Hallo,
ich möchte vorausschicken das ich nur wenig von Netzwerken bzw Netzwerksicherheit verstehe....
Da ich bemüht bin mein Netzwerk (privat, mit ca. 35 WLAN Geräten) gegen Angriffe aus dem Netz abzusichern, habe ich mal meine eigene IP-Adresse aus dem Terminal heraus mit "nmap xxx.xxx.xxx.xxx -Pn" gescannt; nachfolgend das Ergebnis:

Not shown: 995 filtered ports
PORT STATE SERVICE
25/tcp closed smtp
113/tcp closed ident
1080/tcp closed socks
5060/tcp open sip
8086/tcp open d-s-n

Der offene Port 5060 wird -so vermute ich- von meiner Internettelefonie genutzt und der offene Port 8086 von meiner Überwachungskamera.
Nun zu meiner Frage: Sind diese beiden offenen Ports kritisch ?....und wenn "Ja", was kann ich tun um für mehr Sicherheit zu sorgen?

Danke und Gruss
Chuby

In dem Moment wo du Services egal welcher Art übers Internet zu Verfügung stellst lässt sich dieser Fall nicht vermeiden.
Du solltest alle Komponenten in der "Freigabekette" softwareseitig aktuell halten.
Zusätzlich könntest du eine UTM-Komponente zwischenschalten, die IPS, IDS, AV, usw. beherrscht. Natürlich alles eine Frage der Relation, meiner Meinung nach im Privatbereich aber Kanonen auf Spatzen.
Daher lieber alles aktuell halten, so wenig freigeben wie möglich und ggfs. drüber nachdenken, z.B. die Kameras nur über VPN zugänglich zu machen. Somit hast du noch eine weitere "Schicht" mit wenigstens Benutzername/Passwort dazwischen.

Deinen Hinweis auf die VPN Freigabe für die Kameras werde ich zeitnah umsetzen. Zusätzliche Komponenten möchte ich nicht installieren; zumal ich die von Dir genannte UTM Komponente und die genannten Dienste nicht einmal kenne

Danke für Deine Einschätzung und Deinen Rat.

Gruss Chuby

Erste Frage von wo aus hast Du den Scan gemacht? Aus Deinem internen Netz heraus, oder warst Du mit einem Notebook beim Provider eingeloggt (oder Port Scanner aus dem Netz) und hast von außen auf den WAN Port Deines Routers gescannt?

Ich habe mit meinem MacBookPro aus meinem WLAN heraus einen Port Scan meiner a) externen IP Adresse und b) meiner DynDNS Adresse durchgeführt. Ergebnis in beiden Fällen identisch und wie oben beschrieben.
Gemacht habe ich das Ganze aus dem Terminal heraus mit nmap (Version 7.80) das ich zuvor installiert hatte. Als Schalter habe ich -Pn genutzt....wie von nmap beim ersten scan ohne Schalter vorgeschlagen.

Gruss Chuby

Damit du eine "echte" Sicht auf dein Netzwerk bekommst, musst du von Außen scannen. Intern siehst du auf dem WLAN-Interface der Fritzbox möglicherweise andere offene Ports, als auf dem WAN-Interface.

nmap scannt per se nur eine vordefinierte Port-Range und auch nur tcp. Da wird möglicherweise noch mehr laufen. Also brauchst du sowas wie -p1-65535 / -p-. Auf die Schnelle z.B.

Sinnvoll ist direkt mit -sV zu scannen, dann bekommst du Versionsinformationen der Dienste.
und einen 2. Scan mit -sU - für udp. Allerdings nur begrenzt aussagekräftig, weil bei udp die Antwort fehlt.

Wenn du keine weiteren Port-Freigaben in der Fritzbox gemacht und UPnP oder selbstständige Freigaben deaktiviert hast, dann solltest du auch nur das sehen, was die Fritzbox selbst braucht (SIP, den Config-Port deines Providers und natürlich deine Kamera).

Um deine internen Geräte zu schützen, kannst du nmap auch mal auf das ganze interne Netz loslassen. Aber das wird dann bei der Auswertung was für nen echten Spezialisten.

HTH

Peter

Damit du eine "echte" Sicht auf dein Netzwerk bekommst, musst du von Außen scannen. Intern siehst du auf dem WLAN-Interface der Fritzbox möglicherweise andere
[/quote]

Danke Dir für Deine Hilfe. Ich werde heute mal Deinen Schalterempfehlungen folgen und mehrere scans laufen lassen. Vielleicht aber noch eine ergänzende Frage an Dich:
Soweit ich das verstehe, hat die Fritz.box 7590 doch eine Hardware-Firewall, die ich selbst gar nicht konfigurieren kann um ggf. irgendwelche Ports zu schliessen...
Welche Router würdest Du denn empfehlen ?

Danke und Gruss Chuby

Ich bin selbst mit der Fritzbox zufrieden so wie sie ist. Ich muss gar keine Ports schließen! Es ist nur das offen, was ich öffne! (neben den systembedingten Ports für SIP oder provider-config).