aha
Goto Top

Sicherheit durch Port-Sperren

alles sperren bis auf 80, 8080, 21 usw. sinnig?

Guten abend zusammen,

Ich habe ein paar Verständnisfragen zum Thema Firewall + Portsperren.

Angenommen ich sperre jeden Verkehr (ein- und ausgehend)
bis auf folgende Ports:

21 (FTP)
25 (SMTP)
80 + 8080 + 443 (http und https)
110 (Pop)

an meiner Firewall.

a) Macht das Sinn?
b) Würde bspw. FTP reibungslos laufen, da er nur Port 21 nutzt?
c) Welche Gefahren gäbe es (außer Trojaner) noch, wenn ich nur die oben genannten Ports freischalte ?


Vielen Dank für eure Hilfe im Voraus.

Content-ID: 33603

Url: https://administrator.de/contentid/33603

Ausgedruckt am: 05.11.2024 um 21:11 Uhr

brammer
brammer 04.06.2006 um 20:18:33 Uhr
Goto Top
Hallo,

erstmal ist es natürlich sinnvoll Türen zu schließen die man nicht braucht, insofern ist es richtig diese Ports zu schließen.
Ausreichend ist es nicht da Gefährliche Datenpakete auch über andere POrts kommen, so über die Standard ports 80 und 21 und eine anwendung die erstmal auf deinem System ist kann unter umständen auch POrts auf dem Router öffnen oder über andere offenen POrts Tunneln..
Insofern ist ein solches Schließen von Ports immer nur ein Aspekt eines Sicherheitspaketes.
Dazu gehören noch ein Virenscanner und andere Sicherheitsprogramme.
Suppi250
Suppi250 04.06.2006 um 20:32:40 Uhr
Goto Top
Auch ich bin der Meinung, dass Ports sperren sicher mal ene sinnvoller Start ist. IDS wäre nicht gerade schlecht.

Zu deinen Fragen bezüglich zB FTP

FTP-Commands gehen über den TCP Port 21, FTP-Data über den Port 20 - brauchst also bei für aktiven FTP (passive FTPs benutzen high Ports und sind eigentlich die Regel zb.: Bei öffentlichen FTP-Servern über http!)
Zum Surfen normal ohne Proxy brauchst du den TCP Port 80, SSL-Verbindungen TCP-Port 443.
SMTP braucht TCP 25 zum Versenden, TCP 110 für POP3, vielleicht noch TCP 143 für IMAP.
ACHTUNG - einen wichtigen Port hast noch vergessen - UDP 53 für DNS, sonst wird das surfen nur über IP-Adressen sehr anstrengend!

Gruß
Suppi250
aha
aha 04.06.2006 um 21:12:22 Uhr
Goto Top
Man kann also trivial sagen das folgende Ports standard sind
und geöffnet sein sollten:

20 + 21 (FTP)
80 + 8080 + 443 (HTTP)
25 (SMTP)
110 (POP3)
53 (DNS)

Soweit ok?


Desweiteren bin ich mir zu Folgendem nicht ganz im Klaren:

Wird auf (um beim Beispiel FTP zu bleiben) auf Port 20/21
nur das File Transfer Protokol reagiert? Oder könnte da jemand meinetwegen
auch mit HTTP Daten abgreifen / ungewollt senden?
Suppi250
Suppi250 04.06.2006 um 21:32:07 Uhr
Goto Top
DNS aber auf UDP nicht TCP Protokoll!

wäre ok! .... man könnte einen HTTP-Server auf Port 21 hören lassen (was hoffentlich aber keiner tut) - aber sagen wir so, unmöglich wäre es nicht face-wink
aha
aha 04.06.2006 um 22:45:00 Uhr
Goto Top
Also wäre es grundsätzlich möglich,
über einen dafür-nicht-vorgesehenen-port
nicht-vorgesehene Daten zu senden.
Korrekt?

Hätte ich also an Port 21 keinen Webserver,
könnten theoretisch nur Pakete des "File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am laufen habe)
filippg
filippg 05.06.2006 um 00:57:41 Uhr
Goto Top
Hätte ich also an Port 21 keinen
Webserver,
könnten theoretisch nur Pakete des
"File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am
laufen habe)

Ja. Du kannst jeden beliebigen Dienst (Server) auf jeden beliebigen Port legen (also auch HTTP-Server auf 21). Und genauso kannst du Daten in jedem beliebigen Format an jeden offenen Port senden (solange deine Firewall einfach nur auf Port-Basis arbeitet). Aber wenn du HTTP-Commands an einen FTP-Server sendest, dann wird der deswegen mit Sicherheit keine Webseiten ausliefern, sondern nur eine Fehlermeldung.

Btw: Das ganze funktioniert nur für einen Server. Wenn du das für einen Rechner (oder Netz) machst, mit dem du auch noch surfen willst, dann musst du ausgehend alle Ports > 1024 freigeben, da die Standards nicht vorschreiben, von welchem Port gesendet, sondern nur auf welchem empfangen werden soll.

Filipp
aha
aha 05.06.2006 um 07:34:51 Uhr
Goto Top
Wenn du das für einen
Rechner (oder Netz) machst, mit dem du auch
noch surfen willst, dann musst du ausgehend
alle Ports > 1024 freigeben, da die
Standards nicht vorschreiben, von welchem
Port gesendet, sondern nur auf welchem
empfangen werden soll.

ergo: ich muss also zwingende für surfende PCs alle Ports ab 1024 freigeben?

Und meine letzte Frage face-wink

Warum gibt es dann Hardwarefirewalls, die mehrere tausend Euro kosten,
obwohl das Prinzip eigentlich einfach ist. Hat es was mit der Performance zu tun?
Suppi250
Suppi250 05.06.2006 um 09:38:42 Uhr
Goto Top
teure Hardware-Firewalls:

  • Downloadmengenbeschränkung pro Benutzer
  • Quotas (für Dienste --> Port 80 höhere Priorität)
  • Filterregeln für Benutzer bzw.
  • Active-Directory integriert
  • bessere statistische Auswertung
  • RealTime Überwachung
  • VLANs
  • inkludierter VPN-Server
  • DMZ-Verwaltung
  • statische und dynamische Routenverwaltung
  • unterstützung von zB OSPF-Protokolle
  • ... ... und und und ... Features, die man kaum erraten könnte ... ... ...
Suppi250
Suppi250 05.06.2006 um 09:43:56 Uhr
Goto Top
Alle Ports über 1024 freigeben?

NEIN - sicher nicht. Die Firewall hat intern ne NAT-Table die sie für sich verwaltet! Du musst um "nur zu surfen" nur deine oben genannten Ports freigeben (hab ich in meinem Netz mit 200 PCs auch gemacht) - funktioniert tadellos! Wie gesagt, der Router ändert ja die Host-Header-Infos um und merkt sich die ursprünglichen Daten ... ... ...
Bacci
Bacci 05.06.2006 um 13:03:37 Uhr
Goto Top
Hallo,

wie bereits erwähnt macht es Sinn die oben genannten Ports + DNS freizuschalten und den Rest zu sperren. Wenn Du allerdings keinen Webserver, FTP-Server oder Mail-Server betreibst, der über das Internet erreichbar sein muss, solltest Du die Ports nur ausgehend öffnen und nicht eingehend.

Es kommt auch immer auf die Umgebung an, in der die Firewall eingesetzt werden soll und was für Personen im Netzwerk arbeiten. So ist es z.B. möglich über den Port 80 eine Verbindung zu einem Server aufzubauen, der ganz andere Dienste wie IRC, ... anbietet.

MFG