Ist es gefährlich ein Port auf einer FritzBox zu öffnen?
Ich habe in letzter Zeit Spaß am Experimentieren mit Computern und habe es geschafft, ein Programm so zu programmieren, dass ich von einem PC eine Nachricht an den Anderen im gleichen Netzwerk schicken kann. Jetzt möchte ich es auch schaffen, dass ich mit meinem Freund (der nicht im gleichen Netzwerk ist) Nachrichten mit meinem Programm austauschen kann. Dabei muss ich, soweit ich verstanden habe, einen Port auf meinem Router öffnen. Wie gefährlich ist so etwas? Und wenn ich z.B. dieses Programm jemandem gebe, dem ich nicht vertraue, könnte er etwas damit anstellen? (Im Bezug auf die IP und den offenen Port)
Ich hatte auch mal gehört es gibt auch extra VPN´s dafür oder so extra Proxys, wo kriegt man die und sind die Kostenlos?
Sagt es mir bitte einmal für port 80 und einmal für 9000
*Ich hab übrigens auch einen Raspberry Pi 5 falls man damit irgentwie die Sicherheit erhöhen könnte.
4 Antworten
Das Freigeben eines Ports ist noch nicht gefährlich.
Gefahr droht, wenn an diesem Port ein Dienst auf Anweisungen wartet, der eine bekannte Schwachstelle hat. Denn diese könnte dann ggf. ausgenutzt werden.
Ein Stück weit kann man diese Problematik vermeiden, indem man nicht die Standardports der Anwendung verwendet sondern andere, individuell konfiguriererte.
Mach das nur wenn die IP wo du den Port freigibst in einer DMZ steht. Wenn die IP in deinem normalen LAN steht dann hast du den Arsch unter Umständen offen wenn Externe direkt auf dein LAN zugreifen können und das Gerät kompromittiert wird.
Zuhause ist das "fast" halbwegs noch egal aber wenn das in einer Firma passiert ensteht dadurch gleich mal ein großer wirtschaftlicher Schaden.
In Firmen macht man auch öfter Reverse Proxies statt direkt eine Portfreigabe damit die UTM-Firewall im Anschluss auch noch den Datenverkehr prüfen kann der am Reverse Proxy terminiert.
So können Firmen schadhaften Traffic gleich rausfiltern. Ein Beispiel du hast einen Webserver gehostet wo der Webserver eine Datenbank anspricht. Das passiert zb. wenn du dich auf dieser Website mit deinen Credentials anmelden musst.
Jetzt könnte ein Angreifer SQL Injections gegen die Website probieren und so an den Admin Benutzer kommen. Eine UTM Firewall kann dann die SQL Injection einfach blockieren. Man sagt die UTM Firewall schauen in die Anwendungsschicht L7 des OSI Models hinein.
Leider haben Fritz Boxen nicht im Ansatz solche Enterprise UTM Features. Wenn du also einen Server hast und eine Firma dahinter sichere das Zeugs ordentlich ab bzw. hol dir hilfe von einem Fachmann.
Solche Firewalls kosten auch schonmal gerne 1000€ und mehr.
Es kann ein Sicherheitsrisiko sein.
Aber gefährlich wäre es nur wenn es in dem Programm oder Betriebssystem das Daten auf diesem Port entgegen nimmt eine Lücke gäbe, oder falsch konfiguriert ist.
Das einfachste Beispiel wäre, du gibst einen Port für ein Admininterface ein das den Standardzugang verwendet, oder nutzt ein altes Programm mit bekannter Sicherheitslücke und gibst dafür einen Port frei.
Mit dem Port an sich hat das nur so halb zu tun. Im Prinzip kann alles auf jedem Port laufen, es gibt halt nur Standard Ports auf denen man etwas bestimmtes erwartet, wie 80 für http. Aber es zwingt dich niemand Port 80 für http zu nutzen.
VPN ist eine bessere Möglichkeit, auf einer Fritz Box kann man einen VPN Server aktivieren, damit man über den VPN Zugang alles im lokalen Netzwerk erreichen kann.
Theoretisch gibt es auch Wege um Verbindungen zwischen zwei Clients hinter NATs aufzubauen, schau mal hier, insbesondere STUN und TURN, das nutzt man z.B. um im Internet bei bestimmten online Meeting Lösungen Sprache direkt zwischen Clients zu übertragen statt über einen Server. https://en.wikipedia.org/wiki/NAT_traversal bin nicht sicher, ob das für dein Problem das richtige ist, aber schaden kanns nicht.
Offene Ports erlauben nur, von außen mit dem Programm zu kommunizieren, solange du nicht extrem grobe Fehler gemacht hast, ist das kein Problem.
Nimm aber nicht Port 80, der ist http normalerweise vorbehalten, und da wird eher durchgescannt.