Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Netzwerke>Sicherheit im Internet bei port-forwarding

Sicherheit im Internet bei port-forwarding

virk
virk13.12.1717:05
Ich habe zwei, drei Fragen bzgl. portforwarding:
Ein Computer C hänge über einen Router (Fritzbox) am Internet:
1) Wie gelangt C ins Internet, obwohl ich nicht explizit port 80 weiterleite? Wird dieser standardmäßig von jedem Router weitergeleitet und/oder übersehe ich das was oder verstehe es nicht?
2) Ist C "geschützter", wenn "nur" port 8443 weitergeleitet wird, als wenn z.B. port 5000-10000 weitergeleitet würde? Wenn ja, warum, bzw. inwiefern?
3) Welcher Art sind überhaupt Attacken, gegen die sich Normalsterbliche wie ich wappnen müssen? Hat jemand von Euch mal ein Problem gehabt?
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0

Kommentare

Mendel Kucharzeck
Mendel Kucharzeck13.12.1717:08
Bzgl. 1) das hier lesen:
0
virk
virk13.12.1717:17
Danke! Heute Abend fällig
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0
MCKG13.12.1718:12
Port Weiterleitung richtest du dann ein, wenn du von außen auf dem Port 80 erreichbar sein willst (z.B. einen eigenen Webserver betreibst).
Wenn du aus deinem Netz abfragen nach "außen" startest, leitet dein Router die Antworten entsprechend an die internen Clients weiter. Aber nur Antworten. Anfragen von außen auf Port 80 (xxx) werden verworfen.

Ohne einen eigenen Server zu betreiben, richtest du keine Port-Forwardings ein.
+2
HumpelDumpel
HumpelDumpel13.12.1718:13
virk
Ich habe zwei, drei Fragen bzgl. portforwarding:
Ein Computer C hänge über einen Router (Fritzbox) am Internet:
1) Wie gelangt C ins Internet, obwohl ich nicht explizit port 80 weiterleite? Wird dieser standardmäßig von jedem Router weitergeleitet und/oder übersehe ich das was oder verstehe es nicht?
Wenn die Anfrage vin innen Kommt geht das über NAT. Wenn die Anfrage aber von außen kommt - wohin damit? Das musst du über Postweiterleitung regeln.
virk
2) Ist C "geschützter", wenn "nur" port 8443 weitergeleitet wird, als wenn z.B. port 5000-10000 weitergeleitet würde? Wenn ja, warum, bzw. inwiefern?
ein einfacher Portscan zeigt mir, welche Türen bei dir offenstehen.
virk
3) Welcher Art sind überhaupt Attacken, gegen die sich Normalsterbliche wie ich wappnen müssen? Hat jemand von Euch mal ein Problem gehabt?
Du bist kein Normalsterblicher: Du bist eine IP wie jede andere auch.
Also werden die Bots kommen und gucken, ob was bei dir zu holen ist.
Wenn du keine Ahnung hast, lass es.
0
maculi
maculi13.12.1718:18
C kommt auch ohne Portweiterleitung ins Netz. Die Weiterleitung wird nur benötigt, wenn er aus dem Netz heraus hinterm Router erreichbar sein soll.
Welcher Port verwendet wird ist zunächst einmal wurscht, es darf nur keiner sein, denn andere Programme verwenden. Aber weniger ist mehr, deshalb nur das aufmachen, was auch unbedingt benötigt wird.
Die Ports als solche sind alle gleich anfällig, deshalb macht es Sinn, den Router so einzustellen, das von aussen kein Portscan möglich ist. Kriminelle machen gern mal einen Scan, und wenn da offene Ports entdeckt werden, dann wird auf dieser Erkenntnis aufbauend weiter angegriffen.
Zu guter Letzt: Ein Problem zu haben ist eines, davon auch zu wissen nochmal ganz was anderes.
+1
HumpelDumpel
HumpelDumpel13.12.1718:38
Hier mal ein Screenshot vom ganz normalen Wahnsinn
0
jogoto13.12.1719:12
@HumpelDumpel
Bei dem Screenshot fällt mir ein, hast Du nicht nach Let’s encrypt gefragt? In Plesk der neuen Version lässt sich das installieren.
0
jogoto13.12.1719:17
@virk
Ich kann nur die Empfehlung aus dem anderen Thread wiederholen Dir eine vernünftige Firewall zu kaufen und Dich entweder darauf schulen zu lassen oder die Einrichtung jemandem, der sich damit auskennt.
+3
HumpelDumpel
HumpelDumpel13.12.1719:24
jogoto
@HumpelDumpel
Bei dem Screenshot fällt mir ein, hast Du nicht nach Let’s encrypt gefragt? In Plesk der neuen Version lässt sich das installieren.
Nein, das verwechselst du. Es ging um HostEurope - man kann ja nicht alle Kunden auf die eigenen Server zwingen, wo wir das Let'sEncrypt-PlugIn mit Plesk natürlich nutzen. Der Screenshot oben ist übrigens das Fail2Ban-PlugIn.
0
HumpelDumpel
HumpelDumpel13.12.1719:26
jogoto
@virk
Ich kann nur die Empfehlung aus dem anderen Thread wiederholen Dir eine vernünftige Firewall zu kaufen und Dich entweder darauf schulen zu lassen oder die Einrichtung jemandem, der sich damit auskennt.
Wenn du Ports aufmachen willst, ist das die richtige Empfehlung.
0
Jaguar1
Jaguar114.12.1708:35
HumpelDumpel
Wenn du Ports aufmachen willst, ist das die richtige Empfehlung.

Da er davon ausgeht, dass er Ports aufmachen muss , um insInternet zu kommen, würde wahrscheinlich sogar schon das überfordern. Man sollte bei einfachen Grundkenntnissen anfangen.
„Die Menschen sind nicht immer was sie scheinen, aber selten etwas besseres.“
0
Skaffen-Amtiskaw
Skaffen-Amtiskaw14.12.1708:55
virk
Ich glaube, du verstehst überhaupt nicht, was “Port-Forwarding” bedeutet und was es bewirkt. Ich rate dir entschieden davon ab, am Router rumzubasteln. Das kann in diesem Fall nur schiefgehen.
+2
gfhfkgfhfk14.12.1710:10
virk
Ich habe zwei, drei Fragen bzgl. portforwarding:
Ein Computer C hänge über einen Router (Fritzbox) am Internet:
1) Wie gelangt C ins Internet, obwohl ich nicht explizit port 80 weiterleite? Wird dieser standardmäßig von jedem Router weitergeleitet und/oder übersehe ich das was oder verstehe es nicht?
Das hängt davon ab, ob man NAT im Netzwerk hat oder nicht. Mit NAT übersetzt der Router die internen Adressen:Port Kombinationen auf Adress:Port Kombinationen des Routers, in die umgekehrte Richtung läuft das genauso ab. Wenn es kein NAT gibt, werden vom Router die Pakete fürs Internet unverändert ins WAN geschickt.
virk
2) Ist C "geschützter", wenn "nur" port 8443 weitergeleitet wird, als wenn z.B. port 5000-10000 weitergeleitet würde? Wenn ja, warum, bzw. inwiefern?
Nein! Alle Ports sind erreichbar, da spielt es keinerlei Rolle, was für ein Nummer er hat.
virk
3) Welcher Art sind überhaupt Attacken, gegen die sich Normalsterbliche wie ich wappnen müssen? Hat jemand von Euch mal ein Problem gehabt?
Es gibt einen ganzen Katalog an möglichen Angriffen: gegen das OS des Webservers (IP Stack von macOS), gegen den Webserver selbst (apache) und gegen die Webanwendung selbst, und es gibt jeweils diverse Angriffsvektoren. Um eine Webanwendung ins Netz zu stellen, muss man erstmal ein Audit davon machen und natürlich muss Euer LAN umgebaut werden. Eine DMZ ist Pflicht! Momentan bist Du so unwissend, dass Du früher oder später in Probleme reinläufst und wahrscheinlich das noch nicht einmal erkennst. Sprich das Rootkit wirst Du wahrscheinlich gar nicht erkennen.
0
Peter Eckel14.12.1710:48
virk
Ein Computer C hänge über einen Router (Fritzbox) am Internet:
1) Wie gelangt C ins Internet, obwohl ich nicht explizit port 80 weiterleite? Wird dieser standardmäßig von jedem Router weitergeleitet und/oder übersehe ich das was oder verstehe es nicht?
Standardmäßig betreiben die wenigsten Router Filterung von innen nach außen. Obwohl es sinnvoll wäre, scheuen die Hersteller von Heimroutern vermutlich aus Angst vor massenweisen Supportanfragen davor zurück, und die Hersteller von "professionellen" Routern gehen davon aus, daß ihre Kunden wissen, was sie tun.

Portweiterleitung ist ein Spezialfall, bei der nicht nur die Filterung, sondern auch destination NAT (also die Übersetzung der externen IP-Adresse in eine, die nur im internen Netz vorhanden ist) eine Rolle spielt. Dabei wird der Port, z.B. 80 für HTTP, der externen Adresse (also derer, die Dir Dein Provider dynamisch oder statisch zuweist) auf den entsprechenden oder einen anderen Port eines der Systeme hinter Deinem Router weitergeleitet.
virk
2) Ist C "geschützter", wenn "nur" port 8443 weitergeleitet wird, als wenn z.B. port 5000-10000 weitergeleitet würde? Wenn ja, warum, bzw. inwiefern?
Nein. Das ist "security by obscurity" und hat noch nie funktioniert. Ein einfacher Portscan z.B. mit nmap und jeder weiß, was hinter jedem Deiner freigegebenen Ports steckt - Hacking auf "script kiddie"-Niveau. Mehr nicht.
virk
3) Welcher Art sind überhaupt Attacken, gegen die sich Normalsterbliche wie ich wappnen müssen? Hat jemand von Euch mal ein Problem gehabt?
Oje. Die Liste wäre lang ...

Ein Problem ist, daß die meisten Angreifer aus dem Netz keinen Unterschied zwischen "Normalsterblichen" und hochrangigen Zielen machen. Da wird dann oft einfach mal eine Reihe Ports aus dem Internet gescannt und darauf mehr oder weniger gezielt mit einem Schrotgewehr eine Reihe von möglichen Verwundbarkeiten ausgelotet. Ganz beliebt sind Angriffe auf SSH, bei denen dann stundenlang alle möglichen Benutzerkonten mit allen möglichen Paßwörtern ausprobiert werden. Wenn der Angreifer einen Joker gezogen hat (mit anderen Worten, wenn jemand dumm genug war, SSH mit aktivierter Paßwortauthentifizierung und einem per Wörterbuchattacke knackbaren Paßwort nach draußen zu exponieren), dann hat er schlimmstenfalls volle Kontrolle über das System und kann alles machen, was besagtes System hergibt: Daten klauen, Backdoors installieren, oder es als Brückenkopf für weitere Angriffe gegen interne oder externe Systeme einsetzen.

Beliebt sind auch Angriffe gegen die gängigen CMS wie Wordpress und Konsorten, die notorisch voller Sicherheitslücken sind, oder gegen IOT-Geräte, die meist nach Verkauf nie wieder ein Sicherheitsupdate bekommen. Der Fall, daß billige Überwachungskameras mit Internet-Anschluß für DDOS-Attacken eingesetzt wurden, ist ja noch kein Jahr her - das ist nur ein Beispiel. Oder die bekannte Attacke gegen Telekom-Plastikrouter, die durch einen Angriff auf Port 2323 lahmgelegt werden konnten (wobei das ja nur ein Seiteneffekt war, der eigentliche Angriff hat schlicht nicht funktioniert).

Bei den Infiltrationen, also der Installation eigener Schadsoftware auf fremden Systemen, kommt oft noch hinzu, daß der Besitzer es meist gar nicht mitbekommt. Die Systeme werden also für die eine oder andere illegale Aktivität benutzt (DDOS, Ablage illegaler Dateien etc.), ohne daß man etwas mitbekommt oder etwas dagegen tun könnte. Irgendwann bekommt man dann einen Brief vom Provider, in dem man aufgefordert wird, das zu unterbinden, und weiß von nichts ... (oder man bekommt Besuch vom Staatsanwalt, weil auf dem eigenen CMS Kinderpornographie gehostet wird, das ist dann weniger lustig).

Zu den Zahlen: Ich habe gerade mal aus meinen Logs die Statistik der letzten Woche gezogen. Vorab eine Anmerkung: Die externen Zugriffe auf SSH sind stark limitiert, und der gängige Mist (z.B. SMB/NetBIOS), der im Sekundenbruchteiltakt hier ankommt, wird gar nicht mehr protokolliert und gleich weggeworfen.



Das ist nur mein kleines Netzwerk mit einem /24 IPv4 und 16 /64 IPv6-Netzen. Mehr als vier Millionen abgewiesene Verbindungen in 7 Tagen, also 6-7 pro Sekunde. Der Löwenanteil kommt (noch) über IPv4. Von denen, die durch diese Schicht durchkommen, wird dann noch der Großteil an den eigentlichen Systemen (Reverse Proxy in der DMZ, Fail2Ban etc.) abgewiesen.

Port forwarding, also das explizite Freigeben externer Adressen für den Zugriff aus dem Internet, ist dabei auch nur eines der möglichen Sicherheitsprobleme. Viele Verbindungen werden auch von innen nach außen aufgebaut (siehe oben: Das filtert kaum jemand) und dann erfolgen die Zugriffe halt darüber. Im Extremfall hat man dann ein infiziertes System im Netz, das Verbindung zu einem externen "Command&Conquer"-Server aufnimmt und sich von dort die Instruktionen holt, was es für Aktionen ausführen soll.

Und zu Frage 2: Nein, ich hatte nie ein Problem. Was allerdings auch mit dem Aufwand zu tun hat, den ich betreibe, um keines zu haben.

Ich kann nur jedem empfehlen, sich sehr genau zu überlegen, was er a) sich ins Netz stellt und b) zum Internet hin exponiert. Und wenn schon, dann per DMZ und nicht mit einem Durchgriff von außen ins interne Netz.

In aller Regel wird es einfacher, billiger und für den Laien überhaupt erst realisierbar sein, sich für externe Dienste wie Webserver etc. entsprechende Leistungen eines Providers (z.B. Hetzner) zu kaufen und das interne Netz internes Netz sein zu lassen.
„Ceterum censeo librum facierum esse delendum.“
+1
virk
virk14.12.1712:00
Danke, danke, für die Beiträge. Mir hilft das weiter. Ich habe mal einen port-Weiterleitung (8443) eingerichtet, um zu sehen, ob damit Kalender sowohl im internen Netz als auch über's Internet synchron gehalten werden können.

(Der eigentliche Anlass für meine Frage war, dass 10.13.2-Kalender abstürzt, wenn der Kalender, wie seit gefühlten 10 Jahren gemacht, auf icalx.com hochgeladen werden soll, damit andere ihn abonnieren können. Da suche ich nach Alternativen…)
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0
gfhfkgfhfk14.12.1713:42
Du solltest ein VPN errichten und dann spricht auch nichts dagegen von außen darauf zuzugreifen. Die Fritzbox ist eher für Privatanwender gedacht. Schau Dir mal an was Lancom o.ä. anbietet.
+2
virk
virk14.12.1714:05
VPN ist bereits eingerichtet und "benutze" ich ab un zu für Bildschirmfreigabe. Nur für einen Kalenderdienst ist das doch relativ doof. Da müsste man um Abfragen, ob neue/geänderte Termine vorhanden sind, sich dafür per VPN verbinden und die Termine zu holen und derjenige, der Termine ändert muss das dann auch über vpn machen. Das relativiert den Zweck des Ganzen ein wenig.
Bislang hatten wir es so (es läuft/lief ein Parallelthread), dass jeder seinen Kalender hochlädt und alle anderen diesen abonnieren. Genau die Funktionalität, die wir brauchten: Jeder sieht alle Kalender, darf aber nur seinen eigenen ändern. Jetzt, wegen crash in 10.13.2, gucke ich mich halt um, was es an Alternativen gibt, die dem bekannten procedere nahekommen. Natürlich hoffe ich, dass sich das eigentliche Problem (crash des calendar-Programms) in Luft auflöst.
„Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.“
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.