gelöst LAN Ports nach Draußen schließen
Hallo,
ich hätte vor in unserem kleinen Büro die nicht verwendeten Ports auch nach Draußen zu schließen damit wir unerwünschte Kommunikation /Schadsoftware, Botnetze, Spiele, usw) möglichst verhindern können.
Die folgenden Ports bräuchten wir:
80, 443 für Surfen
5060 für VoIP
usw.
Meine Fragen:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?
ich habe leider zu wenig Erfahrung. Die Sperrrung würde ich in dem Router via pfSense vornehmen.
Danke sehr.
Gr. I.
ich hätte vor in unserem kleinen Büro die nicht verwendeten Ports auch nach Draußen zu schließen damit wir unerwünschte Kommunikation /Schadsoftware, Botnetze, Spiele, usw) möglichst verhindern können.
Die folgenden Ports bräuchten wir:
80, 443 für Surfen
5060 für VoIP
usw.
Meine Fragen:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?
ich habe leider zu wenig Erfahrung. Die Sperrrung würde ich in dem Router via pfSense vornehmen.
Danke sehr.
Gr. I.
10 Antworten
- LÖSUNG Lochkartenstanzer schreibt am 22.11.2011 um 17:09:02 Uhr
- LÖSUNG istike2 schreibt am 22.11.2011 um 17:19:37 Uhr
- LÖSUNG Hitman4021 schreibt am 22.11.2011 um 17:31:59 Uhr
- LÖSUNG istike2 schreibt am 22.11.2011 um 17:41:46 Uhr
- LÖSUNG Hitman4021 schreibt am 22.11.2011 um 17:45:28 Uhr
- LÖSUNG istike2 schreibt am 22.11.2011 um 17:41:46 Uhr
- LÖSUNG Hitman4021 schreibt am 22.11.2011 um 17:31:59 Uhr
- LÖSUNG istike2 schreibt am 22.11.2011 um 17:19:37 Uhr
- LÖSUNG BillyBunny schreibt am 22.11.2011 um 18:13:33 Uhr
- LÖSUNG brammer schreibt am 22.11.2011 um 18:38:04 Uhr
- LÖSUNG istike2 schreibt am 23.11.2011 um 15:33:43 Uhr
- LÖSUNG brammer schreibt am 22.11.2011 um 18:38:04 Uhr
- LÖSUNG mrtux schreibt am 23.11.2011 um 15:49:19 Uhr
- LÖSUNG Sam1991 schreibt am 24.11.2011 um 09:43:23 Uhr
LÖSUNG 22.11.2011 um 17:09 Uhr
Zitat von istike2:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche
Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche
Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?
Alles dichtmachen und dann nur die Ports öffnen, die benötigt werden. So ist das übliche vorgehen.
LÖSUNG 22.11.2011 um 17:19 Uhr
Danke.
und woher weiß ich ja welche Ports von welcher Anwendung gebraucht werden? Soll ich die einzelnen Clients mit NMAP "abtasten" oder hat pfSense möglicherweise ein LOG mit dieser Info? Auf Anhieb kenne ich nur diese 3 Ports, die wir brauchen...
Was ich vermeiden möchte wäre, dass die User mich tagelang anrufen, weil die Software "komischerweise" nicht funktioniert....
Es wäre gut, diese Änderungen in einer Welle durchziehen...
Gr. I.
und woher weiß ich ja welche Ports von welcher Anwendung gebraucht werden? Soll ich die einzelnen Clients mit NMAP "abtasten" oder hat pfSense möglicherweise ein LOG mit dieser Info? Auf Anhieb kenne ich nur diese 3 Ports, die wir brauchen...
Was ich vermeiden möchte wäre, dass die User mich tagelang anrufen, weil die Software "komischerweise" nicht funktioniert....
Es wäre gut, diese Änderungen in einer Welle durchziehen...
Gr. I.
LÖSUNG 22.11.2011 um 17:31 Uhr
Hallo
also für Voip benötigst du sicher mehr wie 5060/tcp auf diesem port wird die Verbindung nur aufgebaut. Die Gesprächsdaten werden via udp übertragen.
Sonst spiegl mal alle Switch Ports und schaue welche Ports du brauchst.
grußw
also für Voip benötigst du sicher mehr wie 5060/tcp auf diesem port wird die Verbindung nur aufgebaut. Die Gesprächsdaten werden via udp übertragen.
Sonst spiegl mal alle Switch Ports und schaue welche Ports du brauchst.
grußw
LÖSUNG 22.11.2011 um 17:41 Uhr
Hallo,
wäre gut, wenn der Switch es könnte. Dieser hat leider dieses Feature nicht. Ich werde mir mal einen allgemeinen Regel auf pfSense einrichtet und mir die Logs anschauen. Es besteht irgendwo ganz sicher die Möglichkeit... Ein Regel, der nur geloggt wird ohne sperren zu können.
Gr. I.
wäre gut, wenn der Switch es könnte. Dieser hat leider dieses Feature nicht. Ich werde mir mal einen allgemeinen Regel auf pfSense einrichtet und mir die Logs anschauen. Es besteht irgendwo ganz sicher die Möglichkeit... Ein Regel, der nur geloggt wird ohne sperren zu können.
Gr. I.
LÖSUNG 22.11.2011 um 17:45 Uhr
Hallo,
ich kenne pfsense leider nicht aber ich schätze du brauchst noch die UDP Port <1024 für Voip
gruß
ich kenne pfsense leider nicht aber ich schätze du brauchst noch die UDP Port <1024 für Voip
gruß
LÖSUNG 22.11.2011 um 18:13 Uhr
Hallo,
wie Lochkartenstanzer schon schreibt.... erst mal macht man alles dicht und öffnet dann die Ports die man braucht.
Welche Ports das sind kann Dir hier wohl keiner sagen, da keiner weiß welche Software und welche Verbindungen und Ports Du brauchst.
Das geht los mit I-Net, FTP, SSH, Telnet, RDP, VPN, POP3, SMTP, VNC, usw. die Liste ist uferlos....
Du solltest schon wissen welche Ports Ihr nach außen hin braucht....
Erst mal sorgfältig analysieren und dann machen.... eine Liste der Standardports sollte schon mal einen ersten Aufschluss geben (google)
und der Rest ist wie gesagt von verwendeter Software und benötigten Verbindungen abhängig.
Gruß
BB
wie Lochkartenstanzer schon schreibt.... erst mal macht man alles dicht und öffnet dann die Ports die man braucht.
Welche Ports das sind kann Dir hier wohl keiner sagen, da keiner weiß welche Software und welche Verbindungen und Ports Du brauchst.
Das geht los mit I-Net, FTP, SSH, Telnet, RDP, VPN, POP3, SMTP, VNC, usw. die Liste ist uferlos....
Du solltest schon wissen welche Ports Ihr nach außen hin braucht....
Erst mal sorgfältig analysieren und dann machen.... eine Liste der Standardports sollte schon mal einen ersten Aufschluss geben (google)
und der Rest ist wie gesagt von verwendeter Software und benötigten Verbindungen abhängig.
Gruß
BB
LÖSUNG 22.11.2011 um 18:38 Uhr
Hallo,
wie bereits schon gesagt: Alle Ports zu machen.
Dann Nutzungsbezogen wieder öffnen was benötigt wird
http 80
https/ssl 443
ssh 22
telnet 23 (aber eher nicht zu empfehlen)
VNC nach Einstellung, Standard 5900
Hängt halt davon ab was wieso nach hause telefonieren möchte.
brammer
wie bereits schon gesagt: Alle Ports zu machen.
Dann Nutzungsbezogen wieder öffnen was benötigt wird
http 80
https/ssl 443
ssh 22
telnet 23 (aber eher nicht zu empfehlen)
VNC nach Einstellung, Standard 5900
Hängt halt davon ab was wieso nach hause telefonieren möchte.
brammer
LÖSUNG 23.11.2011 um 15:33 Uhr
pfSense hat offensichtlich ganz gute Übersichtfunktionen. Ich sammle mal ein bißchen und machen die unnötigen Ports dicht.
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss gezielt kontrolliert werden.
Gr. I.
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss gezielt kontrolliert werden.
Gr. I.
LÖSUNG 23.11.2011 um 15:49 Uhr
Hi !
Die PfSense hat ein Firewall-Log! (Siehe auch aqui's Tutorials über die Monowall!) Dem kannst Du die benötigten Infos entnehmen und wenn nachträglich Programme installiert werden, deren Kommunikation erwünscht ist, musst Du die dann halt in der Firewall freigeben...
Wie soll die PfSense auch? Das setzt eine intelligente Verhaltensanalyse voraus, die heute nicht mal annähernd irgendeine Sicherheitssoftware schafft. Und selbst die muss vom Menschen "gefüttert" werden....
Wofür bist Du eigentlich da? Zwischen Gut und Böse zu unterscheiden ist eine Standardaufgabe für des Admin's Brain.exe...
mrtux
Die PfSense hat ein Firewall-Log! (Siehe auch aqui's Tutorials über die Monowall!) Dem kannst Du die benötigten Infos entnehmen und wenn nachträglich Programme installiert werden, deren Kommunikation erwünscht ist, musst Du die dann halt in der Firewall freigeben...
Zitat von istike2:
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss
gezielt kontrolliert werden.
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss
gezielt kontrolliert werden.
Wie soll die PfSense auch? Das setzt eine intelligente Verhaltensanalyse voraus, die heute nicht mal annähernd irgendeine Sicherheitssoftware schafft. Und selbst die muss vom Menschen "gefüttert" werden....
Wofür bist Du eigentlich da? Zwischen Gut und Böse zu unterscheiden ist eine Standardaufgabe für des Admin's Brain.exe...
mrtux
LÖSUNG 24.11.2011 um 09:43 Uhr
Hallo zusammen,
zudem sollte es für "gute" Programme eine Dokumentation geben, in der genau beschrieben wird welche Ports aus welchen Gründen benötigt wird. Gibt es keine Dokumentation dazu oder keinerlei Hinweise zu dem Programm halte ich das schon für verdächtig.
Denn alles freizugeben was an der Firewall ankommt kann unter Umständen auch nicht gerade prickelnd sein, wenn Schadsoftware sich bereits in deinem Netz breitgemacht hat.
Dass dich User unter Umständen anrufen, wenn etwas nicht funktioniert nur weil diese Anwendungen Port xy benötigen ist völlig normal und das wirst du bei einem sicheren Netz niemals umgehen können. Zudem möchtest du ja verhindern, dass sich ein infizierter Rechner nach Hause telefonieren kann bloß weil der Anwender ein "gaaaanz wichtiges" Programm installiert hat. Wie heißt es so schön: Sicherheit ist erst dann gut, wenn sie nervt
Viel Erfolg beim "dichtmachen" !
Sam1991
zudem sollte es für "gute" Programme eine Dokumentation geben, in der genau beschrieben wird welche Ports aus welchen Gründen benötigt wird. Gibt es keine Dokumentation dazu oder keinerlei Hinweise zu dem Programm halte ich das schon für verdächtig.
Denn alles freizugeben was an der Firewall ankommt kann unter Umständen auch nicht gerade prickelnd sein, wenn Schadsoftware sich bereits in deinem Netz breitgemacht hat.
Dass dich User unter Umständen anrufen, wenn etwas nicht funktioniert nur weil diese Anwendungen Port xy benötigen ist völlig normal und das wirst du bei einem sicheren Netz niemals umgehen können. Zudem möchtest du ja verhindern, dass sich ein infizierter Rechner nach Hause telefonieren kann bloß weil der Anwender ein "gaaaanz wichtiges" Programm installiert hat. Wie heißt es so schön: Sicherheit ist erst dann gut, wenn sie nervt
Viel Erfolg beim "dichtmachen" !
Sam1991
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte