Wie Ports 135, 139 und 445 freigeben?

[Nyckelpiga]

Ich habe dieses Modell:
FRITZ!Box Fon 5050 (UI), Firmware-Version 12.03.86


In der 1&1 FAQ habe ich gelesen, dass f. die 7050 die Ports 135, 139 und 445 freigegeben werden können. Bisher wusste ich nicht einmal, dass diese Ports gesperrt sind. Jetzt habe ich einen dieser Ports gebraucht und muss feststellen, dass die geblockt werden, raus in Richtung Internet.

Jetzt stelle ich fest, dass es verschiedene Firmware geben muss, schliesslich lässt sich das bei der angesprochenen 7050 abschalten, bei meiner 5050 finde ich das aber nicht bei den Einstelllungen.

Kann mir bitte mal jemand erklären wie ich die Blockierung abschalten kann?

Und nein, ich will nichts hören darüber, dass man das aber nicht machen darf, weil gefährlich oder so.

Ich bin ein mündiger Internet Benutzer, also kein Anfänger, habe jahrelang ohne Virus und sonstige Probleme überlebt ohne dass diese Ports geblockt waren, ich finde es ziemlich unangenehm bevormundet zu werden, muss ich das jetzt nicht unbedingt haben. Bin allerdings FBF Anfänger!

Also, wie geht das, bitte Schritt für Schritt für FBF Anfänger?


MfG,
Gerrit

 

[Telefonmännchen]

Ich bin ein mündiger Internet Benutzer, also kein Anfänger, habe jahrelang ohne Virus und sonstige Probleme überlebt ...
... ich finde es ziemlich unangenehm bevormundet zu werden
... Bin allerdings FBF Anfänger!

Es will bestimmt niemand in Abrede stellen, daß Du ein mündiger Nutzer bist. Was Du aber vorhast, beendet definitiv mit an Sicherheit grenzender Warscheinlichkeit Deine Ära als Virus- und sonstiger problemfreier Benutzer. Wenn Du vorhast Deinen Rechner bzw. Netzwerk direkt ins Internet zu stellen, dann ist das ganz allein Dein Problem. Viele Scriptkiddies u.ä warten nur auf solche "Nutzer" des Internets. Das ist Harakiri.

Ich lehne mich jetzt mal weit aus dem Fenster, aber bitte informiere Dich bitte mal über die Konsequenzen Deines Vohabens oder kannst Du einen einzigen plausiblen Grund nennen, warum Du derartiges vorhast. Jeder halbweg begabte Hacker ist in der Lage auf Deine Laufwerksfreigaben und Deine Festplatte incl. angeschlossener Peripherie zuzugreifen. Ganz abgesehen davon daß Dein gesamtes Netzwerk binnen kürzester Frist zur Spamschleuder, Server für jeden erdenklichen Inhalt wird.

Ich bin selbst kein Netzwerkprofi (beschäftige mich aber als Hobby seit ein paar Jahren zwangsweise mit dieser Materie), aber selbst mir stäuben sich alle Nackenhaare. Und die angegebenen Ports waren in der Standardinstallation (bis auf die Fehlkonfiguration älterer MS-OS) definitiv an der DFÜ-Netzwerkschnittstelle nicht "freigegeben". Wenn kein Dienst an einem Port horcht, dann ist er dicht (bis auf wenige Ausnahmen). Und die Datei- und Druckerfreigabe hat ein einer Schnittstelle zu einem unsicheren Netz, auch wenn sie durch Passworte u.a. Logins abgesichert sind, absolut nichts zu suchen.

Verstehe das jetzt nicht als Bevormundung, sondern als ernstzunehmenden gutgemeinten Rat. Um einen Remote-Zugriff aufs eigene Netz zu haben gibt es weit bessere und sicherere Lösungen. Diese sind auch hier im Forum zu finden (VPN, SSH u.ä.). Sie sind natürlich etwas anspruchsvoller zu konfigurieren. Solltest Du natürlich vorhaben, nur Subnetze zu verbinden, weil vor der FBF noch ein weiterer Router hängt, solltest Du Dich mal mit dem Thema Portforwarding in der Netzwerkkonfigration Deiner Box auseinandersetzen (zu finden unter "Internet/Portfreigabe").

Gruß Telefonmännchen

 

[TWELVE]

Jeder halbweg begabte Hacker ist in der Lage auf Deine Laufwerksfreigaben und Deine Festplatte incl. angeschlossener Peripherie zuzugreifen.

Ähm...dafür muß man keineswegs ein Hacker sein...es gibt diverse kleine Progrämmchen, mit denen sich offene Shares im Internet suchen lassen ( so wie ein Portscanner, aber eben nur für SMB/CIFS Shares).Mit "Hacken" hat das nichts zu tun, sondern mit einem ganz normalen Zugriff auf einen Share über den UNC Pfad ( \\server\share), nur das der Share eben statt im LAN im Internet liegt.Die Tools nehmen einem nur die Arbeit ab, jede Ip Adresse einzeln zu testen, indem sie ganze Ranges scannen.

Ich mache das öfters mal aus Langeweile, macht irgendwie Spaß."Leider" hat die Anzahl der offenen Shares in letzer Zeit rapide abgenommen, so das ich eigentlich froh über jeden User bin, der seine Shares offen im Internet zeigt...

Grüße

TWELVE

 

[Nyckelpiga]

Also ich habe hier eine zweiten Router, T-Sinus irgendwas, da ist nix gesperrt, damit kann ich problemlos irgendwas runterladen das mit einer solchen Adresse anfängt: http://www.web.net:445/... /datei.tar.gz

Und da hängen vier meiner fünf Rechner dran, seit einem Jahr, seit ich DSL habe. Ich bin keine Spamschleuder und habe auch noch keinen Trojaner und keinen Virus hier drin.

Vom Internet aus ist ja nur der Router sichtbar und der hat keine Probleme mit Port 445 oder irgendwelche offenen Shares oder so.

Wenn einer von euch so begabt ist könnt ihr es gerne mal versuchen.

Und Telefonmännchen, ich habe ja auch schon explizit geschrieben, dass ich KEINEN gut gemeinten Rat brauche.

TWELVE, was andere Leute so alles mit ihrem XP falsch machen interessiert mich nicht.

Ich will auf Server zugreifen die Dienste auf Port 445 anbieten und die Box verwehrt mir das und das würde ich gerne abschalten, also wie geht das?

Gerrit

 

[Nyckelpiga]

Habe jetzt da ein Posting gefunden, da steht man kann die Konfiguration in /var/flash/ar7.cfg checken und ändern, was muss ich da beachten? Auf das Flash kann man ja nicht schreiben?

Ich finde auch allerhand zu 135 und 139, aber nichts darin zu Port 445:

# cat /var/flash/ar7.cfg | grep 139
"reject udp any any range 137 139",
"reject tcp any any range 137 139",
"deny udp any any range 137 139",
"deny tcp any any range 137 139",
"reject udp any any range 137 139",
"reject tcp any any range 137 139",
# cat /var/flash/ar7.cfg | grep 135
"reject udp any any eq 135",
"reject tcp any any eq 135",
"deny udp any any eq 135",
"deny tcp any any eq 135",
"reject udp any any eq 135",
"reject tcp any any eq 135",
# cat /var/flash/ar7.cfg | grep 445

?

 

[Nyckelpiga]

Der einzig relevant Unterschied den ich finde ist die Bezeichnung des Modus, entweder wird die Box im Modus dsldmode_full_bridge oder im Modus dsldmode_bridge betrieben, wobei beim full_bridge Modus wohl nichts gefiltert wird. Wo ist jetzt definiert, dass im dsldmode_bridge Modus Port 445 geblockt wird?

Weiss das denn vielleicht jemand?

Gerrit

 

[Nyckelpiga]

Und?

 

[TWELVE]

ipnetbiosfilter = yes


Filter für DSL-Modem aktivieren (empfohlen)

Wenn diese Option aktiviert ist, werden ausschließlich PPPoE-Pakete über DSL übertragen. Es ist zudem sichergestellt, dass niemals Pakete der Datei- und Druckerfreigabe ins Internet übertragen werden.
Wird diese Option deaktiviert, kann FRITZ!Box nur als DSL-Modem genutzt werden. Alle Datenpakete werden über DSL übertragen. Die DSL-LED ist deaktiviert. Alle Computer müssen sich im selben IP-Netzwerk befinden.

dsld[845]: DSL(internet): snd_packet_drop: by netbios filter TCP 192.168.178.20:63827 -> 85.55.112.31:445 SYN

 

[Telefonmännchen]

Und Telefonmännchen, ich habe ja auch schon explizit geschrieben, dass ich KEINEN gut gemeinten Rat brauche.

Dann solltest Du auch nächstes mal schreiben, was Du vorhast. Du hattest nach dem Freigeben von Ports gefragt.

... Ich will auf Server zugreifen die Dienste auf Port 445 anbieten und die Box verwehrt mir das ...

Ich hatte zwar bis dato noch keine derartigen Bedürfnisse. Aber wenn die Box das sperrt, ist da jemand über das Ziel hinausgeschossen. Wenn Anfragen aus dem Netz an eine Adresseort gehen, sollten sie eigentlich auch so weitergegeben werden. Eine Sperre sollte nur für unaufgeforderte Anfragen aus dem Netz wirksam sein. Wenn in den Regeln nichts zu finden ist fällt mir als Würgaround nur das Bypassen der Box ein indem Du das Modem direkt ansprichst und eine Verbindung über DFÜ-Netzwerk aufbaust. Wenn Du natürlich öfter auf derartige Shares zugreifen willst, ist das zu umständlich. Vielleicht weiß jemand anders ja was besseres.

Gruß Telefonmännchen

 

[Telefonmännchen]

Und Telefonmännchen, ich habe ja auch schon explizit geschrieben, dass ich KEINEN gut gemeinten Rat brauche.

Dann solltest Du auch nächstes mal schreiben, was Du vorhast. Du hattest nach dem Freigeben von Ports gefragt.

... Ich will auf Server zugreifen die Dienste auf Port 445 anbieten und die Box verwehrt mir das ...

Ich hatte zwar bis dato noch keine derartigen Bedürfnisse. Aber wenn die Box das sperrt, ist da jemand über das Ziel hinausgeschossen. Wenn Anfragen aus dem Netz an eine Adresseort gehen, sollten sie eigentlich auch so weitergegeben werden. Eine Sperre sollte nur für unaufgeforderte Anfragen aus dem Netz wirksam sein. Wenn in den Regeln nichts zu finden ist fällt mir als Würgaround nur das Bypassen der Box ein indem Du das Modem direkt ansprichst und eine Verbindung über DFÜ-Netzwerk aufbaust. Wenn Du natürlich öfter auf derartige Shares zugreifen willst, ist das zu umständlich. Vielleicht weiß jemand anders ja was besseres.

Gruß Telefonmännchen

 

[TWELVE]

Ich hatte zwar bis dato noch keine derartigen Bedürfnisse. Aber wenn die Box das sperrt, ist da jemand über das Ziel hinausgeschossen.

Das sehe ich anders.Aufgrund der Gefährlichkeit dieser Ports ist dafür ein Filter eingebaut worden.Wer betreibt schon einen Webserver auf Port 445...?? Der Port ist eigentlich für NetBios over TCP reserviert und da macht es durchaus Sinn, diesen zu filtern.Wer es nicht mag, kann den Filter ja abschalten, wie oben von mir beschrieben.Und im übrigen kann man sowieso geteilter Meinung über einen Packetfilter sein, in den meisten Routern ist ja einer eingebaut und viele Leute aktivieren ihn auch (auch als Firewall bekannt).AVM hat diesen festen Filter für Netbios wohl eingebaut, weil immer noch jede Menge Leute ihre Shares im Internet zeigen, ohne es zu wissen.Ein Netzwerk Noob könnte dann daraus schließen, das die Router der Firma AVM nicht sicher sind.Mit sowas wollen die sich sicher ihren Ruf nicht versauen.Genauso handhaben sie es mit ihren Wireless Sachen, während andere W'less Router standardmäßig auf No encryption stehen, hat AVM die Encryption schon ab Werk eingeschaltet.Zuviele DAUs unterwegs.Da kann man tausendmal ins Handbuch schreiben, das ist gefährlich, letzendlich sind immer noch 50 % aller APs ungesichert ( auch Ärtzte, Anwälte etc.) und das wird sich nicht ändern, da immer neue DAUs nachwachsen.Wenn also eine Schutzmaßnahme nicht vom Hersteller schon ab Werk aktiviert wird, wird sie von 50 % auch nie eingeschaltet.Ich finde das gar nichtmal so schlecht was AVM da macht.Der andere Punkt ist natürlich, warum der enstprechende Haken im Web UI ausgegraut ist.
Aber der Advanced User kann das ja über telnet machen.



Grüße

TWELVE

 

[Telefonmännchen]

... Aufgrund der Gefährlichkeit dieser Ports ist dafür ein Filter eingebaut worden.Wer betreibt schon einen Webserver auf Port 445...??

Da stimme ich Dir 100%ig zu, nur wäre es mir lieb, wenn AVM derartige Konfiguration auch irgendwo dokumentieren würde. Da weiß man dann wenigstens woran man ist.

Bezüglich Deiner WLAN-Ausführungen: Ich bin heute mal mit der Bahn mit Startpunkt Stuttgart unterwegs gewesen und habe auf meinem PDA aus Langeweile mal einen WLAN-Scanner mitlaufen lassen. Wenn ich mir das Log so ansehe, bestätigt es jeden einzelnen Buchstaben Deines Postings.

Gruß Telefonmännchen

 

[Nyckelpiga]

ipnetbiosfilter = yes

Yes, vielen Dank TWELVE.

Ich hatte sogar schon selber die Idee, habe aber wohl nur nach Netbios gesucht und da meine Shell case sensitive ist wurde es nicht gefunden.


Und dann noch ein paar Kommentare zu der restlichen Konversation.

Leute die kein Windows habe finden es scheinbar lustig Webserver auf Port 445 laufen zu lassen

Wenn mein Rechner selbstständig irgendwelche Pakete über diesen Port rausschickt, dann ist mir das ziemlich egal. Schliesslich sitze ich hinter der AVM Box die mein Router und Modem gleichzeitig ist. Alles was vom Internet kommt schlägt ja zwangsläufig beim Modem/Router auf die externe IP Adresse auf, alles was von mir definiert von dort nicht explizit weitergeleitet wird an einen bestimmten Rechner verschwindet doch dann im Nirvana, oder sehe ich das falsch? Also meiner Meinung nach droht hier keine Gefahr für meine Rechner. Wenn allerdings durch die Abschaltung des Netbios Filter die Box ihren Dienst als Router völlig verweigern sollte, dann werde ich mich bei AVM beschweren, das würde ich dann in der Tat für übertrieben halten.

Gerrit

 

[TWELVE]

Alles was vom Internet kommt schlägt ja zwangsläufig beim Modem/Router auf die externe IP Adresse auf, alles was von mir definiert von dort nicht explizit weitergeleitet wird an einen bestimmten Rechner verschwindet doch dann im Nirvana, oder sehe ich das falsch?

Richtig.Und zugleich falsch..
Zusätzlich darf noch alles rein, was vorher raus ging und deshalb in der NAT Table hinterlegt wurde.Je nachdem, welcher NAT Typ das ist ( full cone , restricted cone....) könnte ein Zugriffsversuch auf die Shares eines anderen dazu führen, das dieser ebenfalls Deine Shares zugreifen kann.
Natürlich nur solange, wie der Eintrag in der NAT Table nicht "aus-ge-aged" ist.Prinzipiell hast Du aber recht, die allgemeinen Überlegungen setzen voraus, das man eine Weiterleitung für Netbios eingerichtet hat, um diese im Internet zu exponieren.Da andere Router in der Regel keinen solchen Netbios Filter standardmäßig eingeschaltet haben und trotzdem sicher sind, hält sich das Risiko in Grenzen, wenn einfach nur den Filter entfernt.
Allerdings finden viele ( aus Unkenntnis) auch nichts dabei, wenn sie ihre Shares im Internet zeigen, insofern kann man da eigentlich nicht zuviel warnen.Ansonsten kann sich ja jeder das für ihn wichtige aus den Postings entnehmen ( so wie Du es ja auch getan hast)....


Grüße

TWELVE

 

[Nyckelpiga]

Nachtrag:

Connecting to mirbsd.mirsolutions.de[81.169.132.156]:445... connected.


Yep, es funktioniert. Es gibt drei Einträge die da lauten ipnetbiosfilter = yes, habe es bei allen dreien auf 'no' gesetzt, jetzt klappt das auch mit meinen Netznachbarn. Sonst merke ich keinen Unterschied, scheint alles normal zu sein, ich kann mich ganz normal an der Box einloggen usw. Warum können die bei AVM denn da nicht eine Checkbox irgendwo hin machen um das zu triggern? Jetzt weiss ich natürlich nicht welcher der drei Einträge nun der entscheidende ist, der unter 'pppoefw', oder die weiter unten.

G.

 

[TWELVE]

Warum können die bei AVM denn da nicht eine Checkbox irgendwo hin machen um das zu triggern?

Die Checkbox gibt es.Ich habe sie oben zitiert.Sie ist nur leider ausgegraut.

Grüße

TWELVE

 

[DoctorUltra]

Wie kann ich die datei ar7.cfg bearbeiten.

Ich habe da etwas von vi gelesen nur wenn ich vi ar7.cfg eingebe kommt nichts?

 

[wichard]

Bitte nicht mit "ich hab da irgendwas gelesen" an die Konfigurationsdateien gehen...

Es muß schon nvi sein. Aber mach dich vorher schlau, wie man den bedient und wie man im Zweifel wieder aus der Datei rauskommt, ohne sie zu speichern!


Gruß,
Wichard