VPN Gegenstelle absendet dann lässt der Filter dieses durch und die Verbindung steht.

Klar ist das immer noch nicht die beste Sicherheit denn sofern die VpN implementierung nicht korrekt ist kann das Schadsoftware ggf. Ausnutzen.

Danke und frohes Fest!
aqui
aqui 22.12.2018 um 17:30:27 Uhr
Goto Top
Außerdem ist nutzt IPSEC Port 550 für IKE über UDP
Du meinst wohl 500 ??
IPsec im ESP Mode kennt laut RFC nur die Ports UDP 500, UDP 4500 und das ESP Protokoll (IP Nummer 50)
Wobei du Recht hast. UDP 4500 ist entbehrlich sofern man sicher davon ausgehen kann das im gesamten Pfad zwischen Client und Server kein NAT liegt.
Da man das nicht immer garantieren kann (sonst müsste man alle Provider Netze kennen...) ist es sinnvoller es aktiviert zu lassen. Wird beim IPsec Sessionaufbau NAT detektiert schaltet der Client automatisch um.
UDP 4500 schadet nicht wenn es offen ist. UDP 500 muss ja auch sein, sonst könnte man logischerweise ja gar keinen IPsec VPN Tunnel eröffnen.
IPsec VPN ohne diese Ports offen zu halten geht nicht.
Lochkartenstanzer
Lochkartenstanzer 22.12.2018 um 18:07:20 Uhr
Goto Top
Zitat von @aqui:

Außerdem ist nutzt IPSEC Port 550 für IKE über UDP
Du meinst wohl 500 ??

Natürlich. War ein Vertipper.

lks