Warum offene Ports in der FBF 5050

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

horst2206

Neuer User
Mitglied seit
8 Okt 2005
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
Hallo, eine Frage an die Experten.
Ich habe die FBF 5050 an ISDN angeschlossen.Internet und telefonieren klappt alles.
Habe über Security-check.ch einen Portscan durchführen lassen.
Folgende Ports sind offen:
RPC 111/UDP
MS RPC 135/UDP
NetBios Name Service 137/UDP
Net Bios Datagram Service 138/UDP
Net Bios Session Service 139/UDP
SNMP 161/UDP
und ICMP ist offen.
Wie kann ich diese Ports schliessen, oder werden diese für das Telefonieren benötigt?

BS: WIN 2000 Advanced Server

Vielen Dank für eure Antwort.

Einen schönen Sonntag noch
Gruss
Horst
 
Nicht gerade sehr aussagekräftig dein Titel!

Ändere doch mal z.B. in: "Warum offene Ports in der 5050?"
Oder sowas ähnliches.
 
Hallo Horst,

Schau mal ob Du uPNP aktiviert hast. Evtl. musst Du die Ports für die Windows Netzwerkdienste noch rausnehmen. Erreichbar unter der DSL-Fritz-Software, die Du auf Deinem Windoof-Rechner installiert hast.

cu themole
 
Kein Grund zur Sorge.Ich habe dieses "Phänomen" vor einiger Zeit untersucht.Ein Scan der UDP Ports unterscheidet sich ganz wesentlich von einem Scan der TCP Ports, weil UDP im Gegensatz zu TCP verbindungslos arbeitet.Da bei UDP kein three-way-handshake stattfindet, kann man gar nicht ohne weiteres feststellen, ob ein UDP Port nun offen oder geschlossen ist.Die Vereinbarung ist, das ein geschlossener UDP Port mit einem ICMP Destination unreachable antwortet, und zwar genauer mit einem ICMP Typ 3, Code 3 ( destination unreachable, Port unreachable).

Die Fritz antwortet hier stattdessen mit einem Code 13 ( Communication administratively filtered), was von den meisten Portscannern so verstanden wird, das der Port offen ist.

Ein Scan mit einem Portscanner wie LANSpy ergibt sogar, das alle UDP Ports der Fritz offen sind, wenn nicht eine bestimmte Option eingeschaltet ist ( Firewall erkennen).

Fakt ist, das die Fritz bei einem Portscan brav mit ICMPs antwortet und die Ports nicht offen sind.

Desweiteren ist bei einem UDP Scan die Scangeschwindigkeit zu beachten, da die Rate der ICMP Antworten im Internet nach RFC auf einen bestimmten Wert begrenzt werden soll.Die Fritz Fon hat einen sog. Limiter eingebaut, der unter Umständen die Rate der ICMP Pakete begrenzt, um den Upload für wichtige Pakete freizuhalten.Dies kann dazu führen, das der Scanner ein falsches Ergebnis anzeigt, da wie schon erwähnt keine Antwort heißt, das der Port offen ist.

AVM hat dies mehr oder weniger bestätigt ( auch wenn die Antwort eine Standard-Antwort ist und vielleicht nicht 100% schlüssig ist)

Sehr geehrter Herr XXX,

vielen Dank für Ihre Anfrage.

In Abhängigkeit von der Konfiguration des genutzten Port-Scanners ist es
möglich, das Ihnen dieser anzeigt, dass Ihr System angreifbar bzw. unsicher
sei, da einige UDP-Ports offen seien (z. B. die NetBIOS-Ports 135-139).

Betroffen von dieser Problematik ist z. B. der Online-Sicherheitscheck
unter http://scan.sygate.com/quickscan.

Hintergrund dieses Verhaltens ist, dass die vom Portscanner gesendeten
UDP-Pakete von der Limiter-Funktion der Firewall der FRITZ!Box verworfen
und nicht negativ beantwortet worden. Dies kann dazu führen, dass ein
Port-Scanner fälschlicherweise die entsprechenden UDP-Ports als "offen"
meldet.

Es handelt sich hierbei jedoch nicht um einen Fehler oder ein
Sicherheitsproblem in der Firewall der FRITZ!Box, da von der FRITZ!Box
ausschliesslich UDP-Pakete in das lokale Netzwek gelassen werden, deren
Zielport in der "Portfreigabe" konfiguriert wurde und NetBIOS-Pakete sogar
überhaupt nicht in das Internet geroutet werden. Zudem werden ankommende
UDP-Pakete, deren Zielport nicht in der Portfreigabe der FRITZ!Box
freigegeben ist, mit einem "ICMP Protocol unreachable" bzw. "ICMP Port
unreachable" negativ beantwortet.

Zusätzlich verfügt die Firewall der FRITZ!Box über eine intelligente
Limiter-Funktion. Diese bewirkt, dass nicht alle ankommenden UDP-Pakete
negativ beantwortet werden, da der DSL-Upstream ansonsten durch die Flut
der daraus resultierenden ICMP(unreachable)-Paketen vollständig ausgelastet
werden könnte. Alle UDP-Pakete, die aufgrund der Limiter-Funktion nicht
negativ beantwortet werden, werden von der FRITZ!Box verworfen.

Ein Port-Scanner kann dann jedoch fälschlicherweise all die UDP-Ports als
"Offen" deklarieren, zu denen er Pakete gesendet hat, die vom AVM-Gerät
verworfen worden sind.

Auch diese Limiter-Funktion der Firewall der FRITZ!Box stellt kein
Sicherheitsrisiko dar, sondern schützt vielmehr vor der vollständigen
Auslastung des DSL-Upstreams durch eine Flut von ankommenden UDP-Paketen
(z. B. durch "Denial-of-Service-Attacken").

Einen Port-Scanner, der die Antworten bzw. nicht erfolgenden Antworten auf
an UDP-Ports gesendete Pakete nicht fehlinterpretiert, finden Sie z. B.
unter: http://www.hackerwatch.org/probe/.

Mit freundlichen Grüßen

(AVM Support)
Zum Vergrößern anklicken....

Kommentar:

deren Zielport nicht in der Portfreigabe der FRITZ!Box
freigegeben ist, mit einem "ICMP Protocol unreachable" bzw. "ICMP Port
unreachable" negativ beantwortet.
Zum Vergrößern anklicken....

Und genau hier liegt der AVM Support Mailschreiber falsch, die Box antwortet nicht mit einem Port unreachable, sondern mir einem Communication administratively filtered.Das genau wird das Problem sein.

Man kann das Verhalten der Fritz Fon bei einem UDP Scan sehr gut beobachten, indem man eine telnet session zur Fritz öffnet, den dsld mit dsld -s anhält und mit dsld -f neu startet.Dann sieht man genau, welche Pakete von der Firewall "gedroppt" werden.Oder man benutzt die in der Fritz eingebaute Packet Capture Funktion unter

http://fritz.box/cgi-bin/../cgi-bin/webcm?getpage=../html/capture.html

, um einen Capture zu machen und sieht sich das nach Umwandlung mit avm2er mit einem Packetsniffer wie Packetyzer an.

Zusammenfassend kann man sagen, es handelt sich um einen Anzeige/Scan-Fehler bei einem UDP Scan der Box, der wahrscheinlich deshalb auftritt, weil die Box mit einem "falschen" ICMP Code antwortet, was vom Scanner mißverstanden wird.Bei einem TCP Scan kann dieses Problem nicht entstehen, da hier eine komplette Verbindung aufgebaut wird
und deshalb der Scanner hier korrekte Ergebnisse liefern kann.Ein Sicherheitsproblem leitet sich daraus nicht ab.

Grüße

TWELVE
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 510 (Mitglieder: 5, Gäste: 505)

Neueste Beiträge

Statistik des Forums

Themen
246,751
Beiträge
2,256,854
Mitglieder
374,778
Neuestes Mitglied
Andyhartley
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück