LAN Ports nach Draußen schließen

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

22.11.2011 um 17:06 Uhr, 5104 Aufrufe, 10 Kommentare

Hallo,

ich hätte vor in unserem kleinen Büro die nicht verwendeten Ports auch nach Draußen zu schließen damit wir unerwünschte Kommunikation /Schadsoftware, Botnetze, Spiele, usw) möglichst verhindern können.

Die folgenden Ports bräuchten wir:

80, 443 für Surfen
5060 für VoIP
usw.

Meine Fragen:

ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?

ich habe leider zu wenig Erfahrung. Die Sperrrung würde ich in dem Router via pfSense vornehmen.

Danke sehr.

Gr. I.
Mitglied: Lochkartenstanzer
22.11.2011 um 17:09 Uhr
Zitat von @istike2:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche
Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?


Alles dichtmachen und dann nur die Ports öffnen, die benötigt werden. So ist das übliche vorgehen.
Bitte warten ..
Mitglied: istike2
22.11.2011 um 17:19 Uhr
Danke.

und woher weiß ich ja welche Ports von welcher Anwendung gebraucht werden? Soll ich die einzelnen Clients mit NMAP "abtasten" oder hat pfSense möglicherweise ein LOG mit dieser Info? Auf Anhieb kenne ich nur diese 3 Ports, die wir brauchen...

Was ich vermeiden möchte wäre, dass die User mich tagelang anrufen, weil die Software "komischerweise" nicht funktioniert.... :-) face-smile

Es wäre gut, diese Änderungen in einer Welle durchziehen...

Gr. I.
Bitte warten ..
Mitglied: Hitman4021
22.11.2011 um 17:31 Uhr
Hallo

also für Voip benötigst du sicher mehr wie 5060/tcp auf diesem port wird die Verbindung nur aufgebaut. Die Gesprächsdaten werden via udp übertragen.

Sonst spiegl mal alle Switch Ports und schaue welche Ports du brauchst.

grußw
Bitte warten ..
Mitglied: istike2
22.11.2011 um 17:41 Uhr
Hallo,

wäre gut, wenn der Switch es könnte. Dieser hat leider dieses Feature nicht. Ich werde mir mal einen allgemeinen Regel auf pfSense einrichtet und mir die Logs anschauen. Es besteht irgendwo ganz sicher die Möglichkeit... Ein Regel, der nur geloggt wird ohne sperren zu können.

Gr. I.
Bitte warten ..
Mitglied: Hitman4021
22.11.2011 um 17:45 Uhr
Hallo,

ich kenne pfsense leider nicht aber ich schätze du brauchst noch die UDP Port <1024 für Voip

gruß
Bitte warten ..
Mitglied: BillyBunny
22.11.2011 um 18:13 Uhr
Hallo,

wie Lochkartenstanzer schon schreibt.... erst mal macht man alles dicht und öffnet dann die Ports die man braucht.

Welche Ports das sind kann Dir hier wohl keiner sagen, da keiner weiß welche Software und welche Verbindungen und Ports Du brauchst.

Das geht los mit I-Net, FTP, SSH, Telnet, RDP, VPN, POP3, SMTP, VNC, usw. die Liste ist uferlos....

Du solltest schon wissen welche Ports Ihr nach außen hin braucht....

Erst mal sorgfältig analysieren und dann machen.... eine Liste der Standardports sollte schon mal einen ersten Aufschluss geben (google)
und der Rest ist wie gesagt von verwendeter Software und benötigten Verbindungen abhängig.

Gruß
BB
Bitte warten ..
Mitglied: brammer
22.11.2011 um 18:38 Uhr
Hallo,

wie bereits schon gesagt: Alle Ports zu machen.

Dann Nutzungsbezogen wieder öffnen was benötigt wird

http 80
https/ssl 443
ssh 22
telnet 23 (aber eher nicht zu empfehlen)
VNC nach Einstellung, Standard 5900

Hängt halt davon ab was wieso nach hause telefonieren möchte.

brammer
Bitte warten ..
Mitglied: istike2
23.11.2011 um 15:33 Uhr
pfSense hat offensichtlich ganz gute Übersichtfunktionen. Ich sammle mal ein bißchen und machen die unnötigen Ports dicht.

Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss gezielt kontrolliert werden.

Gr. I.
Bitte warten ..
Mitglied: mrtux
23.11.2011 um 15:49 Uhr
Hi !

Die PfSense hat ein Firewall-Log! (Siehe auch aqui's Tutorials über die Monowall!) Dem kannst Du die benötigten Infos entnehmen und wenn nachträglich Programme installiert werden, deren Kommunikation erwünscht ist, musst Du die dann halt in der Firewall freigeben...

Zitat von @istike2:
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss
gezielt kontrolliert werden.

Wie soll die PfSense auch? Das setzt eine intelligente Verhaltensanalyse voraus, die heute nicht mal annähernd irgendeine Sicherheitssoftware schafft. Und selbst die muss vom Menschen "gefüttert" werden....

Wofür bist Du eigentlich da? Zwischen Gut und Böse zu unterscheiden ist eine Standardaufgabe für des Admin's Brain.exe... ;-) face-wink

mrtux
Bitte warten ..
Mitglied: Sam1991
24.11.2011 um 09:43 Uhr
Hallo zusammen,

zudem sollte es für "gute" Programme eine Dokumentation geben, in der genau beschrieben wird welche Ports aus welchen Gründen benötigt wird. Gibt es keine Dokumentation dazu oder keinerlei Hinweise zu dem Programm halte ich das schon für verdächtig.

Denn alles freizugeben was an der Firewall ankommt kann unter Umständen auch nicht gerade prickelnd sein, wenn Schadsoftware sich bereits in deinem Netz breitgemacht hat.

Dass dich User unter Umständen anrufen, wenn etwas nicht funktioniert nur weil diese Anwendungen Port xy benötigen ist völlig normal und das wirst du bei einem sicheren Netz niemals umgehen können. Zudem möchtest du ja verhindern, dass sich ein infizierter Rechner nach Hause telefonieren kann bloß weil der Anwender ein "gaaaanz wichtiges" Programm installiert hat. Wie heißt es so schön: Sicherheit ist erst dann gut, wenn sie nervt :-) face-smile

Viel Erfolg beim "dichtmachen" ;-) face-wink!

Sam1991
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Mitteilung an alle bei Störungen in der IT
gelöst David.B2D45Vor 1 TagFrageMicrosoft31 Kommentare

Hallo Forum, ich bin auf der Suche nach einem Programm / Tool mit dem ich Text (Laufschrift) auf allen (gewünschten) PC's / Benutzer im ...

Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 21 StundenFrageExchange Server29 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 1 TagFrageE-Mail17 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...

Server-Hardware
Firmware-Updates auf Servern
redhorseVor 1 TagFrageServer-Hardware8 Kommentare

Guten Morgen, die Server-Hersteller stellen bekanntlich regelmäßig Firmware- und Treiberupdates für deren Serverhardware bereit, diese können z.B. bei Dell als Dell EMC Server Update ...

Linux
Windows auf Dualbootrechner entfernen und Linux die komplette Platte zur Verfügung stellen
N8chtfalterVor 1 TagFrageLinux6 Kommentare

Hallo Linux Profis, ich habe einen Laptop auf dem ursprünglichen Windows 10 installiert war, und ist, ich habe vor einem Jahr Ubuntu testhalber als ...

Windows Server
Domänenadmin kann kein Zertifikat anfordern
noodellsVor 1 TagFrageWindows Server6 Kommentare

Hallo Zusammen, ich habe ein Problem beim Finden einer Einstellung. Zuerst einmal der Stand: Es gibt eine Windows CA und Domaincontroller und alles funktionierte ...

Router & Routing
Routing öffentliche IP-Adresse-Traffic per BGP im internal-Network
gelöst jescheroVor 1 TagFrageRouter & Routing2 Kommentare

Guten Abend alle zusammen, ich habe ein kleines Problem beim Routing in pfSense. Mein aktuelles Aufbau ist folgenden: Ich habe eine pfSense-VM und zwei ...

Exchange Server
Windows Server 2019 + Exchange Server 2019 (Probleme mit Pop3)
gelöst aristonVor 1 TagFrageExchange Server4 Kommentare

Hallo zusammen, ich habe gerade angefangen, mit dem Exchange Server 2019 in der Demoversion zu arbeiten und folge Schritt für Schritt bei der notwendigen ...