Offene Ports = Sicherheitsrisiko?

Hallo zusammen,
um mit meiner PS4 mehr oder weniger Problemlos Online spielen zu können, musste ich bei meiner EasyBox einige Ports freigeben. Der Status ist nach der Freigabe NAT 2, vorher war es NAT 3. Hab es nach einer Anleitung gemacht, die ich im Netz gefunden habe. Allerdings habe ich jetzt doch einige Bedenken, was die Sicherheit betrifft, schließlich sind im Haushalt noch Zwei Notebooks. 

Werden einzelne Ports denn von mehreren Geräten genutzt? Ich habe z.B. den Port 80 auf Trigger Type und bei Public UDP gesetzt. Hat das jetzt Auswirkungen auf die anderen Geräte? Könnte ich die Ports nur für die PS4 freigeben?
Die sichereste Variante wäre wohl den Router zu wechseln, z.B. zu einer Fritzbox. Da spielt Vodafone leider nicht mit. 

Also meine Frage. Soll ich die Ports wieder schließen oder sind meine Sorgen unbegründet? Würde mich über eine Antwort freuen, danke!

Hallo Nimbus,

Könnte ich die Ports nur für die PS4 freigeben?

„Ja“, bei der Freigabe im Router müsstest du die Möglichkeit haben, der Freigabe (dem Port) eine feste interne IP zu vergeben, also genau die IP deiner PS4, wenn der Router das macht was er soll, dann sollte das kein Problem darstellen.

Die sichereste Variante wäre wohl den Router zu wechseln, z.B.
zu einer Fritzbox. Da spielt Vodafone leider nicht mit. 

Echt? Kann man keine Fritzbox mit Vodafone benutzen? Erkundige dich da noch mal, kann ich erst mal nicht glauben, wenn doch…

Also meine Frage. Soll ich die Ports wieder schließen oder
sind meine Sorgen unbegründet? Würde mich über eine Antwort
freuen, danke!

Ich bin jetzt kein Netzwerk/Systemfachmann aber wenn du den Port an eine feste IP bindest sollte das kein Problem sein. Ansonsten gibt es bestimmt Leute hier, die mehr Ahnung von der Materie haben als ich und Einwand einlegen. Zusätzlich hast du ja an den Notebooks eine aktive Firewall?

Um dich zu beruhigen, wenn man keinen groben Unfug betreibt, ist es von außen nahezu unmöglich sich in ein privates Netzwerk zu hacken (gehackt wird man immer von innen, also mache dir lieber mehr Sorgen darüber, von wo du welche Programme lädst und welche Seiten du aufrufst), die Leute (kleiner Prozentteil, die so was evtl. könnten (Fragments), für die bist die uninteressant.

Gruß XXD

Hallo Nimbus,

Könnte ich die Ports nur für die PS4 freigeben?

„Ja“, bei der Freigabe im Router müsstest du die Möglichkeit
haben, der Freigabe (dem Port) eine feste interne IP zu
vergeben, also genau die IP deiner PS4, wenn der Router das
macht was er soll, dann sollte das kein Problem darstellen.

Zur Info: Es würde unter dem Stichwort Portweiterleitung zu finden sein.
Dann werden Pakete, die unter Port 80 aus dem Internet scheinbar unaufgefordert am Router eintrudeln genau an ein internes Gerät, nämlich die PS4 weitergegeben - und an sonst keinen.

Mir ist die Port-Freischaltung auch suspekt.

Die sichereste Variante wäre wohl den Router zu wechseln, z.B.
zu einer Fritzbox. Da spielt Vodafone leider nicht mit. 

Echt? Kann man keine Fritzbox mit Vodafone benutzen? Erkundige
dich da noch mal, kann ich erst mal nicht glauben, wenn
doch…

Müsste man mal „Vodafone Routerzwang“ googlen…

Also meine Frage. Soll ich die Ports wieder schließen oder
sind meine Sorgen unbegründet? Würde mich über eine Antwort
freuen, danke!

Ich bin jetzt kein Netzwerk/Systemfachmann aber wenn du den
Port an eine feste IP bindest sollte das kein Problem sein.

Das ist eigentlich Standard.

Ansonsten gibt es bestimmt Leute hier, die mehr Ahnung von der
Materie haben als ich und Einwand einlegen. Zusätzlich hast du
ja an den Notebooks eine aktive Firewall?

Um dich zu beruhigen, wenn man keinen groben Unfug betreibt,
ist es von außen nahezu unmöglich sich in ein privates
Netzwerk zu hacken

Wenn der Router tatsächlich einen Allerweltsport komplett ins Netz durchlässt, dann würde ein einfacher Portscan dies schnell entlarven.
Das sehe ich schon als Sicherheitsrisiko!

Als Abhilfe kann man sich eine „Selbermach-DMZ“ schaffen.

Hinter den Zwangsrouter, der von außen alles durchlässt, hängt man an LAN1 die PS4.
An LAN2 einen eigenen Router, dahinter das Heimnetz.
WLAN am Zwangsrouter ausschalten, Firewall am eigenen Router „dicht“ machen.
Alles gut.

Der Bereich zwischen den beiden Routern ist der, bei dem man von außen angreifbar ist. Aber da hängt ja nur die PS4 dran.
Hinter dem eigenen Router ist man dann wieder im sicheren Netz.

„Ja“, bei der Freigabe im Router müsstest du die Möglichkeit
haben, der Freigabe (dem Port) eine feste interne IP zu
vergeben

Nein, NAT erzwingt vielmehr die Zuordnung einer fixen IP-Adresse. Eine Portweiterleitung ber NAT führt demnach notwendigerweise immer zu genau einem Gerät.

Um dich zu beruhigen, wenn man keinen groben Unfug betreibt,
ist es von außen nahezu unmöglich sich in ein privates
Netzwerk zu hacken

Sorry, aber da hinkst du deiner Zeit arg hinterher. Der Fragesteller nutzt die Easybox von Vodafone, demnach dürfte er hinter einem IPv6 Anschluss sitzen. IPv6 bietet jedem Endgerät (bis zu grob 4 Mrd. x 4 Mrd. pro Haushalt) eine eigene, im Internet direkt rout- und ansprechbare Adresse. Damit ist jeder Dienst, den ein Gerät anbietet, weltweit direkt ansprechbar.

Anders gesagt: Mit IPv6 muss jeder Furz, jeder Dienst, jede Datei- und Druckerfreigabe, jeder Drucker, jedes Faxgerät, jedes Smart- oder Babyphone, jeder Fernseher, jede smarte Waschmaschine, jede Elektrozahnbürste mit WLAN-Anschluss… einzeln und fachgerecht abgesichert werden.

Dank IPv6 und zunehmender Haushaltsgerätevernetzung werden Szenarien wie die Verteilung geklauter Nacktphotos von Hollywoodgrößen in Zukunft wie harmlose Steinzeitstreiche wirken.

Die Easybox setzt dem eine Schranke vor, indem sie - sofern entsprechend konfiguriert - IPv6-Adressen nicht nach innen weiterleitet, sondern intern ein IPv4-Netz aufspannt. Per NAT lassen sich dann beliebige extern ansprechbare private Adressen auf bestimmte Ports auf bestimmten internen Maschinen abbilden.

Aber das ist lediglich eine Option. Wird diese Option nicht genutzt, gibt es keine Trennung zwischen privatem und öffentlichem Netz. Dann ist jedes beliebige Gerät unmittelbar genauso angreifbar, wie jeder andere dedizierte Internetserver auch.

Gruß

Okay also erstmal danke für die sehr interessanten Antworten! Leider kenne ich mich auf dem Gebiet zu wenig aus um den Router richtig und sicher zu konfigurieren und muss darauf vertrauen dass er von Werk aus schon sicher ist, so gut es jedenfalls geht. Natürlich würde es nicht schaden sich in die Materie etwas rein zu arbeiten, man nutzt das Netz und den PC schließlich fast täglich, aber das is wohl leichter gesagt als getan.

Momentan bin ich aber am Überlegen den Provider zu wechseln, was sich anbieten würde, da wir zum Ende des Jahres die Wohnung wechseln. Bis dahin lass ich die Einstellungen wahrscheinlich so und hoffe dass nichts passiert

und muss darauf
vertrauen dass er von Werk aus schon sicher ist, so gut es
jedenfalls geht.

Davon kannst du ausgehen. Nun ist dein Router allerdings nicht mehr original werksseitig konfiguriert. Dennoch haben deine Änderungen - wahrscheinlich - keine gefährlichen Auswirkungen auf deine Notebooks.

Du hast ‚Trigger-Ports‘ geschaltet, und damit hat es eine besondere Bewandnis. Bei einer bidirektionalen Kommunikation wird der Kommunikationsaufbau unter Umständen über einen anderen Port abgewickelt, als später die eigentliche Kommunikation. Z. B. im ‚Steam Game client‘ wird die Kommunikation über Port 1.200 UDB aufgebaut, später aber über die Ports 27.000 - 27.039 TCP/UDP abgewickelt.

Also gibst du als Trigger-Port 1.200 UDP an und als Public Port 27.000 - 27.039 TCP/UDP. Das bedeutet, dass immer dann, wenn ein Gerät von innen nach aussen eine Verbindung auf 1.200 UDP öffnet, der Router Verbindungen über 27.000 - 27.039 TCP/UDP von aussen nach innen zu dem Rechner zulässt, der die Verbindung aufgebaut hat. Davon ist kein anderer PC im lokalen Netz betroffen.

Wenn jetzt aber eines der Notebooks, aus welchem Grund auch immer, ebenfalls eine Verbindung über 1.200 UDP nach aussen aufbaut, wird der Router auch für dieses Notebook die entspr. Rückkanäle öffnen. Allerdings ist es normalerweise sehr unwahrscheinlich, dass ein Notebook eine solche Verbindung aufbaut.

Du hast aber Port 80 als Trigger-Port aktiviert, und da könnt’s gefährlich werden! Denn der Port 80 ist ‚der‘ Allerweltsport, damit wird jedesmal, wenn du an einem der Notebooks surfst, ein Rückkanal zum Notebook geöffnet! Allerdings ein Rückkanal, der auf die Ports beschränkt ist, die du als ‚Public Port‘ eingetragen hast. Und das ist nur dann wirklich eine Gefahr, wenn das Notebook auf diesen Ports einen Dienst anbietet.

Ob das bei dir der Fall ist, können wir nicht beurteilen, denn weder hast du angegeben, welche Public Ports du eingetragen hast, noch wissen wir, welche Dienste auf deinen Notebooks laufen. Zudem wird der Rückkanal wahrscheinlich nicht allgemein extern, sondern nur für die direkt angesprochene externe Adresse geöffnet.

Fazit: Dein Vorgehen reisst Lücken auf, die ein Angreifer gezielt auszunutzen versuchen könnte. In der Praxis halte ich es jedoch für nahezu ausgeschlossen, dass dein Vorgehen für eines deiner Notebooks eine echte Gefahr darstellen könnte.

HTH

Hallo herrmann,

„Ja“, bei der Freigabe im Router müsstest du die Möglichkeit
haben, der Freigabe (dem Port) eine feste interne IP zu
vergeben

Nein, NAT erzwingt vielmehr die Zuordnung einer fixen
IP-Adresse. Eine Portweiterleitung ber NAT führt demnach
notwendigerweise immer zu genau einem Gerät.

Habe seit Jahren keine Portweiterleitung mehr gemacht. Aber stimmt es erzwingt die Zuordnung.(habe grad nachgesehen)

Um dich zu beruhigen, wenn man keinen groben Unfug betreibt,
ist es von außen nahezu unmöglich sich in ein privates
Netzwerk zu hacken

Sorry, aber da hinkst du deiner Zeit arg hinterher. Der
Fragesteller nutzt die Easybox von Vodafone, demnach dürfte er
hinter einem IPv6 Anschluss sitzen. IPv6 bietet jedem Endgerät
(bis zu grob 4 Mrd. x 4 Mrd. pro Haushalt) eine eigene, im
Internet direkt rout- und ansprechbare Adresse. Damit ist
jeder Dienst, den ein Gerät anbietet, weltweit direkt
ansprechbar.

Ok, ich wusste nicht das die Easybox ipv6 Standardeingestellt ist (bin Fritzboxer) und bin bei meiner Aussage auch von ipv4 ausgegangen.

Gruß XXD

Hallo x-storm,

Wenn der Router tatsächlich einen Allerweltsport komplett ins
Netz durchlässt, dann würde ein einfacher Portscan dies
schnell entlarven.
Das sehe ich schon als Sicherheitsrisiko!

Als Abhilfe kann man sich eine „Selbermach-DMZ“ schaffen.

Hinter den Zwangsrouter, der von außen alles durchlässt, hängt
man an LAN1 die PS4.
An LAN2 einen eigenen Router, dahinter das Heimnetz.
WLAN am Zwangsrouter ausschalten, Firewall am eigenen Router
„dicht“ machen.
Alles gut.

Der Bereich zwischen den beiden Routern ist der, bei dem man
von außen angreifbar ist. Aber da hängt ja nur die PS4 dran.
Hinter dem eigenen Router ist man dann wieder im sicheren
Netz.

Für mein eigenes Verständnis: Ich habe einen lokalen Server (Netzwerk ipv4) mit der IP 192.168.178.100 und würde den Port 80 forwarden, für den darauf laufenden Apache.
Der lok. Server besitzt ein spez. konfigurierte Firewall.

Wären meine anderen PC’s usw. sicher (auch wenn z.B. auf dem PC X ein lokaler Apache läuft)?

Ich wäre jetzt davon ausgegangen, dass der Router nur die Pakete an 192.168.178.100 weiterleitet und der Rest meines Netzwerkes „sicher“ ist, oder müsste ich in dem Fall auch so, „selbstmach_DMZ“ einstellen?

Gruß XXD

Hallo,

Ok, ich wusste nicht das die Easybox ipv6 Standardeingestellt
ist (bin Fritzboxer) und bin bei meiner Aussage auch von ipv4
ausgegangen.

Ich kenne die Standardeinstellungen nicht, aber es gibt durchaus auch Mainstream-Provider, die IPv6 im PPP-Dialog mit bekanntgeben. Und ich vermute, dass eine für den Provider vorkonfigurierte FritzBox die IPv6-Adressen/Masken/Routen übernehmen würde.

Ich vermute weiterhin, dass die Standardeinstellung der FritzBox weiterhin ist, dass Verbindungsaufbau über IPv6 von aussen zu einem Rechner hinter der FritzBox per IPv6 verhindert wird.

Von daher erscheint in den Standardeinstellungen die Gefahr durch IPv6 hinter der FritzBox sehr überschaubar.

Sebastian,
IPv6 über Tunnel an FritzBox nutzen

Wenn du die Haustür allen öffnest, die dreimal klingeln, diese Leute dann ins Wohnzimmer schickst, dann scheint das sicher, wenn im Wohnzimmer nichts Wertvolles ist.
Wenn das Wohnzimmer aber Türen in alle Nachbarräume hat - dann würdest du das nicht mehr als ganz so sicher bezeichnen.

Du lässt Hinz und Kunz auf den Server. Was könnte passieren? Wenn einer im Server herumhackt, dann ist er schnell im Rest des Netzes.

Der Charme der DMZ ist es, dass du zwischen deiner Haustür und deinen Zimmer eine Zone schaffst, die „halböffenttlich“ ist. Du lässt die dreifach-Klingeler in den Flur, dort können sie sich deine Bilder an den Wänden anschauen, aber zum Rest der Wohnung kommt die zweite Haustür, wo du nur den rein lässt, den du eingeladen hast.

Ob eine Portweiterleitung auf einen Apache sicher genug ist?
Es gibt niemals ein „sicher genug“.
Ich habe ne Terassentür mit Pilzkopfverriegelung und finde das sicher, andere könnten ohne Gitter vor den Fenstern nicht ruhig schlafen…

Angesichts der Tatsache, dass ein zweistufiges Routerkonzept recht einfach zu realisieren ist, würde ich es dir anraten. Mehr dazu hier:

http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-…