Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Sicherheit durch Port-Sperren

Mitglied: aha

aha (Level 1) - Jetzt verbinden

04.06.2006, aktualisiert 05.06.2006, 15879 Aufrufe, 10 Kommentare

alles sperren bis auf 80, 8080, 21 usw. sinnig?

Guten abend zusammen,

Ich habe ein paar Verständnisfragen zum Thema Firewall + Portsperren.

Angenommen ich sperre jeden Verkehr (ein- und ausgehend)
bis auf folgende Ports:

21 (FTP)
25 (SMTP)
80 + 8080 + 443 (http und https)
110 (Pop)

an meiner Firewall.

a) Macht das Sinn?
b) Würde bspw. FTP reibungslos laufen, da er nur Port 21 nutzt?
c) Welche Gefahren gäbe es (außer Trojaner) noch, wenn ich nur die oben genannten Ports freischalte ?


Vielen Dank für eure Hilfe im Voraus.
Mitglied: brammer
04.06.2006 um 20:18 Uhr
Hallo,

erstmal ist es natürlich sinnvoll Türen zu schließen die man nicht braucht, insofern ist es richtig diese Ports zu schließen.
Ausreichend ist es nicht da Gefährliche Datenpakete auch über andere POrts kommen, so über die Standard ports 80 und 21 und eine anwendung die erstmal auf deinem System ist kann unter umständen auch POrts auf dem Router öffnen oder über andere offenen POrts Tunneln..
Insofern ist ein solches Schließen von Ports immer nur ein Aspekt eines Sicherheitspaketes.
Dazu gehören noch ein Virenscanner und andere Sicherheitsprogramme.
Bitte warten ..
Mitglied: Suppi250
04.06.2006 um 20:32 Uhr
Auch ich bin der Meinung, dass Ports sperren sicher mal ene sinnvoller Start ist. IDS wäre nicht gerade schlecht.

Zu deinen Fragen bezüglich zB FTP

FTP-Commands gehen über den TCP Port 21, FTP-Data über den Port 20 - brauchst also bei für aktiven FTP (passive FTPs benutzen high Ports und sind eigentlich die Regel zb.: Bei öffentlichen FTP-Servern über http!)
Zum Surfen normal ohne Proxy brauchst du den TCP Port 80, SSL-Verbindungen TCP-Port 443.
SMTP braucht TCP 25 zum Versenden, TCP 110 für POP3, vielleicht noch TCP 143 für IMAP.
ACHTUNG - einen wichtigen Port hast noch vergessen - UDP 53 für DNS, sonst wird das surfen nur über IP-Adressen sehr anstrengend!

Gruß
Suppi250
Bitte warten ..
Mitglied: aha
04.06.2006 um 21:12 Uhr
Man kann also trivial sagen das folgende Ports standard sind
und geöffnet sein sollten:

20 + 21 (FTP)
80 + 8080 + 443 (HTTP)
25 (SMTP)
110 (POP3)
53 (DNS)

Soweit ok?


Desweiteren bin ich mir zu Folgendem nicht ganz im Klaren:

Wird auf (um beim Beispiel FTP zu bleiben) auf Port 20/21
nur das File Transfer Protokol reagiert? Oder könnte da jemand meinetwegen
auch mit HTTP Daten abgreifen / ungewollt senden?
Bitte warten ..
Mitglied: Suppi250
04.06.2006 um 21:32 Uhr
DNS aber auf UDP nicht TCP Protokoll!

wäre ok! .... man könnte einen HTTP-Server auf Port 21 hören lassen (was hoffentlich aber keiner tut) - aber sagen wir so, unmöglich wäre es nicht
Bitte warten ..
Mitglied: aha
04.06.2006 um 22:45 Uhr
Also wäre es grundsätzlich möglich,
über einen dafür-nicht-vorgesehenen-port
nicht-vorgesehene Daten zu senden.
Korrekt?

Hätte ich also an Port 21 keinen Webserver,
könnten theoretisch nur Pakete des "File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am laufen habe)
Bitte warten ..
Mitglied: filippg
05.06.2006 um 00:57 Uhr
Hätte ich also an Port 21 keinen
Webserver,
könnten theoretisch nur Pakete des
"File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am
laufen habe)

Ja. Du kannst jeden beliebigen Dienst (Server) auf jeden beliebigen Port legen (also auch HTTP-Server auf 21). Und genauso kannst du Daten in jedem beliebigen Format an jeden offenen Port senden (solange deine Firewall einfach nur auf Port-Basis arbeitet). Aber wenn du HTTP-Commands an einen FTP-Server sendest, dann wird der deswegen mit Sicherheit keine Webseiten ausliefern, sondern nur eine Fehlermeldung.

Btw: Das ganze funktioniert nur für einen Server. Wenn du das für einen Rechner (oder Netz) machst, mit dem du auch noch surfen willst, dann musst du ausgehend alle Ports > 1024 freigeben, da die Standards nicht vorschreiben, von welchem Port gesendet, sondern nur auf welchem empfangen werden soll.

Filipp
Bitte warten ..
Mitglied: aha
05.06.2006 um 07:34 Uhr
Wenn du das für einen
Rechner (oder Netz) machst, mit dem du auch
noch surfen willst, dann musst du ausgehend
alle Ports > 1024 freigeben, da die
Standards nicht vorschreiben, von welchem
Port gesendet, sondern nur auf welchem
empfangen werden soll.

ergo: ich muss also zwingende für surfende PCs alle Ports ab 1024 freigeben?

Und meine letzte Frage

Warum gibt es dann Hardwarefirewalls, die mehrere tausend Euro kosten,
obwohl das Prinzip eigentlich einfach ist. Hat es was mit der Performance zu tun?
Bitte warten ..
Mitglied: Suppi250
05.06.2006 um 09:38 Uhr
teure Hardware-Firewalls:

  • Downloadmengenbeschränkung pro Benutzer
  • Quotas (für Dienste --> Port 80 höhere Priorität)
  • Filterregeln für Benutzer bzw.
  • Active-Directory integriert
  • bessere statistische Auswertung
  • RealTime Überwachung
  • VLANs
  • inkludierter VPN-Server
  • DMZ-Verwaltung
  • statische und dynamische Routenverwaltung
  • unterstützung von zB OSPF-Protokolle
  • ... ... und und und ... Features, die man kaum erraten könnte ... ... ...
Bitte warten ..
Mitglied: Suppi250
05.06.2006 um 09:43 Uhr
Alle Ports über 1024 freigeben?

NEIN - sicher nicht. Die Firewall hat intern ne NAT-Table die sie für sich verwaltet! Du musst um "nur zu surfen" nur deine oben genannten Ports freigeben (hab ich in meinem Netz mit 200 PCs auch gemacht) - funktioniert tadellos! Wie gesagt, der Router ändert ja die Host-Header-Infos um und merkt sich die ursprünglichen Daten ... ... ...
Bitte warten ..
Mitglied: Bacci
05.06.2006 um 13:03 Uhr
Hallo,

wie bereits erwähnt macht es Sinn die oben genannten Ports + DNS freizuschalten und den Rest zu sperren. Wenn Du allerdings keinen Webserver, FTP-Server oder Mail-Server betreibst, der über das Internet erreichbar sein muss, solltest Du die Ports nur ausgehend öffnen und nicht eingehend.

Es kommt auch immer auf die Umgebung an, in der die Firewall eingesetzt werden soll und was für Personen im Netzwerk arbeiten. So ist es z.B. möglich über den Port 80 eine Verbindung zu einem Server aufzubauen, der ganz andere Dienste wie IRC, ... anbietet.

MFG
Bitte warten ..
Ähnliche Inhalte
Rechtliche Fragen

Sicherheit bei Port-Forwarding - Virusbefall - wer kommt für die Kosten auf?

gelöst Frage von nikasio14Rechtliche Fragen46 Kommentare

Hallo! Danke für die automatische Aufnahme ins Forum! Wie im Titel erwähnt, geht es um die Kosten bei einem ...

Sicherheitsgrundlagen

Sicherheit Netzwerksegmentierung

Frage von Morpheus112Sicherheitsgrundlagen11 Kommentare

Hallo Leute, ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man ...

Windows Netzwerk

Sicherheit Administrationskonten

gelöst Frage von Philipp711Windows Netzwerk5 Kommentare

Hallo Leute, seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ...

Tipps & Tricks

IT-Sicherheit

gelöst Frage von RaucherbeinTipps & Tricks13 Kommentare

Hi Leute. Ich bin seit geraumer Zeit im Netz auf der Suche nach brauchbaren Inhalten zum Thema IT-Sicherheit. Ich ...

Cloud-Dienste

Sicherheit von Clouds

Frage von fisch56Cloud-Dienste16 Kommentare

Hallo, habe jetzt tausend Artikel durchgelesen bin aber nicht schlauer. wenn ich z.B. google drive oder google photos nutze, ...

Utilities

Telefonkonferenzen - Tools - Sicherheit

Frage von rjenuweinUtilities2 Kommentare

Hallo zusammen, ich habe eine Anfrage aus dem Unternehmen in Sachen Telefonkonferenzen. Man möchte das Tool Freeconfernececalls nutzen. Frage: ...

Heiß diskutierte Inhalte
Webbrowser
Websites als site.mht abspeichern wie im "guten" alten IE
Question by DerWoWussteWebbrowser16 Comments

Servus. Eine kleine, niedliche Frage für den Freitagnachmittag: Wer wie ich öfter Anleitungen von Websites abspeichern möchte, kennt das ...

DNS
Black Friday Frage - Gibt es priorisierten DNS Verkehr im LAN-PAN-WAN-MAN
solved Question by daswinimramDNS14 Comments

Hallo alle Wochenendler :) folgende Frage schwirrt mir im Kopf herum, da ich es wohl nicht richtig verstehe ? ...

Peripherals
Bluetooth- und WLAN-Stabilität bzw. Interferenzen bei 30 Endgeräten in einem Klassenzimmer
solved Question by hanshanshanshansPeripherals9 Comments

Hallo zusammen! An der Schule meiner Frau sollen die Lehrer und Schüler mit eigenen Laptops oder Tablets ausgestattet werden. ...

Networks
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
Question by Xaero1982Networks9 Comments

Moin Zusammen, zu Testzwecken und rumprobieren hab ich mir einen ESX installiert mit 3 LAN Ports. Auf dem ESX ...

DSL, VDSL
DSL n.i.O zum Gamen - Leased Line Lösung?
Question by ryannnDSL, VDSL9 Comments

Hello, und zwar wollte ich fragen ob mir jemand erklären könnte, ob eine Leased Line / Festanbindung bei folgendem ...

Windows Network
Orientierung zur Weiterbildung
Question by Thomas33Windows Network8 Comments

Hi, ich möchte und muss mich im Bereich der IT weiter Bilden. Ich selber komme aus der Elektrotechnik, daher ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN