WICHTIG! FRITZ!Box Fon WLAN 7050 @14.03.89 - Offene Ports!!!

[sete]

Hallo,

ich habe gestern meine FRITZ!Box 7050 eingerichtet. Ein Portscan von extern ergab, dass default die Ports 25 (SMTP) und 110 (POP3) geöffnet sind.

Ich habe aber keinerlei Portmapping für diese Ports angegeben?

Ist dies beabsichtigt? Welche Funktion haben diese Ports für die FBF 7050?

Kann die 7050 dadurch als SMTP-Relay-Server mißbraucht werden?

 

[sete]

WICHTIG: Portscan mit NMAP - OPEN PORT 25/TCP

Hallo nochmal,

ich habe noch einmal einen Portscan von extern mit nmap gestartet. Ergebnis:

Discovered open port 25/tcp on [meine IP-Adresse]

Ist das beabsichtigt? Gibt's einen Grund dafür?

DRINGEND! Bitte prüft das mal an Euren Boxen!

 

[wichard]

Ich bekomme beim Versuch, auf Port 25 meine Box (ist allerdings "nur" die ATA) zuzugreifen, ein "Destination unreachable".
Hast Du evtl. eine Portweiterleitung des Ports 25 bei Dir eingerichtet oder in der ar7.cfg rumgespielt?

Gruß,
Wichard

 

[Werner2004]

Also bei mir sind die Ports 25 / 110 geblockt.

Scan mit: http://www.sygatetech.com/quickscan.html

Gruss Werner

 

[waldwuffel]

Also bei mir wird alles außer Port 21 ( Da ich einen FTP-Server betreibe ) geblockt!

Firmware: 14.03.89


Entweder du hast in an der ar7.cfg rumgebastelt und was falsches eingestellt oder ein Portfreigabe doch eingerichtet. Wenn es beides nicht sein sollte lass dir mal von AVM eine recover-image.exe schicken und spiele die neue Firmaware noch mal drauf, kan ja sein das bei letzten mal was schiefgegangen ist! Danach setzte mal die Box auf Werkseinstellungen zurück und trage alles neu von Hand ein ( keine gespeicherten Einstellungen nutzen!) Wenn danach immer noch der Fehler da sein sollte liegt ein Problem mit deiner Box vor!

 

[nsign]

Meine Ports sind auch geblockt.

Wenn du die Box evtl. gebraucht gekauft hast, kann es sein, dass der Vorbesitzer diese Ports weitergeleitet hat. check nochmal die Weiterleitungen.

Grüße,
N:SIGN

 

[buercop]

Also Ports sind bei mir auch alle "blocked". Aber: "Results from scan of ICMP at TCP/IP address: Open", wenn man dem sygatetech.com-Test glauben mag. Ist das normal oder nicht so dolle? :?:

 

[NN]

das ist normal und sagt gar nix - auf jeden Fall nicht "nicht so dolle" :wink:

Ein Portscan von extern ergab, dass ...

sagt m.E. auch nichts aus. Wie will denn ein externer Portscan rauskriegen, ob ein Port offen oder zu ist ? Wenn der intern nach /dev/nul geht - ist der angeblich 'offene' Port dann wirklich offen ?

 

[sete]

AW: Portscan

Also ich habe folgendes getan:

Von einem Rechner ausserhalb meines privaten Netzes habe ich per nmap einen Portscan über das Internet an meine FBF 7050 gestartet.

Hier der Befehl:

nmap -sT -v -p 1-65535 -n [extIP der Box] > C:\NMAP\Log.txt

Die Logdatei ergab folgendes Ergebnis:

Starting nmap 3.93 ( http://www.insecure.org/nmap ) at 2005-11-25 10:24 Westeuropäische Normalzeit
Initiating Connect() Scan against [extIP der Box] [65535 ports] at 10:24
[highlight=red:d969c35dc5]Discovered open port 25/tcp on [extIP der Box][/highlight:d969c35dc5]
Connect() Scan Timing: About 0.69% done; ETC: 11:37 (1:12:00 remaining)
Connect() Scan Timing: About 1.62% done; ETC: 11:32 (1:06:40 remaining)
Increasing send delay for [extIP der Box] from 0 to 5 due to 11 out of 34 dropped probes since last increase.
Increasing send delay for [extIP der Box] from 5 to 10 due to 11 out of 28 dropped probes since last increase.
Increasing send delay for [extIP der Box] from 10 to 20 due to 11 out of 31 dropped probes since last increase.
Increasing send delay for [extIP der Box] from 20 to 40 due to 14 out of 45 dropped probes since last increase.
[highlight=red:d969c35dc5]Discovered open port 110/tcp on [extIP der Box][/highlight:d969c35dc5]
Increasing send delay for [extIP der Box] from 40 to 80 due to 93 out of 308 dropped probes since last increase.
Increasing send delay for [extIP der Box] from 80 to 160 due to 11 out of 30 dropped probes since last increase.
Connect() Scan Timing: About 43.62% done; ETC: 13:00 (1:27:37 remaining)
Connect() Scan Timing: About 66.18% done; ETC: 14:19 (1:19:27 remaining)
Connect() Scan Timing: About 88.15% done; ETC: 14:51 (0:31:34 remaining)
Connect() Scan Timing: About 96.89% done; ETC: 15:00 (0:08:33 remaining)
Connect() Scan Timing: About 99.26% done; ETC: 15:02 (0:02:03 remaining)
The Connect() Scan took 16665.80s to scan 65535 total ports.
Host [extIP der Box] appears to be up ... good.
Interesting ports on [extIP der Box]:
(The 65533 ports scanned but not shown below are in state: filtered)
[highlight=red:d969c35dc5]PORT STATE SERVICE
25/tcp open smtp
110/tcp open pop3[/highlight:d969c35dc5]

Nmap finished: 1 IP address (1 host up) scanned in 16669.099 seconds
Raw packets sent: 2 (68B) | Rcvd: 1 (46B)

An der Box wurde NICHTS gedreht!

Die habe ich von meinem Provider Freenet erhalten. Ich habe lediglich die aktuellste Firmware-Version von AVM runtergeladen und auf die Box aufgespielt.

NMAP ergab definitiv, dass Port 25 und 110 geöffnet sind!

Meine einfache Bitte an Euch:

Könnt Ihr dasselbe nicht auch mal mit NMAP von extern an Euren Boxen testen?

Ich will doch nur sichergehen, dass ich da nix falsch gemacht habe.

Ein Scan über den Online-Check von Symantec z.B. ergab bei mir auch, dass die genannten Ports stealth sind.

Aber NMAP sagt mir, dass da in der Tat etwas offen ist.

Insgesamt also erhalte ich von 2 Portscannern dasselbe Ergebnis.

Bitte schreibt mir Eure Testergebnisse rein.

Das wäre super.

Vielen Dank!

 

[frank_m24]

hallo,

meines Erachtens reicht es nicht, nur in der Box einen Port als "Offen" einzustellen, um zu einem solchen Ergebnis zu kommen. Da muss auch eine Applikation dahinter sein, die diese Ports bedient, damit sie bei einem Portscan als "Offen" auftauchen. Sonst sind sie vielleicht nicht "blocked" oder "filtered", aber zumindest "Closed".

MfG

Frank

//EDIT: habe den PortScan von heise security gemacht. Es sind nur die Ports offen, die ich selbst freigegeben habe, alle anderen sind zu. Sicher, die richtige IP erwischt zu haben?

 

[NN]

Frank, kannst du erklären, wie du dazu kommst ? Dann wäre die Aussage im Normalfall ja völlig sinnleer: ein 'gefährlicher' Port an einem Router soll doch nicht nur dann als 'offen' markiert werden, wenn eine Malware-Anwendung dahinter aktiv ist ?!

 

[DM41]

Ich galube, er meinte nicht nur Malware, sondern jede Art von Anwendung.
Wahrscheinlich hat er an das Arbeitsprinzip von Desktop-Firewalls gedacht, die einen Port "öffnen", wenn eine Anwendung lauscht.

 

[niemand0815]

also ausser icmp ist bei mir auch alles zu.

und ich gebe frank recht:
wenn ein port als offen angezeigt wird dann ist da auch eine applikation dahinter (ob die wirklich das macht was der port "verspricht" kann man so noch nicht sagen, aber irgendetwas hängt da hintendran).

warum?
ganz einfach: so arbeitet tcp/ip halt.
wenn ich ein ip paket an ein gerät schicke dann nimmt das gerät dieses an. dann wird geprüft ob der entsprechende port überhaupt von einer applikation verwendet wird. wenn nicht wird ein icmp unrechable zurückgeschickt oder nicht geantwortet.
somit bedeutet "open" eben wirklich das da was dranhängt, "blocked" dagegen nur das entweder eine firewall den port zumacht oder keine applikation diesen geöffnet hat.

wenn du ausser icmp irgentetwas offen hast dann setze die box ins original zurück. und zwar mit recover image.

grund: wer weiss bei einer gebrauchtbox nicht jemand über das internet auf deine kosten telefoniert (einfacher trick: ein kleines progrämmchen auf die box das auf port 0815 im internet hört. über dieses progrämmchen kann man dann schön die box fernsteuern und sip-proxy spielen. die zugangsdaten zum telefonieren bekommt man ja auch direkt über die box.... nur mal so ein gedankenspiel).

btw:
hast du upnp aktiviert? wenn ja dann schnell aus damit. sobald du nämlich eine passende applikation die einen port haben will aktivierst kann diese deine firewall auf der box temporär so umkonfigurieren das das was die applikation will durchgeht.
und ja, dieses eigentlich angenehme feature kann auch von malware benutzt werden!

 

[nsign]

Ich glaube Frank hat vielleicht nicht ganz Unrecht.

@Sete:
Läuft bei dir der Norton Anti-Virus? Schalte den mal ab und scanne nochmal.
Ich habe die Erfahrung gemacht. dass z.B. das XAPP-Security Script mir sagt, dass der Mailserver laufen würde, ob wohl definitiv keiner läuft.
Ein Test hat bei mir ergeben, das das Security script dies falsch ausgibt, sobald der NAV installiert ist. Ohne NAV, erkennt er richtig, dass kein Mailserver läuft. Das Script prüft heirbei auch nur ab, ob die Ports 25 und 110 innerhalb einer bestimmten Zeit antworten und gibt entsprechend den Wert aus (Mailserver aktiv oder nicht aktiv).

 

[JensemannWF]

Re: WICHTIG! FRITZ!Box Fon WLAN 7050 @14.03.89 - Offene Port

Offene Ports sind nur dann ein Problem, wenn das erreichbare Ziel auch einen Dienst auf diesem laufen hat.

Mit anderen Worten:
Einen Rechner, der KEINEN Dienst laufen hat, demnach gut gehärtet ist, kann man auch ohne Firewall direkt in das Internet stellen, ohne ein Problem zu bekommen.

Wenn also ein Port 25TCP auf der Box offen sein sollte, muss erst jemand einen Dienst auf der Box installieren, der hierauf "sein Öhrchen" offen hat.

Ein Portforwarding in das private Netz ist ist ja auch grundverschieden von einem bloßem offenen Port der Box.

Da die Box aber keine der beschriebenen Ports offen hat (jedenfalls nicht, wenn ich das teste), kann hier auch nichts anbrennen.
Definitiv offen sind Ports 5060UDP sowie 7077-7085UDP, welche für VoIP gebraucht werden.
Wenn jemand den Ehrgeiz entwickeln würde, hier die dahinter liegenden Applikationen auf Schwachstellen abklopfen würde, wäre hier der potentielle "Einstieg" in die Box zu finden.
Alternativ sind Boxen, welche ihr WebGui zur "Fernwartung" direkt in das Internet hängen, gute Ziele, da der verwendete Webserver sicher nicht der Weisheit letzter Schluß ist.

Und weil so schön war; Wenn jemand die Box kapern sollte, ist die an sich recht langweilig. Der Weg auf den privaten PC wäre für diesen Eindringling wahrscheinlich das Ziel.
Darum! -> Ein passiver, gehärteter PC ist uneinnehmbar!

Gruß Jens

Hallo,

ich habe gestern meine FRITZ!Box 7050 eingerichtet. Ein Portscan von extern ergab, dass default die Ports 25 (SMTP) und 110 (POP3) geöffnet sind.

Ich habe aber keinerlei Portmapping für diese Ports angegeben?

Ist dies beabsichtigt? Welche Funktion haben diese Ports für die FBF 7050?

Kann die 7050 dadurch als SMTP-Relay-Server mißbraucht werden?

 

[The_Duke]

Hi,
@sete, verscuh doch einfach mal mit Telnet auf den Port 25 zu verbinden, dann siehst du ja welcher Service sich dahinter verbirgt....

Gruß René

 

[Tuxi]

Ich habe mal einen Scan von http://www.dslreports.com/ laufen lassen. Es wurde nix gefunden. Auch der Test auf Heise hat nix finden können. Also die Box ist Dicht. Welche ich nutze, kann man in der Signatur sehen

Bye Michael

 

[sete]

AW

Hi,

@JensemannWF:
Du hast vollkommen Recht. Natürlich besteht die Möglichkeit, dass ein Dienst auf der BOX selbst läuft, der eventuell Anfragen an diese Ports entgegennimmt. Deshalb verstehe ich nicht, wieso die anderen User in diesem Forum hier mir etwas von Norton erzählen wollen.

Hey Leute:
Auch wenn ich ALLE Rechner HINTER dem Router AUSSCHALTE bekomme ich mit NMAP dasselbe Ergebnis!!!

Die Box ist auch NICHT GEBRAUCHT. Ich habe bei Freenet einen DSL-Vertrag abgeschlossen und von denen die Box bekommen. Die Box selbst habe ich ausgepackt und ALS ERSTES die AKTUELLE FIRMWARE von AVM draufgepackt!!!

Ich habe DEFINITIV NICHTS MODIFIZIERT!!!

Ich teste gerade in diesen Minuten noch einmal mit:

nmap -sT -sU -v -p 1-65535 -n [extIP der Box] > C:\NMAP\Log.txt

natürlich von EXTERN!

Mal schauen, was rauskommt. Kennt jemand vielleicht noch nen anderen guten (am besten kostenlosen) Portscanner für Windows?

Ich werde das Ergbnis hier wieder posten.

Bis später!

 

[haveaniceday]

# netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:80                    *:*                     LISTEN
tcp        0      0 localhost:1011          *:*                     LISTEN
tcp        0      0 *:23                    *:*                     LISTEN
tcp        0      0 192.168.178.1:23         192.168.178.5:1049       ESTABLISHED
tcp        0      0 localhost:1011          localhost:1092          ESTABLISHED
tcp        0      0 localhost:1092          localhost:1011          ESTABLISHED
udp        0      0 *:1024                  *:*
udp        0      0 *:1025                  *:*
udp        0      0 *:1026                  *:*
udp        0      0 *:7077                  *:*
udp        0      0 *:53                    *:*
udp        0      0 *:5060                  *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                    298    /var/tmp/cm_logic.ctl
#

Die Ports, die auf der Box offen sind kann man mit netstat -a sehen.
Siehe oben für meine Fon WLAN.
Die "Port forward" auf interne Rechner sieht man so nicht.

Auf einem Linux mit gepflegter /etc/services kann man sich die namen der Ports anschauen. Port 25 und 110 sind nicht offen.

grep -e smtp -e pop3 /etc/services
smtp             25/tcp    mail         # Simple Mail Transfer
smtp             25/udp    mail         # Simple Mail Transfer
pop3            110/tcp    # Post Office Protocol - Version 3
pop3            110/udp    # Post Office Protocol - Version 3
smtps           465/tcp    # eMail Server
pop3s           995/tcp    # pop3 protocol over TLS/SSL (was spop3)
pop3s           995/udp    # pop3 protocol over TLS/SSL (was spop3)
#                         Boris B. Maiden <[email protected]>
rsmtp           2390/tcp   # RSMTP
rsmtp           2390/udp   # RSMTP

Ist evtl. bei dir etwas über upnp offen ? ( sollte aber eigentlich nicht sein
wenn die Rechner aus sind...)

Hat jemand eine Idee wie man auf der Box die "port forward" sichtbar machen kann ?

Haveaniceday

 

[niemand0815]

wenn irgendwas per upnp die firewall konfiguriert und dann nicht mehr zumacht, bleibt das dann nicht ewig offen (bis die box rebootet wird)?

zumindest hätte ich das gedacht.