mikrocontroller.net

Forum: PC Hard- und Software Frage zu Firewall


Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
habe einen Portscan aus dem Internet durchführen lassen und festgestellt 
das ein paar Ports offen sind. Ich weiß aber nicht so recht wie ich die 
vernünftig dicht machen soll, da ich ja nicht unterscheiden kann obs was 
angefordertes ist oder nicht und jede IP der Seite in die Firewallregeln 
einzutragen der ich diesen Port erlaube wäre doch auch ganz schon 
aufwendig.

Speziell geht es um den Port 443 also HTTPS. Wenn ich z.B. auf einer 
Onlinebanking-Seite bin wird eine HTTPS-Verbindung aufgebaut, also muss 
ich z.B. für meinen Browser das ganze freigeben, nun kann ich ja HTTPS 
z.b. nur für die IP der Onlinebankingseite freigeben.

Ich könnte also als Firewallregel folgendes erstellen, Seamonkey darf 
auf die Seite IP: xyz.xyz.xyz.xyz mittels Port 80 und 443 zugreifen. 
Wenn ich Port 443 für Seamonkey komplett freigebe dann kommt ja alles 
rein unabhängig obs von der Bankseite ist oder nicht. Es muss doch auch 
anderst zu regeln sein das nur angeforderte Sachen über 443 reinkommen 
und nicht alles?

Autor: Roland Praml (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Da wir hier in einem Elektronik-forum sind:

Eine firewall (so wie sie in den meisten Routern implementiert ist) 
funktioniert wie eine Diode:
- alle Verbindungen von innen nach aussen sind erlaubt (raus darf alles)
- Verbindungen von aussen werden abgelehnt (rein darf nichts)

Ersteres kann man noch restriktiver konfigurieren: z.B. nur abgehende 
Verbindungen ZU Port 80, 443 erlauben.

Ebenso kann konfiguriert werden, dass eingehende Verbindungen 
durchgelassen werden, falls du irgendwelche Serverdienste anbieten 
möchtest (z.B. HTTP, FTP oder Filesharing)

Per Default SOLLTE aber ein Router/Firewall auf keine Anfrage von aussen 
antworten, da jeder offene Port eine potentielles Sicherheitsrisiko mit 
sich bringen kann.

Gruß
Roland

Autor: Andreas K. (a-k)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn du selber keine Bank bist, dann baust du von deiner Seite aus HTTPS 
zur Bank auf und nicht umgekehrt. Und zum Grundprinzip von Firewalls 
gehört, dass sie sich merken können, ob eine Verbindung von innen oder 
von aussen gestartet wurde und passende Antworten automatisch 
durchreichen.

Folglich sehe ich keinen Grund, warum du es der Firewall erlauben 
solltest, von aussen auf deinen Rechner  Netz  Router (oder von was 
auch immer du redest) zuzugreifen.

Wofür du Ports von aussen aufmachen und im Fall eines Routers 
durchreichen musst:
- Multiplayer-Games mit Leuten anderswo in der Welt
- Peer-to-Peer File-Exchange
- Wartungszugang von aussen (Vorsicht dabei!)

Wenn nichts von alledem: Dichtmachen.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Im Prinzip nimmt ja nicht der Computer irgend etwas an sondern ein 
geöffnetes Programm richtig? In diesem Fall(Portscan aus dem Internet) 
also der Browser.

Ich müsste doch dann im Prinzip nur das Echo Reply für den Browser 
deaktivieren. Damit ein Portscan aus dem Netz nichts findet. Ich habe 
einige Ports die ich partout nicht mit Kerio Personal Firewall sperren 
kann. Wenn ich die Firewall des Routers aktiviere sind diese Ports aber 
dicht.

Autor: Andreas K. (a-k)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Im Prinzip nimmt ja nicht der Computer irgend etwas an sondern ein
> geöffnetes Programm richtig? In diesem Fall(Portscan aus dem Internet)
> also der Browser.

Wenn man davon ausgeht, dass das Programm nicht auf dem Computer 
läuft... Aber da wird's langsam Haarspalterei.

Begriffsklärung: Computer = Hardware + gesamte Software.

Die Hardware nimmt normalerweise nichts an sonder reicht alles durch.

Das Betriebssystem nimmt manche Verbinungen bereits selber entgegen 
(Port 135 beispielsweise).

Und welche Ports ein Programm annimmt, bestimmt das Programm in 
Zusammenspiel mit dem Betriebssystem. Ein Internet-Browser kriegt 
normalerweise vom Betriebssystem nur Pakete aus Verbindungen 
durchgereicht, die er selbst ausgelöst hat (Ausnahmen: Plugins, ActiveX, 
Java).

> Ich müsste doch dann im Prinzip nur das Echo Reply für den Browser
> deaktivieren.

Verstehe nicht, was du damit meinst.

> Wenn ich die Firewall des Routers aktiviere sind diese Ports aber
> dicht.

Korrekt. Wobei ein Internet-Access-Router schon allein schon durch die 
im privaten Raum immer erforderliche NAT Funktion eine zwar nicht 
narrensichere aber dafür ziemlich unvermeidliche Firewall enthält.

Autor: Der Hubert (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Also generell:

Wenn Du sicher gehen willst, dann verkauf Deinen PC, denn 100%ige 
Sicherheit gibt es nicht.

Wenn Du z.B. Port 80 offen lässt, kann auch darüber so einiges rein aber 
blocken geht nicht, da Du dann nicht mehr surfen kannst.

Daher: Gute Firewall und dort nach und nach alles manuell freigeben, was 
von Dir aus raus und von draussen rein darf. Wenn Du noch keine Liste 
angelegt hast oder eine vorhandene löschst, dann wird in aller Regel bei 
jeder Kommunikation beim 1. mal gefragt, ob Du das zulassen willst.

Bei Sachen, die Du nicht kennst, kannst Du ja auch erstmal temporär NEIN 
sagen, dann siehst Du relativ schnell, ob noch alles funzt oder nicht 
und Du hast den Vorteil, dass Du beim nächsten identischen Zugriff 
nochmal gefragt wirst und dann schon eher eine Entscheidung treffen 
kannst. Zu 99% siehst Du aber schon recht schnell, woher die Anfrage 
kommt oder Du weist, was Du zuletzt gemacht hast und ob die Anfrage zu 
Deiner letzten Aktion gehört.

Portabfragen aus dem Stehgreif an sich zu blocken ist mühsam und 
gefährlich, lieber die Firewall "zurücksetzen" und situationsbedingt 
sperren/freigeben (auf Nachfrage der Firewall auf ALLE Kommunikation).

Ist ne Firewall (Software) "jungfräulich" und "scharf" konfiguriert, 
dann frägt sie beim 1. mal einer Verbindung IMMER nach, ob ja oder nein 
und dann kannst Du auch dauerhaft entscheiden, also je nach 
Verbindungsstellen und nicht nach nur rein nach Ports.

Firewalls in Routern (oder sonstiger Hardware) sind im eigentlichen Sinn 
keine Firewalls, sondern stupide Portblocker.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Firewalls in Routern (oder sonstiger Hardware) sind im eigentlichen Sinn
> keine Firewalls, sondern stupide Portblocker.

Nein. Das sind vollwertige Firewalls, die von außen nur das durchlassen, 
was von innen initiert auf Ports initiert wurde, die freigegeben sind. 
Zudem kann man sog. Pinholes definieren, das sind Ports, durch die auch 
von außen eine Verbindung aufgebaut werden kann - z.B. für Peer to Peer 
- Software.

Autor: Andreas K. (a-k)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Wenn Du z.B. Port 80 offen lässt, kann auch darüber so einiges rein aber
> blocken geht nicht, da Du dann nicht mehr surfen kannst.

Richtung ist wichtig. 80 raus ja, 80 rein nein: du kannst Surfen aber 
andere kommen nicht rein. Betriebssystem-Bugs wie hijacken bestehender 
TCP Sessions mal ausgenommen.

> Firewalls in Routern (oder sonstiger Hardware) sind im eigentlichen Sinn
> keine Firewalls, sondern stupide Portblocker.

Wo genau ziehst du die Grenze zwischen der Software eines Routers und 
der Software einer Firewall? Klar ist das nicht das gleiche, aber beide 
stellen üblicherweise Software dar, die auf oder in einem mehr oder 
weniger bekannten Betriebssystem läuft.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Klar ist das nicht das gleiche, aber beide stellen üblicherweise
> Software dar, die auf oder in einem mehr oder weniger bekannten
> Betriebssystem läuft.

Das sind natürlich getrennte Module mit eigenen Schnittstellen und 
Einstellungsmöglichkeiten - Die Zeiten von monolithischem Spaghetti-Code 
dürften auch in dieser Branche vorbei sein...

Autor: Realschotter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Im Prinzip nimmt ja nicht der Computer irgend etwas an sondern
>ein geöffnetes Programm richtig? In diesem Fall(Portscan aus
>dem Internet) also der Browser.
>
>Ich müsste doch dann im Prinzip nur das Echo Reply für den
>Browser deaktivieren. Damit ein Portscan aus dem Netz nichts
>findet. Ich habe einige Ports die ich partout nicht mit Kerio
>Personal Firewall sperren kann. Wenn ich die Firewall des
>Routers aktiviere sind diese Ports aber dicht.

Nein, irgendwelche Programme koennen an irgendwelchen Ports horchen. Es 
muessen nicht mal Applikationen sein, sondern auch im Hintergrund 
laufende Services. Neben den ueblichen Verdaechtigen, Browser, Mail-und 
Newsclient, auch die LAN Funktionalitaeten, gesharte Medien, 
Printerserver, Chat und Telephonie with ICQ & Skype, usw. Eine 
vernuenftige Software Firewall, wie zB Zonealarm zeigt eine Liste was 
alles durchgehen will und darf und in welche Richtung. Mit einer 
Hardware Firewall ist eine software Firewall uebrigens nicht vom tisch, 
denn nur die Software firewall kann zeigen welche Applikation was machen 
will.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
es dreht sich konkret um folgendes Problem. Wenn ich auf die Seite 
www.port-scan.de gehe und auf TCP-Scan gehe findet er folgende Port die 
komplett offen sind.

  443(HTTPS)
 8085
 9000
10000

jetzt habe ich in der Firewall probeweise eingestellt das der Port 443 
für alle Programme und folgende Remoteadressen und Protokolle gesperrt 
ist
0.0.0.0-255.255.255.255 Protokoll UDP, TCP ICMP und IGMP also komplett 
alles was es gibt. Habe auch eine Warnmeldung eingestellt.

dann noch ein Portscan und www.port-scan.de meldet den Port weiterhin 
als offen. Vorhin wil die Freundin was überweisen und Onlinebanking wird 
ja logischerweise verschlüsselt also über 443 abgewickelt udn es kommt 
die Warnmeldung.

Wo liegt jetzt das Problem, ist es irgend ein Dienst der hier dazwischen 
funkt. Wenn ich die Firewall des Routers aktiviere zeigt der Scan keinen 
offenen Port an.

Autor: Andreas K. (a-k)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn du einen Router zwischen PC und Internet hast, und im Router kein 
Port-Forwarding eingerichtet ist, dann sind das offene Ports im Router, 
nicht im PC, und Verbindungen auf diese Ports landen auch nicht auf dem 
PC.

Der HTTPS-Port beispielsweise könnte dafür eingerichtet sein, den Router 
von aussen administrieren zu können. Was der Rest ist, weiss nur der 
Hersteller vom Router - und evtl. ein paar Leute in Foren zu diesem 
Gerät.

Autor: schlumpf (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
vielleiht hängt es damit zusammen, dass sich einige Router per Internet 
managenlassen. Dies geschieht dann meistens per https://xyz -> also Port 
443.

Die Webseite, die Deine IP geprüft hat, hat also unter Umständen den 
offenen Port zu Recht erkannt.

Das kannst Du aber schnell herausfinden, indem Du einfach mal 
https://DeinerInternetIP eingibst. Wenn die Config-Seite Deines Routers 
aufgeht, ist ein Häkchen bei "Konfiguration über Internet zulassen" 
(o.ä.) gesetzt.

Gruß!

Autor: Realschotter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Am Router kann man auch noch das Routerprotoll RIP einstellen. Darueber 
koennen Router miteinander reden. Das gehoert natuerlich abgeschaltet.
Mach alles zu. Wenn du nicht server spilest ist das gut so.

Autor: Thomas O. (kosmos)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ja so ein shit man kommt da wirklich auf die Passwortabfrage des 
Routers, dachte das dieser das nur innen zulässt. Gut das ich das 
Passwort gewechselt habe, wobei wenn ich das Passwort eingeben sich 
nichts mehr tut also selbst nach 10 Minuten gehts nicht weiter, komisch

Die Firewall des Routers aktiviert Stateful Inspection Packet Firewall, 
also unaufgeforderte Pakete werden nicht angenommen.

Für Skype wäre das natürlich fatal wenn mir jemand ne Datei schicken 
möchte dann ist das ja was nicht angefordertes oder wird das dann durch 
Skype extra angefordert?

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.