NEWS
Steht offen im Internet ???
-
Ich komm nicht drauf.
Ich habe es jetzt 4 mal gelesen.Wenn mein Router das icmp Packt geblockt hat dann ist das doch was gutes, oder.
Google:
Das Internet Control Message Protocol (ICMP) dient in Rechnernetzwerken dem Austausch von Informations- und Fehlermeldungen über das Internet-Protokoll in der Version 4 (IPv4)Wenn kein Austausch stattfinden kann dann ....
Von extern kann ICH auch nicht zugreifen zumal ich ja nur die Win Konsole habe (Eingabeaufforderung) und da kein nmap instlliert werden kann, vermute ich mal da das ja für Linux ist
Es wird ein Geheimnis für mich bleiben und ich hoffe mal das AVM die FB so konfiguriert hat das nix passiert wenn man keine Ports frei gibt.
Trotzdem danke für den Versuch es mir zu erklären.
-
also du sollst die andere Methode nehmen.
Da ist noch ein zusätzlicher Parameter in der Befehlszeile drin.
Dann probiert nmap das nochmal etwas anderes.icmp pakete zu blocken kann ok sein.
leider fehlt uns dadurch die analyse möglichkeit um zu sehen ob ein port offen ist.
zumindest finden ihn andere durch port scan auch nicht.evtl zur info damit du weißt was icmp pakete sind. das ist ein protokoll auf basis tcp/ip, das für das netzwerk management da ist.
dadurch können sich die verschiedenen server/router gegenseitig signalisieren, ob sie erreichbar sind, ob es eine umleitung gibt, etc.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol#:~:text=Das Internet Control Message Protocol,Protokoll mit dem Namen ICMPv6.
das wird von nmap genutzt. es sendet an jeden port ein paket und schaut wie der router darauf reagiert. wenn der router sagt ok, dann ist der port offen, wenn er nicht reagiert, dann wahrscheinlich geschlossen (dein Fall)Dennoch kann ein Port offen sein und andere können Kontakt aufnehmen,
allerdings müssen sie dann direkt eine Verbindung aufmachen und nicht einfach nur ein icmp Päckchen schicken. Das dauert etwas mehr Zeit.
Da diese Art von Hacker/Skriptkiddies/etc aber meist nur die einfachen Ziele angreifen, fällte das dann eher weg. Ziel ist ja meist nur einen weiteren Rechner in ein Bot-Netzwerk mit aufzunehmen, so das man diesen fernsteuern kann um spam-mails zu versenden oder ddos-Attacken zu machen.Ich denke nicht das dein Rechner so interessant ist, das sich da ein hacker persönlich dransetzt und dann eine echte Detailanalyse zu machen.
-
Danke für deine Erklärung und den entscheidenden Hinweis.
Also noch mal gemacht und jetzt kam folgendes raus:pi@raspberrypi:~ $ nmap -Pn -p 1-1024 46.142.65.xxx Starting Nmap 7.80 ( https://nmap.org ) at 2023-09-27 18:48 CEST Nmap scan report for xxx-65-142-46.pool.kielnet.net (46.142.65.xxx) Host is up (0.0033s latency). Not shown: 1023 filtered ports PORT STATE SERVICE 113/tcp closed ident Nmap done: 1 IP address (1 host up) scanned in 6.61 seconds pi@raspberrypi:~ $ nmap -Pn -p- 46.142.65.xxx Starting Nmap 7.80 ( https://nmap.org ) at 2023-09-27 18:48 CEST Nmap scan report for xxx-65-142-46.pool.kielnet.net (46.142.65.xxx) Host is up (0.0022s latency). Not shown: 65527 filtered ports PORT STATE SERVICE 113/tcp closed ident 1080/tcp closed socks 5060/tcp open sip 33298/tcp open unknown 40130/tcp open unknown 53268/tcp open unknown 55735/tcp open unknown 56536/tcp closed unknown Nmap done: 1 IP address (1 host up) scanned in 107.86 seconds pi@raspberrypi:~ $
Sieht das jetzt besser aus? War NICHT über das mobile Netz.
Edit: Habe gesehen das es das Nmap doch auch für Win gibt.
-
@duffy
Leider nicht.
Hast du Dienste laufen die aus dem Internet erreicht werden sollen?Nutzt du für VoIP einen sip Dienst
1080 sieht auch bedenklich aus.
Mach den 2. Scan nochmal
Und dann solltest du es Mal mit einem Scan vergleichen der von außerhalb drauf zugreift.
Wenn es so bleibt dann hast du tatsächlich ein Problem. Schalte Mal im Router bitte upnp aus.
Das ermöglicht Programmen einfach Ports am Router zu öffnen.
Danach Router aus und wieder an schalten
Dann Scan nochmal wiederholenGern kannst du mir per PM Mal deine Ip mitteilen dann scanne ich für dich
Bspw bei mir wird nur 80 und 443 angezeigt.
Aber ich habe hier auch einen Webserver laufen -
Hallo, hier ist etwas schwarmwissen benötigt
bei mehreren scans von ausserhalb auf die öffentliche ip tauchen immer wieder offene ports auf, die man sich nicht erklären kann
5060 ist ok, da sip-gateway für voip-telefon
113,1080,40130 sind bei jedem scan mit aufgelistet worden
die 2 letzten in der liste tauchen mit jeweils unterschiedlichen portnummern, aber immer im hohen bereich immer wieder auf.1080 ist eigentlich für socks zuständig. so ein dienst wird aber nicht genutzt. die liste der portfreigaben in der fritzbox ist leer
PORT STATE SERVICE
113/tcp closed ident
1080/tcp closed socks
5060/tcp open sip
40130/tcp open unknown
46862/tcp open unknown
55322/tcp open unknownfolgende fragen wären zu klären
a) weiß jemand, was da für reguläre dienste noch dahinter stecken kann?
b) wie man herausfinden kann, welcher rechner im LAN diese ports benutztDie Anzahl der Geräte im Netz ist überschaubar
Laptop,
Synology
iobroker raspi
alexa
ipod,iphone
löwe fernseher
und wohl noch ein paar ESPs -
-
@thomas-braun
die ports sind ja auf dem router offen und wahrscheinlich mit upnp geöffnet. aber das ist auch eine vermutung.
ich weiß nicht was die fritzbox da noch macht und daher die ports evtl doch regulär sind.
gerade bei 1080 kann man nachlesen, das dieser port gern von backdoors genutzt wird. auf jeden fall sollte der bei einem normalen konsumenten kein 1080 am router offen sein -
Bin nicht so der Netzwerker, sorry.
Aber FritzBoxen haben doch diese Übersicht. Steht da nix drin?
-
@oliverio Dass Ports per UPNP geöffnet werden, sollte sich doch auch in der Fritzbox deaktivieren lassen? Zumindest habe ich das so in Erinnerung und würde ich jedem empfehlen, das sofort zu deaktivieren. Wenn ports geöffnet werden, dann nur von dem, der sie auch gezielt offen haben will.
Ansonsten hilft wohl nur die Brechstangenmethode. Nach und nach die Gerte ausschalten/vom Netz nehmen und schauen, wie es sich verhält. Irgendwann wird sich wohl ein oder mehrere schuldige finden.Gruss, Jürgen
-
@wildbill sagte in Steht offen im Internet ???:
, sollte sich doch auch in der Fritzbox deaktivieren lassen? Zumindest habe ich das so in Erinnerung und würde ich jedem empfehlen, das sofort zu deaktivi
bei "Geräte dürfen eigenständig Ports öffnen" darf kein Haken sein
-
@homoran Ja, irgendwie so müsste es heissen. Das ist halt ein absolutes Sicherheitsrisiko, dass es Geräten von innen heraus erlaubt wird selbstständig Ports zu öffnen und gehört auf jeden Fall deaktiviert.
Grussm Jürgen
EDIT: Wobei ich meine, mich zu erinnern, dass die Fritzbox doch auch anzeigt, welche Ports per UPnP geöffnet wurden und von welchem Gerät. Kann mich aber auch täuschen, ist schon sehr lange her…
-
@wildbill sagte in Steht offen im Internet ???:
ist schon sehr lange her…
und sieht jedesmal anders aus
-
@wildbill said in Steht offen im Internet ???:
ass Ports per UPNP geöffnet werden, sollte sich doch auch in der Fritzbox deaktivieren lassen? Zumindest habe ich das so in Erinnerung und würde ich jedem empfehlen, das sofort zu deaktivieren. Wenn ports geöffnet werden, dann nur von dem, der sie auch gezielt offen haben will.
Ansonsten hilft wohl nur die Brechstangenmethode. Nach und nach die Gerte ausschalten/vom Netz nehmen und schauen, wie es sich verhält. Irgendwann wird sich wohl ein oder mehrere schuldige finden.ja das wurde gemacht. zunächst upnp deaktiviert, dann alle relevanten geräte ausgeschaltet, dann der router ausgeschaltet, wieder angeschaltet und erneut gescannt.
das ist das gepostete letzte Ergebnis weiter oben.
Leider weiß ich nicht, wann fritzbox/router die upnp freigaben vergessen. ich dachte nach einem neustart, wenn sie dann nicht gleich wieder gesetzt werden.die Ansicht mit den Portfreigaben wurde geprüft. Der Port 46435 hat sich dadurch zumindest geklärt (allerdings ohne zu wissen wofür der ist, in der fritzbox steht was von wartung, im internet ist aber nix dazu zu finden)
die anderen ports sind noch offen
sorgen machen mir immer noch 113 und 1080
113 mach aus meiner Sicht nur innerhalb eines Netzes sinn, ausserhalb wäre es echt gefährlich (sofern auf dem port auch tatsächlich die Anwendung läuft, die für den Port vorgesehen ist)
https://www.speedguide.net/port.php?port=1080
https://www.speedguide.net/port.php?port=113diese beiden seiten sind auch mit entsprechenden warnhinweisen zu Trojaner und backdoors versehen, die diese ports nutzen.
daher auch die frage, üb man über die fritzbox herausfindet, welches gerät im lan diesen port nutzt.
seltsam war auch, das der router icmp-pakete geblockt hat. weiß aber nicht ob das ein standard-verhalten der fritzbox ist.
könnten auch maßnahmen sein um das entdecken der trojaner/backdoors zu erschweren -
@oliverio sagte in Steht offen im Internet ???:
sorgen machen mir immer noch 113 und 1080
Diese beiden Ports werden meines Wissens schon bei einigen Providern "abgefangen" und mit "closed" beantwortet, bevor sie bei der FritzBox ankommen. Da besteht kein Grund zur Sorge, denke ich.
-
in der FritzBox gibt es ein Menu Diagnose - Sicherheit, dort werden alle offenen Ports gelistet mit Beschreibung. Auch evtl. sonstige sicherheitsrelevante (Fehl-)Einstellungen werden detailliert gelistet
-
@oliverio sagte in Steht offen im Internet ???:
seltsam war auch, das der router icmp-pakete geblockt hat. weiß aber nicht ob das ein standard-verhalten der fritzbox ist.
-
@mickym
ah ok,
weiß aber nicht ob derjenige das absichtlich eingestellt hat. -
@marc-berg said in Steht offen im Internet ???:
Diese beiden Ports werden meines Wissens schon bei einigen Providern "abgefangen" und mit "closed" beantwortet, bevor sie bei der FritzBox ankommen. Da besteht kein Grund zur Sorge, denke ich.
sie erscheinen aber auch bei einem scan von innen.
von innen wie von außen kein unterschied -
ich habe aber vor langer Zeit mal gelesen, dass der stealth mode gar nicht so sinnvoll wäre, da die Blockade ja zeigt, dass da jemand ist.
-
@homoran Das bezieht sich glaub weniger auf den stealth mode - sondern meiner Meinung nach, war das wenn man seine WLAN Kennung verbirgt - aber das Ablehnen von ICMP Nachrichten ist bei den Firewalls eigentlich Standard. Ich habs aber auch aus, weil ich das hin und wieder brauche um zu sehen, ob bestimmte Anwendungen in meinem internen Netz erreichbar sind.
Ich glaub sogar dass dieser Filter standardmäßig an ist, wenn man ihn nicht bewußt ausschaltet.