habe einen Portscan aus dem Internet durchführen lassen und festgestellt das ein paar Ports offen sind. Ich weiß aber nicht so recht wie ich die vernünftig dicht machen soll, da ich ja nicht unterscheiden kann obs was angefordertes ist oder nicht und jede IP der Seite in die Firewallregeln einzutragen der ich diesen Port erlaube wäre doch auch ganz schon aufwendig. Speziell geht es um den Port 443 also HTTPS. Wenn ich z.B. auf einer Onlinebanking-Seite bin wird eine HTTPS-Verbindung aufgebaut, also muss ich z.B. für meinen Browser das ganze freigeben, nun kann ich ja HTTPS z.b. nur für die IP der Onlinebankingseite freigeben. Ich könnte also als Firewallregel folgendes erstellen, Seamonkey darf auf die Seite IP: xyz.xyz.xyz.xyz mittels Port 80 und 443 zugreifen. Wenn ich Port 443 für Seamonkey komplett freigebe dann kommt ja alles rein unabhängig obs von der Bankseite ist oder nicht. Es muss doch auch anderst zu regeln sein das nur angeforderte Sachen über 443 reinkommen und nicht alles?
Da wir hier in einem Elektronik-forum sind: Eine firewall (so wie sie in den meisten Routern implementiert ist) funktioniert wie eine Diode: - alle Verbindungen von innen nach aussen sind erlaubt (raus darf alles) - Verbindungen von aussen werden abgelehnt (rein darf nichts) Ersteres kann man noch restriktiver konfigurieren: z.B. nur abgehende Verbindungen ZU Port 80, 443 erlauben. Ebenso kann konfiguriert werden, dass eingehende Verbindungen durchgelassen werden, falls du irgendwelche Serverdienste anbieten möchtest (z.B. HTTP, FTP oder Filesharing) Per Default SOLLTE aber ein Router/Firewall auf keine Anfrage von aussen antworten, da jeder offene Port eine potentielles Sicherheitsrisiko mit sich bringen kann. Gruß Roland
Wenn du selber keine Bank bist, dann baust du von deiner Seite aus HTTPS zur Bank auf und nicht umgekehrt. Und zum Grundprinzip von Firewalls gehört, dass sie sich merken können, ob eine Verbindung von innen oder von aussen gestartet wurde und passende Antworten automatisch durchreichen. Folglich sehe ich keinen Grund, warum du es der Firewall erlauben solltest, von aussen auf deinen Rechner Netz Router (oder von was auch immer du redest) zuzugreifen. Wofür du Ports von aussen aufmachen und im Fall eines Routers durchreichen musst: - Multiplayer-Games mit Leuten anderswo in der Welt - Peer-to-Peer File-Exchange - Wartungszugang von aussen (Vorsicht dabei!) Wenn nichts von alledem: Dichtmachen.
Im Prinzip nimmt ja nicht der Computer irgend etwas an sondern ein geöffnetes Programm richtig? In diesem Fall(Portscan aus dem Internet) also der Browser. Ich müsste doch dann im Prinzip nur das Echo Reply für den Browser deaktivieren. Damit ein Portscan aus dem Netz nichts findet. Ich habe einige Ports die ich partout nicht mit Kerio Personal Firewall sperren kann. Wenn ich die Firewall des Routers aktiviere sind diese Ports aber dicht.
> Im Prinzip nimmt ja nicht der Computer irgend etwas an sondern ein > geöffnetes Programm richtig? In diesem Fall(Portscan aus dem Internet) > also der Browser. Wenn man davon ausgeht, dass das Programm nicht auf dem Computer läuft... Aber da wird's langsam Haarspalterei. Begriffsklärung: Computer = Hardware + gesamte Software. Die Hardware nimmt normalerweise nichts an sonder reicht alles durch. Das Betriebssystem nimmt manche Verbinungen bereits selber entgegen (Port 135 beispielsweise). Und welche Ports ein Programm annimmt, bestimmt das Programm in Zusammenspiel mit dem Betriebssystem. Ein Internet-Browser kriegt normalerweise vom Betriebssystem nur Pakete aus Verbindungen durchgereicht, die er selbst ausgelöst hat (Ausnahmen: Plugins, ActiveX, Java). > Ich müsste doch dann im Prinzip nur das Echo Reply für den Browser > deaktivieren. Verstehe nicht, was du damit meinst. > Wenn ich die Firewall des Routers aktiviere sind diese Ports aber > dicht. Korrekt. Wobei ein Internet-Access-Router schon allein schon durch die im privaten Raum immer erforderliche NAT Funktion eine zwar nicht narrensichere aber dafür ziemlich unvermeidliche Firewall enthält.
Also generell: Wenn Du sicher gehen willst, dann verkauf Deinen PC, denn 100%ige Sicherheit gibt es nicht. Wenn Du z.B. Port 80 offen lässt, kann auch darüber so einiges rein aber blocken geht nicht, da Du dann nicht mehr surfen kannst. Daher: Gute Firewall und dort nach und nach alles manuell freigeben, was von Dir aus raus und von draussen rein darf. Wenn Du noch keine Liste angelegt hast oder eine vorhandene löschst, dann wird in aller Regel bei jeder Kommunikation beim 1. mal gefragt, ob Du das zulassen willst. Bei Sachen, die Du nicht kennst, kannst Du ja auch erstmal temporär NEIN sagen, dann siehst Du relativ schnell, ob noch alles funzt oder nicht und Du hast den Vorteil, dass Du beim nächsten identischen Zugriff nochmal gefragt wirst und dann schon eher eine Entscheidung treffen kannst. Zu 99% siehst Du aber schon recht schnell, woher die Anfrage kommt oder Du weist, was Du zuletzt gemacht hast und ob die Anfrage zu Deiner letzten Aktion gehört. Portabfragen aus dem Stehgreif an sich zu blocken ist mühsam und gefährlich, lieber die Firewall "zurücksetzen" und situationsbedingt sperren/freigeben (auf Nachfrage der Firewall auf ALLE Kommunikation). Ist ne Firewall (Software) "jungfräulich" und "scharf" konfiguriert, dann frägt sie beim 1. mal einer Verbindung IMMER nach, ob ja oder nein und dann kannst Du auch dauerhaft entscheiden, also je nach Verbindungsstellen und nicht nach nur rein nach Ports. Firewalls in Routern (oder sonstiger Hardware) sind im eigentlichen Sinn keine Firewalls, sondern stupide Portblocker.
> Firewalls in Routern (oder sonstiger Hardware) sind im eigentlichen Sinn > keine Firewalls, sondern stupide Portblocker. Nein. Das sind vollwertige Firewalls, die von außen nur das durchlassen, was von innen initiert auf Ports initiert wurde, die freigegeben sind. Zudem kann man sog. Pinholes definieren, das sind Ports, durch die auch von außen eine Verbindung aufgebaut werden kann - z.B. für Peer to Peer - Software.
> Wenn Du z.B. Port 80 offen lässt, kann auch darüber so einiges rein aber > blocken geht nicht, da Du dann nicht mehr surfen kannst. Richtung ist wichtig. 80 raus ja, 80 rein nein: du kannst Surfen aber andere kommen nicht rein. Betriebssystem-Bugs wie hijacken bestehender TCP Sessions mal ausgenommen. > Firewalls in Routern (oder sonstiger Hardware) sind im eigentlichen Sinn > keine Firewalls, sondern stupide Portblocker. Wo genau ziehst du die Grenze zwischen der Software eines Routers und der Software einer Firewall? Klar ist das nicht das gleiche, aber beide stellen üblicherweise Software dar, die auf oder in einem mehr oder weniger bekannten Betriebssystem läuft.
> Klar ist das nicht das gleiche, aber beide stellen üblicherweise > Software dar, die auf oder in einem mehr oder weniger bekannten > Betriebssystem läuft. Das sind natürlich getrennte Module mit eigenen Schnittstellen und Einstellungsmöglichkeiten - Die Zeiten von monolithischem Spaghetti-Code dürften auch in dieser Branche vorbei sein...
>Im Prinzip nimmt ja nicht der Computer irgend etwas an sondern >ein geöffnetes Programm richtig? In diesem Fall(Portscan aus >dem Internet) also der Browser. > >Ich müsste doch dann im Prinzip nur das Echo Reply für den >Browser deaktivieren. Damit ein Portscan aus dem Netz nichts >findet. Ich habe einige Ports die ich partout nicht mit Kerio >Personal Firewall sperren kann. Wenn ich die Firewall des >Routers aktiviere sind diese Ports aber dicht. Nein, irgendwelche Programme koennen an irgendwelchen Ports horchen. Es muessen nicht mal Applikationen sein, sondern auch im Hintergrund laufende Services. Neben den ueblichen Verdaechtigen, Browser, Mail-und Newsclient, auch die LAN Funktionalitaeten, gesharte Medien, Printerserver, Chat und Telephonie with ICQ & Skype, usw. Eine vernuenftige Software Firewall, wie zB Zonealarm zeigt eine Liste was alles durchgehen will und darf und in welche Richtung. Mit einer Hardware Firewall ist eine software Firewall uebrigens nicht vom tisch, denn nur die Software firewall kann zeigen welche Applikation was machen will.
es dreht sich konkret um folgendes Problem. Wenn ich auf die Seite www.port-scan.de gehe und auf TCP-Scan gehe findet er folgende Port die komplett offen sind. 443(HTTPS) 8085 9000 10000 jetzt habe ich in der Firewall probeweise eingestellt das der Port 443 für alle Programme und folgende Remoteadressen und Protokolle gesperrt ist 0.0.0.0-255.255.255.255 Protokoll UDP, TCP ICMP und IGMP also komplett alles was es gibt. Habe auch eine Warnmeldung eingestellt. dann noch ein Portscan und www.port-scan.de meldet den Port weiterhin als offen. Vorhin wil die Freundin was überweisen und Onlinebanking wird ja logischerweise verschlüsselt also über 443 abgewickelt udn es kommt die Warnmeldung. Wo liegt jetzt das Problem, ist es irgend ein Dienst der hier dazwischen funkt. Wenn ich die Firewall des Routers aktiviere zeigt der Scan keinen offenen Port an.
Wenn du einen Router zwischen PC und Internet hast, und im Router kein Port-Forwarding eingerichtet ist, dann sind das offene Ports im Router, nicht im PC, und Verbindungen auf diese Ports landen auch nicht auf dem PC. Der HTTPS-Port beispielsweise könnte dafür eingerichtet sein, den Router von aussen administrieren zu können. Was der Rest ist, weiss nur der Hersteller vom Router - und evtl. ein paar Leute in Foren zu diesem Gerät.
vielleiht hängt es damit zusammen, dass sich einige Router per Internet managenlassen. Dies geschieht dann meistens per https://xyz -> also Port 443. Die Webseite, die Deine IP geprüft hat, hat also unter Umständen den offenen Port zu Recht erkannt. Das kannst Du aber schnell herausfinden, indem Du einfach mal https://DeinerInternetIP eingibst. Wenn die Config-Seite Deines Routers aufgeht, ist ein Häkchen bei "Konfiguration über Internet zulassen" (o.ä.) gesetzt. Gruß!
Am Router kann man auch noch das Routerprotoll RIP einstellen. Darueber koennen Router miteinander reden. Das gehoert natuerlich abgeschaltet. Mach alles zu. Wenn du nicht server spilest ist das gut so.
ja so ein shit man kommt da wirklich auf die Passwortabfrage des Routers, dachte das dieser das nur innen zulässt. Gut das ich das Passwort gewechselt habe, wobei wenn ich das Passwort eingeben sich nichts mehr tut also selbst nach 10 Minuten gehts nicht weiter, komisch Die Firewall des Routers aktiviert Stateful Inspection Packet Firewall, also unaufgeforderte Pakete werden nicht angenommen. Für Skype wäre das natürlich fatal wenn mir jemand ne Datei schicken möchte dann ist das ja was nicht angefordertes oder wird das dann durch Skype extra angefordert?
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.