NeuerOPF Geschrieben 11. April 2009 Geschrieben 11. April 2009 Hallo. Da ich in Zukunft von unterwegs auf meinen PC zu Hause zugreifen möchte, benutze ich DynDNS. Nun habe ich festgestellt, dass ich eine "Antwort" auf den Ping von meinen DynDNS-Namen bekomme. Welche Ports muss ich in der Fritzbox sperren, damit ich keine Antwort auf meinen Ping mehr kriege. mfg NeuerOPF Zitieren
Thanks-and-Goodbye Geschrieben 11. April 2009 Geschrieben 11. April 2009 Portsperren bringen nichts, da nicht dein lokaler PC auf den Ping antwortet, sondern das externe Interface deiner Fritzbox. Zitieren
e@sy Geschrieben 11. April 2009 Geschrieben 11. April 2009 Wenn ich mich recht erinnere gibt es da keinen Port weil das Pingen über ein Protokoll läuft. Bin mir aber jetzt nicht sicher. Zitieren
NeuerOPF Geschrieben 11. April 2009 Autor Geschrieben 11. April 2009 Dagegen lässt sich nichts machen... nehme ich mal an oder? Zitieren
Thanks-and-Goodbye Geschrieben 11. April 2009 Geschrieben 11. April 2009 Naja... man müsste mal schauen, ob ICMP Replys auf dem externen Interface der FB geblockt werden können. Ist dann allerdings die Frage, ob DynDNS dann noch läuft. Zitieren
NeuerOPF Geschrieben 11. April 2009 Autor Geschrieben 11. April 2009 Jemand eine Idee? Also laut CT Netzwerkcheck kriege ich folgende Erkenntnisse: Ihr System antwortet auf ICMP-Pakete. Und es sind 18 Ports offen. Zitieren
Thanks-and-Goodbye Geschrieben 11. April 2009 Geschrieben 11. April 2009 Naja... Antwort auf ICMP heisst ja nur, dass sie anpingbar ist... mehr nicht... also weder böse noch gut. Welche Ports nun von extern offen sind, sein sollten oder besser nicht offen sein sollten kann man dir nur beantworten, wenn du mal sagst, welche Ports angemeckert werden. Zitieren
NeuerOPF Geschrieben 11. April 2009 Autor Geschrieben 11. April 2009 Na gut... dann leiste ich mal meinen Offenbarungseid. Die Ports sind: Port Name Status Erläuterung 25 smtp gefiltert Mail-Server (SMTP) 53 domain gefiltert DNS 80 www gefiltert Web-Server 135 loc-srv gefiltert MS-RPC 137 netbios-ns gefiltert NetBIOS Name Service 138 netbios-dgm gefiltert NetBIOS Datagram Service 139 netbios-ssn gefiltert NetBIOS Session Service 443 https gefiltert Web Server (HTTPS) 445 microsoft-ds gefiltert SMB over TCP 1214 kazaa gefiltert Kazaa Standard-Port 1433 ms-sql-s gefiltert MS SQL Server 1900 nicht reserviert gefiltert Universal PnP 3389 nicht reserviert gefiltert MS Terminal Services 4662 nicht reserviert gefiltert Standard-Port eDonkey 5800 nicht reserviert gefiltert VNC via HTTP 5900 nicht reserviert gefiltert VNC 6667 ircd gefiltert IRC Server 6881 nicht reserviert gefiltert Bittorrent Standard-Port Zitieren
Thanks-and-Goodbye Geschrieben 11. April 2009 Geschrieben 11. April 2009 "Gefiltert" heisst, dass die Ports eben nicht erreichbar sind. heise Security - c't-Netzwerkcheck Hast du einen Scan auf deinen Rechner oder deinen Router durchgeführt? Zitieren
NeuerOPF Geschrieben 11. April 2009 Autor Geschrieben 11. April 2009 Auf meinen Rechner. Die ICMP-Pakete lassen sich nicht blocken?!?!? Jetzt hab ich nochmal einen Router-Scan durchgeführt. Dabei kommt das raus: Port Name Status Erläuterung 21 gefiltert FTP-Server 22 gefiltert Secure Shell (SSH) 23 gefiltert Telnet-Server 53 gefiltert DNS 69 gefiltert Trivial FTP 80 gefiltert Web-Server 113 geschlossen identd (Auth) 443 gefiltert Web Server (HTTPS) 515 gefiltert Druck-Server (LPD) 631 gefiltert Druck-Server (IPP/Cups) 1701 gefiltert VPN-Server (L2TP) 1723 gefiltert VPN-Server (PPTP) 1900 gefiltert Universal PnP 5000 gefiltert Universal PnP 8080 gefiltert HTTP Proxy Zitieren
Thanks-and-Goodbye Geschrieben 11. April 2009 Geschrieben 11. April 2009 ?!?!?Ist das nun eine Frage oder ein Ausruf oder wird hier eine Aussage bestätigend in Frage gestellt oder soll eine Frage bekräftigt werden oder was soll das? Und ansonsten ist das auf der Heise Seite ziemlich nett beschrieben. Zitieren
NeuerOPF Geschrieben 11. April 2009 Autor Geschrieben 11. April 2009 (bearbeitet) Ist natürlich eine Frage. Ihr System antwortet auf ICMP-Pakete. Das ist das normale Verhalten eines Systems ohne vorgeschaltete Firewall. Da von diesen Ping-Anfragen keine direkte Gefahr ausgeht, müssen Sie das nicht ändern. Allerdings können Angreifer damit sehr einfach feststellen, dass die Adresse gerade benutzt wird, sie also ein potenzielles Opfer gefunden haben. Bearbeitet 11. April 2009 von NeuerOPF Hinzufügen von Text Zitieren
Eye-Q Geschrieben 11. April 2009 Geschrieben 11. April 2009 1. Solange Du nur die Portweiterleitungen im Router eingetragen hast, die Du benötigst, können auch nur diese Ports offen sein (außer UPnP ist eingeschaltet und irgend ein Dienst im LAN fordert eine Öffnung an, deswegen sollte UPnP deaktiviert werden). 2. Deswegen solltest Du bei den Diensten, die Du nach außen über DynDNS veröffentlichen willst (auch wenn nur Du die Adresse kennst - per zufäligem Portscan auf den IP-Adressbereich, in dem der Router hängt, kann man die Dienste ja auch lokalisieren), sicherstellen dass diese keine Sicherheitslücken haben, die den Rechner ggf. angreifbar machen. Zitieren
hades Geschrieben 12. April 2009 Geschrieben 12. April 2009 (bearbeitet) Ein Fernzugriff auf ein System erfolgt grundsaetzlich verschluesselt, sonst brauchst Du keine Firewall. Einfach nur DynDNS aktivieren und dann mit -im Normalfall- unverschluesselten Protokollen wie VNC oder nur sehr schwach verschluesselten Protokollen wie RDP (RemoteDesktop) weiter auf einen Windows-PC reicht nicht aus. D.h. Du solltest Dich weiter informieren bevor Du Deinen PC aus dem Internet erreichbar machst. Bearbeitet 12. April 2009 von hades Zitieren
Thanks-and-Goodbye Geschrieben 12. April 2009 Geschrieben 12. April 2009 Wobei die FB 7270 mit der aktuellen Firmware einen eigenen VPN Server mitbringt, der Zugriff auf die USB-Devices ermöglicht. Siehe bei AVM im Serviceportal zur FB 7270 und in der aktuellen c't (9/1009) auf Seite 174. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.