Fritzbox 5050 Fon - diverse UDP-Ports offen - was tun?

[honesty333]

hallo,

ich setze als router die neue "fritzbox-fon 5050" ein, welche ich gerade vor einigen tagen wegen eines providerwechsels bekommen habe. ports habe ich in der im router integrierten firefall nicht freigegeben. ich habe die firmwareversion "12.03.61" drauf und an den einstellungen der box absolut nichts verändertnun habe ich eben auf: http://security-check.sunrise.ch/test/lang=d/sid=5f04449c13c3540caeba41e603666877

einen sicherheitscheck durchgeführt, bei welchem das folgende ergebnis herauskam: http://jpg.250kb.de/312cd153c28807524d3d87d98888c1da.jpg

was kann oder muss ich jetzt tun um diese udp-ports zu schliessen - bzw. ist das überhaupt erforderlich? kenne mich in dieser materie leider absolut nicht aus. betriebssystem ist xp-home sp2 inkl. aller updates.

viele grüße

frank

 

[honesty333]

heute bekam ich wegen meines problems mit den offenen udp-ports vom avm-support die folgende antwort (für alle, die eventuell ähnliche probleme haben sollten):

"Ticket-ID CID680488

Sehr geehrter Herr xxxx,

vielen Dank für Ihre Anfrage.

In Abhängigkeit von der Konfiguration des genutzten Port-Scanners ist es
möglich, das Ihnen dieser anzeigt, dass Ihr System angreifbar bzw. unsicher
sei, da einige UDP-Ports offen seien (z. B. die NetBIOS-Ports 135-139).

Betroffen von dieser Problematik ist z. B. der Online-Sicherheitscheck
unter http://scan.sygate.com/quickscan.

Hintergrund dieses Verhaltens ist, dass die vom Portscanner gesendeten
UDP-Pakete von der Limiter-Funktion der Firewall der FRITZ!Box verworfen
und nicht negativ beantwortet worden. Dies kann dazu führen, dass ein
Port-Scanner fälschlicherweise die entsprechenden UDP-Ports als "offen"
meldet.

Es handelt sich hierbei jedoch nicht um einen Fehler oder ein
Sicherheitsproblem in der Firewall der FRITZ!Box, da von der FRITZ!Box
ausschliesslich UDP-Pakete in das lokale Netzwek gelassen werden, deren
Zielport in der "Portfreigabe" konfiguriert wurde und NetBIOS-Pakete sogar
überhaupt nicht in das Internet geroutet werden. Zudem werden ankommende
UDP-Pakete, deren Zielport nicht in der Portfreigabe der FRITZ!Box
freigegeben ist, mit einem "ICMP Protocol unreachable" bzw. "ICMP Port
unreachable" negativ beantwortet.

Zusätzlich verfügt die Firewall der FRITZ!Box über eine intelligente
Limiter-Funktion. Diese bewirkt, dass nicht alle ankommenden UDP-Pakete
negativ beantwortet werden, da der DSL-Upstream ansonsten durch die Flut
der daraus resultierenden ICMP(unreachable)-Paketen vollständig ausgelastet
werden könnte. Alle UDP-Pakete, die aufgrund der Limiter-Funktion nicht
negativ beantwortet werden, werden von der FRITZ!Box verworfen.

Ein Port-Scanner kann dann jedoch fälschlicherweise all die UDP-Ports als
"Offen" deklarieren, zu denen er Pakete gesendet hat, die vom AVM-Gerät
verworfen worden sind.

Auch diese Limiter-Funktion der Firewall der FRITZ!Box stellt kein
Sicherheitsrisiko dar, sondern schützt vielmehr vor der vollständigen
Auslastung des DSL-Upstreams durch eine Flut von ankommenden UDP-Paketen
(z. B. durch "Denial-of-Service-Attacken").

Einen Port-Scanner, der die Antworten bzw. nicht erfolgenden Antworten auf
an UDP-Ports gesendete Pakete nicht fehlinterpretiert, finden Sie z. B.
unter: http://www.hackerwatch.org/probe/.



Mit freundlichen Grüßen

xxxxxx xxxx (AVM Support)"

Viele Grüße

Frank

 

[RudatNet]

:!: :arrow: Bitte aus Datenschutzgründen sämtliche Real-Namen entfernen!