[Firewall] und Router - Was brauche ich wirklich?

The Mad Hatter

assimiliert
und Router - Was brauche ich wirklich?

Sodala, ich verfüge über eine Fritz!BoxSL als Router und eine Sygate Personal Firewall 5.5 als Desktop-Firewall.

Ich meine mal gelesen zu haben, daß der gleichzeitige Betrieb eines Router wo die Ports werksseitig eh geschlossen sind und einer Desktop-Firewall ziemlich unsinnig ist. Ich konnte mich aber bisher nicht davon trennen, da mich meine gute alte Sygate Firewall, im Gegensatz zu meinem Router, immer fragt ob ich bestimmte Sachen zulassen will oder nicht.

Daher hab ich folgende Fragen:

1. Mach ich irgendetwas falsch oder wieso fragt mich nur meine Sygate Firewall ob ich dieses oder jenes zulassen will oder nicht?

2. Wie sicher ist meine Sygate überhaupt noch? Den Anbieter gibt es meines Wissens nach ja nicht mehr - sollte ich auf ne andere Firewall wechseln oder tut's meine derzeitige noch?

Zusatzfrage:

Bei einem UDP-Portscan wurden mir mehrere offene Ports gemeldet, die ein Risiko darstellen können. Ich hab zwar über die Windows-Schaltfläche "Netzwerkverbindungen" mich bis zu den Zulassungsmöglichkeiten durchgeklickt, aber wie finde ich heraus, welche Ports ich zumachen kann und welche ich brauche?
 

Franz

assimiliert
Also, dann fange ich einfach an:
  • 1.
    Nein, du machst nichts falsch. Ein zusätzliche Firewall ist dann sinnvoll, wenn
    versch. Prozesse (z.B.: Update - Programme nach Hause telefonieren müssen/möchten). Bei einigen macht es durchaus Sinn, wie bei den Hijack- und Virenscannern, Filesharing, FTP oder das Windowsupdate. Welche Programme raus dürfen, ist allein dir überlassen. Automatisieren (in den programmen selbst) würde ich alle Sicherheitsrelevanten Updates, alle anderen bei Bedarf. Das ist eigentlich das, was dich Sygate permanent fragt (sog. "Lernmodus").
    2.
    Ansich, wenn sie funktioniert, warum nicht behalten. Andererseits, hatte ich Sygate damals von meinem Rechner verbannt, weil sie sich mit Bitdefener nicht einig wurde.

Anmerken möchte ich, daß meine derzeitigen Oberbösewichte inzwischen die sog. RootKits darstellen, die, als versteckte, oft dem User unbekannte, Prozesse, einen Draht nach draußen und wieder Retour haben wollen.
Diese benutzen u.a. auch die offenen Ports des Routers (z.B. für Filesharing TCP:4662, UDP:4672), hinaus ohne Nachfragen und wieder hinein.
Firewalls richten sich aber nach den Programmen und öffnen dem entsprechend die jeweils notwendige Pforte.
Wenn also zwar die Türen offen sind, steht trotzdem noch jemand da
und fragt dich: "Chef, darf der/die/das rein/raus?"
Der Router indes sagt nur: "Ist offen, geh' durch."

Sophie erstmal.

Zur deiner Zusatzfrage:

Der UDP - Scan hat ergeben, daß die Defaultports der FritzBox und evtl. weitere Ports (für versch. Programme) offen sind.
Was durchaus richtig ist, weil du möchtest ja auch surfen.
Wenn du in deinen Browser "fritz.box" eingibst, kommst du zur kompletten Konfigurationsseite deines Routers.
Hier kannst du die Ports vergeben, die auf jeden Fall offen bleiben sollen.
Generell ist die Konfiguration von Router und FW folgendermassen:

Alles zu und alles verbieten und dann nach und nach öffnen (s.a.: Lernmodus).

Wenn Firefox raus will, lasse ich es zu, wenn WinAmp raus will, lasse ich es nicht zu, etc., je nach Wunsch.
Umständlich wird es evtl. bei unbekannten Prozessen, wie der svhost.exe oder services.exe oder crss.exe.
Manchmal schwirrt mir hier auch der Kopf. Hier kannst du dir eines einfachen Mittels bedienen:
Hijackthis herunterladen, Scan ausführen, sicherheitshalber auswerten lassen,
und den Logfile griffbereit abspeichern.
Wenn deine FW nun meldet, daß der Prozess gfhrz36w&.exe eine ausgehende Verbindung haben möchte,
kannst du im Logfile nachlesen, ob das Programm von Dir installiert wurde oder nicht und kannst dementsprechend handeln.
So bekommst erstmal eine grobe Übersicht über die Prozesse.

Zu guter Letzt noch etwas zu den Netzwerkeinstellungen:
Hier kannst du nur festlegen, welche Ports innerhalb (z.B: die Druckerfreigabe) eines Netzwerkes freigegeben werden können. Für das Internet sind wieder die FW und der Router zuständiig.

Sodele, hoffentlich habe ich nichts falsches gesagt und nichts vergessen.
 
Zuletzt bearbeitet:

The Mad Hatter

assimiliert
OK, danke erstmal. :)

Wobei ich mich bei dem UDP-Scan gewundert habe, da mir mehrere Ports als "ungefiltert" angezeigt wurden. Sprich: weder durch Router noch durch Desktop-FW geschützt.
 

The Mad Hatter

assimiliert
Die Ports 135, 137, 138 und 520 werden bei mir als GEFAHR! Port ist offen und jeder kann in Ihr System eindringen. gewertet (port-scan.de).
 

Franz

assimiliert
Hmm,
also diese Ports sollten auf jeden Fall geschlossen werden.
In Sygate unter
Werkzeuge -> Erweiterte Regeln -> Hinzufügen -> Allgemein -> Regelbeschreibung -> Ports eintragen:
135,137,138,520,4444

dann im Reiter "Ports und Protokolle" -> Protokoll "TCP" auswählen.
Dort bei "Remote und Lokal" die selben Ports wie oben eintragen.

Alles mit OK bestätigen.

Um die UDP Ports zu schließen, wieder die erweiterten Regeln aufrufen, wenn sie nicht schon aufgeklappt sind.

Dann auf
Hinzufügen -> Regelbeschreibung -> UDP 69,135,139,445 eintragen ->
Reiter "Ports und Protokolle" -> Protokoll "UDP" auswählen ->
69,135,139 445 in "Remote und Lokal" eintragen und bestätigen.
Das war's.
Die Ports 4444, 69, 445 sind auch recht beliebte Wurm und Trojaner Ports.
 

use

kennt sich schon aus
Also wenn 135, 137 und 138 aus dem Internet als offen zu sehen sind, dann finde ich das erschreckend für die Fritz-Box!!!
Oder wurde die irgendwie umkonfiguriert?!?
Sie sollten dort mindestens gefiltert sein.
Innerhalb des Netzes hingegen müssen sie dann offen bleiben, wenn dort mehrere Windows-Rechner mit einander netzen wollen, weil darüber deren einfache Namensauflösung (137, 138) läuft. 135 ist der RPC-Dienst, notwendig für den Nachrichtendienst - der wird eher gezielt für bestimmte Dinge benötigt.
Wenn Du die Ports nur in der Sygate dicht machst, schützt Du den PC einerseits, evtl. andere Win-Kisten im Netz sind weiterhin nicht geschützt und warscheinlich könnten die nicht auf Deinen Apparat zugreifen.
Also besser die Fritze püfen/verrammeln!!!
 
B

Brummelchen

Gast
Port - Name - Typ
69 - TFTP - TCP
135 - RPC - UDP
139 - NETBIOS_SESSION - UDP/TCP
445 - SMB - UDP
520 - EFS - ?

Ich finde das Thema grad nicht mehr, evtl ist es sogar weg.
Da habe ich damals Filter für Outpost beschrieben, die sowas filtern:
TCP
>> DCOM, NETBIOS_SESSION, MICROSOFT_DS, 4444, 2745, 3127, 5000, 593, 3540
UDP
>> 69, 135, 139, 445, 2745, 3127, 5000, 1434, 3540

Inzwischen hat Outpost in der Version 3.5 ähnliche Filter und viele neuere,
die sich mit "local" bzw "localhost" beschäftigen".
 

The Mad Hatter

assimiliert
@arcanoa: Hab alles so eingeben wie beschrieben. Leider weint der Test immer noch. :(

@use: Habe nur einmal einen TCP Port freigeben, aber auch wieder geschlossen. Ansonsten befindet sich das Gerät bei der Port-Freigabe noch im Ur-Zustand.
Zumal ich noch keine Möglichkeit gefunden habe Ports zu schliessen. Nur wenn man sie explizit öffnet, kann man sie auch wieder schliessen. Habe eben versucht damit die Box zu überlisten, indem ich UDP 135 zuerst geöffnet und dann wieder geschlossen habe, aber leider ohne Resultat. :(

Allgemein hab ich jetzt noch ein weiteres Problem: Seit ich an Porteinstellung rumfummel hängt sich immer mal wieder mein Netz auf, als würde ich einen wichtigen Dienst blockieren. Zum Schluß kam mich nicht mal mehr in das Menü von meiner FritzBox rein.
 

Franz

assimiliert
Bei welchen Ports weint der Test denn?
Port 520, öffne den und schau, ob du wieder Zugriff auf die Box und Internet hast.
Ansonsten, welche der oben angegebenen Ports hast du nun an der Firewall und an der FritzBox geschlossen? Einmal auflisten, bitte.
 

The Mad Hatter

assimiliert
arcanoa schrieb:
Bei welchen Ports weint der Test denn?

UDP 135, 137, 138, 161 und 520

arcanoa schrieb:
Port 520, öffne den und schau, ob du wieder Zugriff auf die Box und Internet hast.

Port 520 (und probeweise auch die andere) geöffnet. Fehlermeldung beim Versuch ins FritzBox-Menü zu kommen Internal communication error (login -1). Exiting.


arcanoa schrieb:
Ansonsten, welche der oben angegebenen Ports hast du nun an der Firewall und an der FritzBox geschlossen? Einmal auflisten, bitte.

TCP 135, 137, 138, 161, 520, 4444 und UDP 69, 135, 137, 138 139, 161, 445, 520 (per Sygate)
 

koloth

Chef-Hypochonder
Wie rufst Du das Menü auf?

Mit Fritz.box ??

Das ging bei mir (irgendwann) auch nicht mehr. Keine Ahnung, warum. Jetzt habe ich in der Datei hosts (ohne Endung) dem Alias fritz.box die IP der Fritzbox zugewiesen, nu gehts wieder.

Muss mal bei mir (nochmal) testen, wie es genau aussieht. Ich habe neben FritzBox (mit einigen wenigen Freigaben) nämlich auch die Sygate laufen. Bin aber erst in 2 1/2 Tagen wieder zu Hause.
 

Franz

assimiliert
Danke koloth, :)

nebenbei,
die hosts - Datei befindet sich unter

C:\WINDOWS\system32\drivers\etc

vor einer Änderung, ggf. ein Backup erstellen.
Leider komme ich erst heute abend dazu, meine Einstellungen von Sygate und Fritzbox zu kontrollieren und zu posten.
 

Flippertor

fühlt sich hier wohl
Von der Frizbox hab ich jetzt zwar keine Ahnung,
aber zum "normalen" sicheren surfen mit Netzwerk im Hintergrund

kannst Du alle genannten UDPs zu machen
für DNS und Windows/Linux netz brauchst DU nur die UDPs 500 und 53/55

unser Portscan ist sauber und alle surfen und greifen aufeinander zu :)
 

Franz

assimiliert
Hmm,

bei mir funktioniert alles reibungslos (siehe Anhang).
Kann es sein, daß du (unter "Applikationen") einen Internet Dienst (z.B. svchost.exe) blockiert hast?
 

Anhänge

  • snap1.jpg
    snap1.jpg
    36,3 KB · Aufrufe: 124

The Mad Hatter

assimiliert
Hab alles noch mal durchgesehen. Keinen Dienst blockiert und trotzdem nix.

Hab zur Sicherheit mal bei Sygate eine Gegenprobe gemacht. Ergebnis: Bei UDP 520 weint der Test nicht (port-scan.de hingegen schon) und bei UDP 111 jault er (port-scan.de nicht). Bin da ehrlich langsam am verzweifeln. Hab zwar noch mal zwei Screenshots angehängt, in der Hoffnung das ich irgendetwas überlesen habe, mit dem hier einer etwas anfangen kann, aber ich denke mal, daß ich bei Gelegenheit mir ne neue Firewall zu Testzwecken zulegen werde.
 

Anhänge

  • udp1.jpg
    udp1.jpg
    138,1 KB · Aufrufe: 112
  • udp2.jpg
    udp2.jpg
    77,8 KB · Aufrufe: 99

Franz

assimiliert
Also,

du kannst weder ins INet noch auf Fritzbox zugreifen, wenn du die genannten Ports in Sygate schließt?
Deinen Anhängen nach zu urteilen, kommst du wieder ins Netz, d.h., du hast die Ports in Sygate wieder geöffnet.
Schließe einmal die Ports nur in der Fritzbox.
 

The Mad Hatter

assimiliert
Tschuldigung, da hab ich mich nicht richtig ausgedrückt. Das "Ports zu = Internet aus"-Phänomen war wohl ein Random Bug, der mittlerweile nicht mehr auftaucht. Nur in meine FritzBox komm ich halt nicht mehr rein (muss mich da mal mit koloths Tip auseinandersetzen). Zumal es auch nichts nützt, wenn ich da versuche die Ports zu schließen (das hatte ich probiert, bevor mir mein Menü-Zugang zur Box flöten ging).

Ich hab es mittlerweile mit 08/15-ZoneAlarm und der OpenSource-Firewall iSafer Winsock gegen getestet. Dasselbe Ergebnis.

Ich tippe jetzt auf einen Fehler bei meiner FritzBox. Werd mal sehen ob ich auf der Herstellerseite irgendwo was finde.
 

The Mad Hatter

assimiliert
Nachtrag:

Oh Wunder - Google spukt auch jedesmal etwas anderes aus. :rolleyes:

Hab auf jeden Fall in den Weiten des Netzes eine Antwort auf mein Problem gefunden. Angeblich weist die Fritz-Box die UDP-Testanfrage des Scanners ab, so daß der von einem offenen Port ausgeht. Also ne simpler Fehlalarm.

Sprich: Tschuldigung Leute, ich hab hier völlig umsonst die Pferde scheu gemacht. :cry:

Für alle mit ähnlichen Problemen sind hier und hier die Links.

Jetzt muss ich nur noch wieder ne Zugang zu meinem Box-Menü kriegen. Denn mit der IP der Box (als auch mit der auf der Herstellerseite angegebenen Alternativ-IP) krieg ich jetzt nicht mal mehr Fehlermeldung, sondern nur noch 'ne weißen Bildschirm. :wand
Naja, vielleicht hilft ja 'ne Firmware-Update, wobei ich da derzeit zuviel Angst vor habe. Am Ende schmiert mir meine Box endgültig ab.
 
Oben