[Hinweis] Gefahren durch Port-Freischaltungen
-
Wenn Du Dich per VPN bei Dir zu Hause einwählen willst dann musst Du einen Port aufmachen. Das geht gar nicht anders.
Welcher Port das ist 443 oder ein anderer ist eigentlich egal. Dein VPN Client muss wissen welchen Port er verwenden muss.
Ich sage eigentlich da viele Wifi oder bsp. Gastzugänge von Freunden oder Unternehmen aus “Ihrem Netzwerk” z.b. Nur E-Mail und www Verkehr zulassen. Und wie machen die das? Die sagen einfach: die standard ports schalten wir frei: z.b. 80 für http oder 443 für https oder 25 für E-Mail (plaintext) oder 465/587 E-Mail via TLS (verschlüsselt ähnlich wie https).
Wenn du Dein VPN aus deinem Netzwerk erreichen willst und das hinter einem Port liegt der nicht freigeschaltet ist kannst du dich nicht verbinden.
Du kannst also Port 443 benutzen um auf Dein VPN zuzugreifen. Das ist nicht mehr oder weniger sicher als jeder andere x beliebige andere Port.
Was wichtig ist das Dein VPN verschlüsselt ist und du eine starke Authentifizierung durchführst.
Dazu muss ich mal was fragen: Der Check sagt mir, dass der Port 443 offen ist. Ich habe eine Fritzbox und dort VPN eingerichtet. Ich bin der Meinung, das ging damals nicht einzurichten, ohne nach außen zu öffnen (https). Ich habe den Port nun erstmal umbenannt. Nur ganz deaktivieren kann ich nicht, da sonst mein VPN nicht funktioniert. Wie habt ihr das gelöst ? Viele haben doch VPN über die Fritzbox, da müsste also bei denen immer ROT sein in dem Heise Test ? Ansonsten ist bei mir alles Grün, Router Test usw.
Gruß Holger
Hast du Zufällig einen Enigma2 Receiver? -
Ich habe mal über shodan meine ip gescannt.
Es wird irgendein port 8089 angezeigt obwohl ich in der Fritzbox kein Port offen habe.
Muss ich mir sorgen machen ?
4720_8089.jpg -
Steht bei sohan von wann das Ergebnis ist? Das kann noch von jemand sein der vorher deine IP hatte.
Hiermit kannst du deine eigene IP/ den Port scannen.
-
Steht bei sohan von wann das Ergebnis ist? Das kann noch von jemand sein der vorher deine IP hatte.
Hiermit kannst du deine eigene IP/ den Port scannen.
Da steht Last Update 2018-12-10T18:50:29.288279
Bei Port Scanning bekomme ich folgendes als Ausgabe
"Meine IP " is responding on port 8089 ()
-
-
Wenn der responding ist dann ist er offen ja.
Aber das die Fritzbox das nicht anzeigt ist sehr merkwürdig. Sicher das deine IP die richtige ist?
Schau auch mal ob der fritzbox ob die UPNP portfreigaben erlaubt. Evtl hat ein Gerät selbst einen Port aufgemacht.
-
Und was sagr heise
https://www.heise.de/security/dienste/p … ?scanart=1
Gruß
Rainer `
Da scheint es ok zu sein.
Hhhm komisch, hatte mal irgendwo gelesen das die Fritzbox auch einen Port benutzt für die Fernwartung.
Kann das sein?
Geräte in der Fritzbox alle durchgeschaut, es ist keine Selbstständige Portfreigaben für diese Gerät aktiviert.
4720_check.jpg -
Gerade nochmal bei Shodan gescannt und jetzt kommt Port 5060 obwohl ich nichts verstellt hatte.
4720_shodan.jpg -
Hast du einen all ip Anschluss?
Sip ist für Telefonie
Wenn der zu ist kannst du nicht telefonieren
Gruß
Rainer
-
Hast du einen all ip Anschluss?
Sip ist für Telefonie
Wenn der zu ist kannst du nicht telefonieren
Gruß
Rainer `
Ja habe o2 voip
-
Also zum Thema shodan und "scannen": Soweit mir bekannt ist kann man mit shodan selbst keinen scann auslösen (bitte korrigiert mich wenn das nicht stimmt.)
Das geht nur mit einem Premium account.
shodan scannt selbst das internet aber wenn man nach seiner IP sucht dann sind das die Ergebinsse des letzen scannes den shodan ausgeführt hat und die Daten können noch von jemand stammen der Eure IP vorher hatte.
vg
sabix
-
Moin,
Port 8089 wird z.B. von der Fritzbox geöffnet, wenn man automatische Einrichtung durch den Diensteanbieter erlaubt. (Internet >> Zugangsdaten >> Anbieterdienste)
-
Was soll man da sagen.
Wer so "blöd" ist den Menüpunkt "Selbstständige Portfreigaben für dieses Gerät erlauben." auszuwählen, hat es nicht besser verdient.
Zum Glück sind wirklich nur wenige so unschlau.
Vorallem WOFÜR ?!
Ist ja nicht so als würde Iobroker mit dynamischen Ports um sich schmeissen.
-
Wenn Du Dich per VPN bei Dir zu Hause einwählen willst dann musst Du einen Port aufmachen. Das geht gar nicht anders.
Gruß Holger `
Das Stimmt so nicht. Wenn du den VPN auf deinem Router terminierst (heißt VPN Server ist auf dem Router, kann z.B. jede Fritzbox) muss kein Port geöffnet werden!
Unser Sohn jedoch hat Portfreigaben für Teamspeak und eventuell das eine oder andere Onlinespiel. Das funktioniert ja nicht ohne Portfreigaben und Weiterleitung an seinen PC. Fällt das auch unter die Risiken? Wenn ja, wie habt ihr das gelöst? `
Portfreigaben für ein Online Spiel? Welches Online Spiel verlangt nach einer Portfreigabe? Mein Sohn zockt auch nur Online und wir haben noch nie einen Port freigeben müssen.
Hier könnt ihr gerne auch nochmal lesen bzgl. Port Öffnungen und VPN. –> viewtopic.php?f=8&t=6758&hilit=6490
-
Das Stimmt so nicht. Wenn du den VPN auf deinem Router terminierst (heißt VPN Server ist auf dem Router, kann z.B. jede Fritzbox) muss kein Port geöffnet werden! `
Das ist dann vielleicht keine „Port-Weiterleitung“ auf ein anderes internes Gerät als den Router aber ein Port ins Internet wird dennoch geöffnet (zum Router als Ziel).
-
Natürlich muß am Router ein Port offen sein, aber natürlich nicht aud den PC weiterleiten.
Und wie gesagt, ein offener Port ist noch nicht böse. Jeder Webserver ist über Port 80 erreichbar (also offen), sonst geht es nicht.
-
Das ist dann vielleicht keine „Port-Weiterleitung“ auf ein anderes internes Gerät als den Router aber ein Port ins Internet wird dennoch geöffnet (zum Router als Ziel). `
Dieser "Port", der keiner ist ist eh immer offen und nennt sich Internetverbindung. Wenn Dein Router vom Internet aus nicht erreichbar wäre, könnte keine Website, die Du gerade besuchst oder kein sonstiger Server Daten an Deinen Router schicken, damit dieser die Daten im internen Netzwerk verteilt. Eine VPN-Verbindung ändert daran dann nix, außer dass der Router dann eben von einem weiteren Server Daten bekommt, die er dann aber selbst verarbeitet und nicht direkt ins interne Netz weiterleitet.
Wer auf Nummer sicher gehen will oder muss, dem bleibt leider nur Stecker ziehen, aber ansonsten ist der Router zwangsläufig mit dem Internet verbunden (sowohl eingehend als auch ausgehend!). :mrgreen:
Gruss, Jürgen
-
Das ist dann vielleicht keine „Port-Weiterleitung“ auf ein anderes internes Gerät als den Router aber ein Port ins Internet wird dennoch geöffnet (zum Router als Ziel). `
Dieser "Port", der keiner ist ist eh immer offen und nennt sich Internetverbindung. Wenn Dein Router vom Internet aus nicht erreichbar wäre, könnte keine Website, die Du gerade besuchst oder kein sonstiger Server Daten an Deinen Router schicken, damit dieser die Daten im internen Netzwerk verteilt. Eine VPN-Verbindung ändert daran dann nix, außer dass der Router dann eben von einem weiteren Server Daten bekommt, die er dann aber selbst verarbeitet und nicht direkt ins interne Netz weiterleitet.
Wer auf Nummer sicher gehen will oder muss, dem bleibt leider nur Stecker ziehen, aber ansonsten ist der Router zwangsläufig mit dem Internet verbunden (sowohl eingehend als auch ausgehend!). :mrgreen:
Gruss, Jürgen `
Nein, das ist falsch!
Eine „Internetverbindung“ besteht aus eingehenden und ausgehenden Verbindungen.
Damit Du eine Webseite besuchen kannst muss KEIN Port geöffnet sein. - das sind ausgehende Verbindungen. Die lässt dein Router automatisch zu.
Wenn jemand (bsp. Du selber) von außen auf Dein VPN zugreifen möchtest musst du einen Port freigeben. Dabei ist es irrelevant ob der Port bei dem Router endet oder auf ein anderes Gerät im internen Netzwerk zeigt.
Viele Grüße
Sabix
-
Also ich sehe das ein bischen anders. Wenn ich eine Website besuche, dann liefert der Webserver mir an den Router die Daten auf einem Port, den die beiden für diese Verbindung dafür verhandelt haben. Und dann ist dieser Port für diese Verbindung eben geöffnet. Und wenn dort Daten kommen, die für ihn Sinn ergeben (erwartet werden) dann wird er die verarbeiten. Und genauso sehe ich das bei VPN. Der Router erwartet auf einem bestimmten Port Daten, und wenn etwas kommt, mit dem er arbeiten kann, dann wird er auch das tun.
Für den User ist in beiden Fällen keine manuelle Portöffnung nötig. Und wenn er nicht möchte, dass irgendwelche Daten seinen Router überhaupt erreichen können, hilft nur Stecker ziehen. Ansonsten ist der Router zwangsläufig mit dem Internet verbunden und wird sehr viele Daten und Zugriffe abbekommen, die er (hoffentlich) aber zuverlässig blockt, weil sie eben auf Ports einlaufen, auf denen das nicht erwartet wird bzw. weil die Daten so wie sie kommen für den Router keinen Sinn ergeben.
Deswegen hatte ich ja auch vom "Port" der keiner ist geschrieben. Auch ohne Portöffnungen ist der Router von außen erreichbar, also mit dem Internet verbunden, er wird nur eben alle Daten verwerfen, die er nicht brauchen kann. Mit einer (manuellen oder auch für VPN vom Router erstellten Portregel) sage ich dem Router nur, dass eine bestimmte Art von Daten (die auf dem und dem Port ankommen, das und das im Header enthalten usw.) eben doch nicht gefiltert und verworfen werden sollen, sondern er die bitte verarbeiten soll.
Aber genug philosophiert. Georgius hatte es ja im Prinzip schon perfekt geschrieben: Ein offener Port (ob selbst geöffnet oder vom Router) per se ist noch nicht böse. Böse wird es erst, wenn der Router etwas ins Netz weitergibt, was er besser sofort verworfen hätte.
Gruss, Jürgen
-
Jein, das mit den zurückkommenden Daten ist zwar nicht falsch wenn eine Webseite aufgerufen wurde. Hat aber nichts mit Portfreischaltungen zu tun.
Es kommt darauf an wie die Verbindung initiiert wird: entweder von innen nach außen, oder von außen nach innen. Dein Beispiel mit dem Besuch der Webseite. Dafür benötigst Du keine Portfreuschaltung.
Soll aber eine Verbindung von außen nach innen bsp VPN initiiert werden dann benötigst Du eine Port Freigabe.
