10
Sicherheit durch Port-Sperren
alles sperren bis auf 80, 8080, 21 usw. sinnig?
Guten abend zusammen,
Ich habe ein paar Verständnisfragen zum Thema Firewall + Portsperren.
Angenommen ich sperre jeden Verkehr (ein- und ausgehend)
bis auf folgende Ports:
21 (FTP)
25 (SMTP)
80 + 8080 + 443 (http und https)
110 (Pop)
an meiner Firewall.
a) Macht das Sinn?
b) Würde bspw. FTP reibungslos laufen, da er nur Port 21 nutzt?
c) Welche Gefahren gäbe es (außer Trojaner) noch, wenn ich nur die oben genannten Ports freischalte ?
Vielen Dank für eure Hilfe im Voraus.
Ich habe ein paar Verständnisfragen zum Thema Firewall + Portsperren.
Angenommen ich sperre jeden Verkehr (ein- und ausgehend)
bis auf folgende Ports:
21 (FTP)
25 (SMTP)
80 + 8080 + 443 (http und https)
110 (Pop)
an meiner Firewall.
a) Macht das Sinn?
b) Würde bspw. FTP reibungslos laufen, da er nur Port 21 nutzt?
c) Welche Gefahren gäbe es (außer Trojaner) noch, wenn ich nur die oben genannten Ports freischalte ?
Vielen Dank für eure Hilfe im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33603
Url: https://administrator.de/contentid/33603
Printed on: April 24, 2024 at 22:04 o'clock
10 Comments
Latest comment
Hallo,
erstmal ist es natürlich sinnvoll Türen zu schließen die man nicht braucht, insofern ist es richtig diese Ports zu schließen.
Ausreichend ist es nicht da Gefährliche Datenpakete auch über andere POrts kommen, so über die Standard ports 80 und 21 und eine anwendung die erstmal auf deinem System ist kann unter umständen auch POrts auf dem Router öffnen oder über andere offenen POrts Tunneln..
Insofern ist ein solches Schließen von Ports immer nur ein Aspekt eines Sicherheitspaketes.
Dazu gehören noch ein Virenscanner und andere Sicherheitsprogramme.
erstmal ist es natürlich sinnvoll Türen zu schließen die man nicht braucht, insofern ist es richtig diese Ports zu schließen.
Ausreichend ist es nicht da Gefährliche Datenpakete auch über andere POrts kommen, so über die Standard ports 80 und 21 und eine anwendung die erstmal auf deinem System ist kann unter umständen auch POrts auf dem Router öffnen oder über andere offenen POrts Tunneln..
Insofern ist ein solches Schließen von Ports immer nur ein Aspekt eines Sicherheitspaketes.
Dazu gehören noch ein Virenscanner und andere Sicherheitsprogramme.
Auch ich bin der Meinung, dass Ports sperren sicher mal ene sinnvoller Start ist. IDS wäre nicht gerade schlecht.
Zu deinen Fragen bezüglich zB FTP
FTP-Commands gehen über den TCP Port 21, FTP-Data über den Port 20 - brauchst also bei für aktiven FTP (passive FTPs benutzen high Ports und sind eigentlich die Regel zb.: Bei öffentlichen FTP-Servern über http!)
Zum Surfen normal ohne Proxy brauchst du den TCP Port 80, SSL-Verbindungen TCP-Port 443.
SMTP braucht TCP 25 zum Versenden, TCP 110 für POP3, vielleicht noch TCP 143 für IMAP.
ACHTUNG - einen wichtigen Port hast noch vergessen - UDP 53 für DNS, sonst wird das surfen nur über IP-Adressen sehr anstrengend!
Gruß
Suppi250
Zu deinen Fragen bezüglich zB FTP
FTP-Commands gehen über den TCP Port 21, FTP-Data über den Port 20 - brauchst also bei für aktiven FTP (passive FTPs benutzen high Ports und sind eigentlich die Regel zb.: Bei öffentlichen FTP-Servern über http!)
Zum Surfen normal ohne Proxy brauchst du den TCP Port 80, SSL-Verbindungen TCP-Port 443.
SMTP braucht TCP 25 zum Versenden, TCP 110 für POP3, vielleicht noch TCP 143 für IMAP.
ACHTUNG - einen wichtigen Port hast noch vergessen - UDP 53 für DNS, sonst wird das surfen nur über IP-Adressen sehr anstrengend!
Gruß
Suppi250
Man kann also trivial sagen das folgende Ports standard sind
und geöffnet sein sollten:
20 + 21 (FTP)
80 + 8080 + 443 (HTTP)
25 (SMTP)
110 (POP3)
53 (DNS)
Soweit ok?
Desweiteren bin ich mir zu Folgendem nicht ganz im Klaren:
Wird auf (um beim Beispiel FTP zu bleiben) auf Port 20/21
nur das File Transfer Protokol reagiert? Oder könnte da jemand meinetwegen
auch mit HTTP Daten abgreifen / ungewollt senden?
und geöffnet sein sollten:
20 + 21 (FTP)
80 + 8080 + 443 (HTTP)
25 (SMTP)
110 (POP3)
53 (DNS)
Soweit ok?
Desweiteren bin ich mir zu Folgendem nicht ganz im Klaren:
Wird auf (um beim Beispiel FTP zu bleiben) auf Port 20/21
nur das File Transfer Protokol reagiert? Oder könnte da jemand meinetwegen
auch mit HTTP Daten abgreifen / ungewollt senden?
DNS aber auf UDP nicht TCP Protokoll!
wäre ok! .... man könnte einen HTTP-Server auf Port 21 hören lassen (was hoffentlich aber keiner tut) - aber sagen wir so, unmöglich wäre es nicht
wäre ok! .... man könnte einen HTTP-Server auf Port 21 hören lassen (was hoffentlich aber keiner tut) - aber sagen wir so, unmöglich wäre es nicht
Also wäre es grundsätzlich möglich,
über einen dafür-nicht-vorgesehenen-port
nicht-vorgesehene Daten zu senden.
Korrekt?
Hätte ich also an Port 21 keinen Webserver,
könnten theoretisch nur Pakete des "File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am laufen habe)
über einen dafür-nicht-vorgesehenen-port
nicht-vorgesehene Daten zu senden.
Korrekt?
Hätte ich also an Port 21 keinen Webserver,
könnten theoretisch nur Pakete des "File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am laufen habe)
Hätte ich also an Port 21 keinen
Webserver,
könnten theoretisch nur Pakete des
"File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am
laufen habe)
Webserver,
könnten theoretisch nur Pakete des
"File Transfer Protokols"
ankommen (sofern ich einen FTP-Server am
laufen habe)
Ja. Du kannst jeden beliebigen Dienst (Server) auf jeden beliebigen Port legen (also auch HTTP-Server auf 21). Und genauso kannst du Daten in jedem beliebigen Format an jeden offenen Port senden (solange deine Firewall einfach nur auf Port-Basis arbeitet). Aber wenn du HTTP-Commands an einen FTP-Server sendest, dann wird der deswegen mit Sicherheit keine Webseiten ausliefern, sondern nur eine Fehlermeldung.
Btw: Das ganze funktioniert nur für einen Server. Wenn du das für einen Rechner (oder Netz) machst, mit dem du auch noch surfen willst, dann musst du ausgehend alle Ports > 1024 freigeben, da die Standards nicht vorschreiben, von welchem Port gesendet, sondern nur auf welchem empfangen werden soll.
Filipp
Wenn du das für einen
Rechner (oder Netz) machst, mit dem du auch
noch surfen willst, dann musst du ausgehend
alle Ports > 1024 freigeben, da die
Standards nicht vorschreiben, von welchem
Port gesendet, sondern nur auf welchem
empfangen werden soll.
Rechner (oder Netz) machst, mit dem du auch
noch surfen willst, dann musst du ausgehend
alle Ports > 1024 freigeben, da die
Standards nicht vorschreiben, von welchem
Port gesendet, sondern nur auf welchem
empfangen werden soll.
ergo: ich muss also zwingende für surfende PCs alle Ports ab 1024 freigeben?
Und meine letzte Frage
Warum gibt es dann Hardwarefirewalls, die mehrere tausend Euro kosten,
obwohl das Prinzip eigentlich einfach ist. Hat es was mit der Performance zu tun?
teure Hardware-Firewalls:
- Downloadmengenbeschränkung pro Benutzer
- Quotas (für Dienste --> Port 80 höhere Priorität)
- Filterregeln für Benutzer bzw.
- Active-Directory integriert
- bessere statistische Auswertung
- RealTime Überwachung
- VLANs
- inkludierter VPN-Server
- DMZ-Verwaltung
- statische und dynamische Routenverwaltung
- unterstützung von zB OSPF-Protokolle
- ... ... und und und ... Features, die man kaum erraten könnte ... ... ...
Alle Ports über 1024 freigeben?
NEIN - sicher nicht. Die Firewall hat intern ne NAT-Table die sie für sich verwaltet! Du musst um "nur zu surfen" nur deine oben genannten Ports freigeben (hab ich in meinem Netz mit 200 PCs auch gemacht) - funktioniert tadellos! Wie gesagt, der Router ändert ja die Host-Header-Infos um und merkt sich die ursprünglichen Daten ... ... ...
NEIN - sicher nicht. Die Firewall hat intern ne NAT-Table die sie für sich verwaltet! Du musst um "nur zu surfen" nur deine oben genannten Ports freigeben (hab ich in meinem Netz mit 200 PCs auch gemacht) - funktioniert tadellos! Wie gesagt, der Router ändert ja die Host-Header-Infos um und merkt sich die ursprünglichen Daten ... ... ...
Hallo,
wie bereits erwähnt macht es Sinn die oben genannten Ports + DNS freizuschalten und den Rest zu sperren. Wenn Du allerdings keinen Webserver, FTP-Server oder Mail-Server betreibst, der über das Internet erreichbar sein muss, solltest Du die Ports nur ausgehend öffnen und nicht eingehend.
Es kommt auch immer auf die Umgebung an, in der die Firewall eingesetzt werden soll und was für Personen im Netzwerk arbeiten. So ist es z.B. möglich über den Port 80 eine Verbindung zu einem Server aufzubauen, der ganz andere Dienste wie IRC, ... anbietet.
MFG
wie bereits erwähnt macht es Sinn die oben genannten Ports + DNS freizuschalten und den Rest zu sperren. Wenn Du allerdings keinen Webserver, FTP-Server oder Mail-Server betreibst, der über das Internet erreichbar sein muss, solltest Du die Ports nur ausgehend öffnen und nicht eingehend.
Es kommt auch immer auf die Umgebung an, in der die Firewall eingesetzt werden soll und was für Personen im Netzwerk arbeiten. So ist es z.B. möglich über den Port 80 eine Verbindung zu einem Server aufzubauen, der ganz andere Dienste wie IRC, ... anbietet.
MFG
