LAN Ports nach Draußen schließen
Hallo,
ich hätte vor in unserem kleinen Büro die nicht verwendeten Ports auch nach Draußen zu schließen damit wir unerwünschte Kommunikation /Schadsoftware, Botnetze, Spiele, usw) möglichst verhindern können.
Die folgenden Ports bräuchten wir:
80, 443 für Surfen
5060 für VoIP
usw.
Meine Fragen:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?
ich habe leider zu wenig Erfahrung. Die Sperrrung würde ich in dem Router via pfSense vornehmen.
Danke sehr.
Gr. I.
ich hätte vor in unserem kleinen Büro die nicht verwendeten Ports auch nach Draußen zu schließen damit wir unerwünschte Kommunikation /Schadsoftware, Botnetze, Spiele, usw) möglichst verhindern können.
Die folgenden Ports bräuchten wir:
80, 443 für Surfen
5060 für VoIP
usw.
Meine Fragen:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?
ich habe leider zu wenig Erfahrung. Die Sperrrung würde ich in dem Router via pfSense vornehmen.
Danke sehr.
Gr. I.
Antworten
- Mehr
Auf Facebook teilen
Auf Twitter teilen10 Antworten
- LÖSUNG Lochkartenstanzer schreibt am 22.11.2011 um 17:09:02 Uhr
- LÖSUNG istike2 schreibt am 22.11.2011 um 17:19:37 Uhr
- LÖSUNG Hitman4021 schreibt am 22.11.2011 um 17:31:59 Uhr
- LÖSUNG istike2 schreibt am 22.11.2011 um 17:41:46 Uhr
- LÖSUNG Hitman4021 schreibt am 22.11.2011 um 17:45:28 Uhr
- LÖSUNG istike2 schreibt am 22.11.2011 um 17:41:46 Uhr
- LÖSUNG Hitman4021 schreibt am 22.11.2011 um 17:31:59 Uhr
- LÖSUNG istike2 schreibt am 22.11.2011 um 17:19:37 Uhr
- LÖSUNG BillyBunny schreibt am 22.11.2011 um 18:13:33 Uhr
- LÖSUNG brammer schreibt am 22.11.2011 um 18:38:04 Uhr
- LÖSUNG istike2 schreibt am 23.11.2011 um 15:33:43 Uhr
- LÖSUNG brammer schreibt am 22.11.2011 um 18:38:04 Uhr
- LÖSUNG mrtux schreibt am 23.11.2011 um 15:49:19 Uhr
- LÖSUNG Sam1991 schreibt am 24.11.2011 um 09:43:23 Uhr
LÖSUNG 22.11.2011 um 17:09 Uhr
Zitat von @istike2:
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche
Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?
ist es überhaupt sinnvoll nur die allwichtigsten Ports offen zu lassen? Man weiß ja nie welche Anwendersoftware welche
Ports braucht. Gibt es eine sinnvolle praxisgerechte Lösung fürs Problem?
Alles dichtmachen und dann nur die Ports öffnen, die benötigt werden. So ist das übliche vorgehen.
LÖSUNG 22.11.2011 um 17:19 Uhr
Danke.
und woher weiß ich ja welche Ports von welcher Anwendung gebraucht werden? Soll ich die einzelnen Clients mit NMAP "abtasten" oder hat pfSense möglicherweise ein LOG mit dieser Info? Auf Anhieb kenne ich nur diese 3 Ports, die wir brauchen...
Was ich vermeiden möchte wäre, dass die User mich tagelang anrufen, weil die Software "komischerweise" nicht funktioniert....
Es wäre gut, diese Änderungen in einer Welle durchziehen...
Gr. I.
und woher weiß ich ja welche Ports von welcher Anwendung gebraucht werden? Soll ich die einzelnen Clients mit NMAP "abtasten" oder hat pfSense möglicherweise ein LOG mit dieser Info? Auf Anhieb kenne ich nur diese 3 Ports, die wir brauchen...
Was ich vermeiden möchte wäre, dass die User mich tagelang anrufen, weil die Software "komischerweise" nicht funktioniert....
Es wäre gut, diese Änderungen in einer Welle durchziehen...
Gr. I.
LÖSUNG 22.11.2011 um 17:31 Uhr
LÖSUNG 22.11.2011 um 17:41 Uhr
LÖSUNG 22.11.2011 um 17:45 Uhr
LÖSUNG 22.11.2011 um 18:13 Uhr
Hallo,
wie Lochkartenstanzer schon schreibt.... erst mal macht man alles dicht und öffnet dann die Ports die man braucht.
Welche Ports das sind kann Dir hier wohl keiner sagen, da keiner weiß welche Software und welche Verbindungen und Ports Du brauchst.
Das geht los mit I-Net, FTP, SSH, Telnet, RDP, VPN, POP3, SMTP, VNC, usw. die Liste ist uferlos....
Du solltest schon wissen welche Ports Ihr nach außen hin braucht....
Erst mal sorgfältig analysieren und dann machen.... eine Liste der Standardports sollte schon mal einen ersten Aufschluss geben (google)
und der Rest ist wie gesagt von verwendeter Software und benötigten Verbindungen abhängig.
Gruß
BB
wie Lochkartenstanzer schon schreibt.... erst mal macht man alles dicht und öffnet dann die Ports die man braucht.
Welche Ports das sind kann Dir hier wohl keiner sagen, da keiner weiß welche Software und welche Verbindungen und Ports Du brauchst.
Das geht los mit I-Net, FTP, SSH, Telnet, RDP, VPN, POP3, SMTP, VNC, usw. die Liste ist uferlos....
Du solltest schon wissen welche Ports Ihr nach außen hin braucht....
Erst mal sorgfältig analysieren und dann machen.... eine Liste der Standardports sollte schon mal einen ersten Aufschluss geben (google)
und der Rest ist wie gesagt von verwendeter Software und benötigten Verbindungen abhängig.
Gruß
BB
LÖSUNG 22.11.2011 um 18:38 Uhr
LÖSUNG 23.11.2011 um 15:33 Uhr
LÖSUNG 23.11.2011 um 15:49 Uhr
Hi !
Die PfSense hat ein Firewall-Log! (Siehe auch aqui's Tutorials über die Monowall!) Dem kannst Du die benötigten Infos entnehmen und wenn nachträglich Programme installiert werden, deren Kommunikation erwünscht ist, musst Du die dann halt in der Firewall freigeben...
Wie soll die PfSense auch? Das setzt eine intelligente Verhaltensanalyse voraus, die heute nicht mal annähernd irgendeine Sicherheitssoftware schafft. Und selbst die muss vom Menschen "gefüttert" werden....
Wofür bist Du eigentlich da? Zwischen Gut und Böse zu unterscheiden ist eine Standardaufgabe für des Admin's Brain.exe...
mrtux
Die PfSense hat ein Firewall-Log! (Siehe auch aqui's Tutorials über die Monowall!) Dem kannst Du die benötigten Infos entnehmen und wenn nachträglich Programme installiert werden, deren Kommunikation erwünscht ist, musst Du die dann halt in der Firewall freigeben...
Zitat von @istike2:
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss
gezielt kontrolliert werden.
Problem ist bloß ,dass die Stats noch nicht zeigen, welche Software die Ports offenhält. Böswillig oder nicht muss
gezielt kontrolliert werden.
Wie soll die PfSense auch? Das setzt eine intelligente Verhaltensanalyse voraus, die heute nicht mal annähernd irgendeine Sicherheitssoftware schafft. Und selbst die muss vom Menschen "gefüttert" werden....
Wofür bist Du eigentlich da? Zwischen Gut und Böse zu unterscheiden ist eine Standardaufgabe für des Admin's Brain.exe...
mrtux
LÖSUNG 24.11.2011 um 09:43 Uhr
Hallo zusammen,
zudem sollte es für "gute" Programme eine Dokumentation geben, in der genau beschrieben wird welche Ports aus welchen Gründen benötigt wird. Gibt es keine Dokumentation dazu oder keinerlei Hinweise zu dem Programm halte ich das schon für verdächtig.
Denn alles freizugeben was an der Firewall ankommt kann unter Umständen auch nicht gerade prickelnd sein, wenn Schadsoftware sich bereits in deinem Netz breitgemacht hat.
Dass dich User unter Umständen anrufen, wenn etwas nicht funktioniert nur weil diese Anwendungen Port xy benötigen ist völlig normal und das wirst du bei einem sicheren Netz niemals umgehen können. Zudem möchtest du ja verhindern, dass sich ein infizierter Rechner nach Hause telefonieren kann bloß weil der Anwender ein "gaaaanz wichtiges" Programm installiert hat. Wie heißt es so schön: Sicherheit ist erst dann gut, wenn sie nervt
Viel Erfolg beim "dichtmachen"!
Sam1991
zudem sollte es für "gute" Programme eine Dokumentation geben, in der genau beschrieben wird welche Ports aus welchen Gründen benötigt wird. Gibt es keine Dokumentation dazu oder keinerlei Hinweise zu dem Programm halte ich das schon für verdächtig.
Denn alles freizugeben was an der Firewall ankommt kann unter Umständen auch nicht gerade prickelnd sein, wenn Schadsoftware sich bereits in deinem Netz breitgemacht hat.
Dass dich User unter Umständen anrufen, wenn etwas nicht funktioniert nur weil diese Anwendungen Port xy benötigen ist völlig normal und das wirst du bei einem sicheren Netz niemals umgehen können. Zudem möchtest du ja verhindern, dass sich ein infizierter Rechner nach Hause telefonieren kann bloß weil der Anwender ein "gaaaanz wichtiges" Programm installiert hat. Wie heißt es so schön: Sicherheit ist erst dann gut, wenn sie nervt
Viel Erfolg beim "dichtmachen"
!Sam1991
