Port-Sicherheit?
Schönen guten Tag,
ich folgendes wissen: Man soll ja in Firewalls immer alle Ports geschlossen halten. Ich frage mich gerade, warum? Mir ist klar, dass ich für die meisten Dienste keinen offenen Port haben möchte, aber ich frage mich gerade, was wäre, wenn ich z.B. an meiner Computer-Firewall Port 5529 öffnen würde, aber keinen Dienst auf meinem Computer hätte, der diesen Port beansprucht. Wäre es dann ein Sicherheitsrisiko? Falls ja, auf Basis dessen, dass ich eventuell irgendwann man ein Programm haben könnte, dass den Port nutzt und von Außerhalb angesprochen werden könnte oder warum wäre es sonst ein Problem? Wäre es überhaupt ein Problem?
Danke im Voraus
3 Antworten
Ohne Service hinter einem Port ist das Risiko eines Angriffs praktisch gleich null. Das Problem ist halt wie mit einer offenen Haustür: Wenn man sie immer offen lässt, weil man denkt, dass im idyllischen Dorf auf dem Land sowieso nie etwas passiert, dann ist die Tür auch offen, wenn mal ein Einbrecher unterwegs ist.
Ich glaube es gab einmal in 20 Jahren einen Exploit im TCP-Stack von Linux, bei welchem ausschliesslich das Senden von Paketen für den Verbindungsaufbau genügte, um nachher ohne irgend einen einzigen laufenden Service irgendetwas Sicherheitsrelevantes im Kernel ändern zu können.
Eine Firewall ist sowieso kein absoluter Schutz, da es ausgehende Verbindungen gibt, die auf der Firewall einen "State" erzeugen, damit Antwortdaten zurückgeschickt werden können. Dort besteht ein potenzieller Agriffsvektor. Auch kann bei Verwendung von DHCP, wie das oft der Fall ist z.B. die Adresse eines Firewallrouters WAN-seitig upgedatet werden, z.B. auf ein privates IP-Subnetz, wenn dies nicht in der DHCP-Policy explizit verboten wird. Dann kann es unter Umständen sein - je nach Systemeinstellungen und benutzter Firewall - dass vermeintlich lokaler Traffic den Firewall passieren resp. umgehen kann.
Zum Problem wird es erst, wenn tatsächlich ein Dienst auf dem Port läuft. Dabei ist aber zu beachten, dass du dir sicher sein musst, dass wirklich kein Dienst auf dem Port läuft. Es gibt bei Windows oder Linux durchaus Programme/Funktionen die über TCP kommunizieren von denen man nicht unbedingt weiß
Solange man keine Schadsoftware auf dem System hat, ist die Gefahr durch nicht gesperrte Ports gering. Wenn man Malware/Viren etc. drauf hat, kommunizieren die häufig über zugängliche Ports, um dem Host Daten zu übermitteln oder weitere Aufgaben von ihm zu erhalten.
Nein, solange keine unerwünschte Software auf einem der Clients drauf ist, die diesen Port nutzt ist es kein Problem. Ich gehe in der Regel so vor, dass grundsätzlich alle Ports sperre am Anfang, und dann jene einzeln freischalte, die ich brauche. Bei vielen Routern gibt es auch die vereinfachte Variante, die Firewall gesamthaft auf einen gewünschten Sicherheitslevel zu setzen, damit man nicht so viel Handarbeit hat. Je nach Level sind dann auch einige Ports dabei, die man nicht wirklich bräuchte.
Nein es ist kein Problem. Aber eines Tages startest Du vielleicht eine Software, die just diesen Port 7000/tcp für eingehende Verbindungen abhört, und dann ist der Port mitunter tagelang gegenüber dem Internet und für beliebige Attacken offen, ohne dass Du Dir darüber bewusst bist. Die Erfahrung zeigt einfach, dass es passiert, weil der Mensch vergesslich ist. Deshalb ist es besser, Ports nur dann zu öffnen, wenn man sie wirklich braucht, und nicht auf Vorrat.
Absolut einverstanden. Aber solange auf dem Client keine Software ist, die mit den Anfragen was anfangen kann, passiert nix. Doch besser vorbeugen, als sich möglicherwiese Ärger einhandeln, den man hätte vermeiden können :-)
Ja. Es geht ja nicht nur um eingehende Verbindungen. Ich würde sagen, bei den meisten Clients sind ausgehende Verbindungen das viel grössere Risiko.
Irgendeine Software, die "nach Hause telefoniert". Die hält dann eine Verbindung über den bestkonfiguriertesten Firewall mit Antwortkanal offen, weil ausgehender Traffic sowieso meistens eine "default allow" Policy erhält. Damit lässt sich der Rechner dann, je nach Privilegien, unter welchen die Software läuft, mehr oder weniger fernsteuern. Und tausende von Programmen telefonieren regelmässig nach Hause. Selbst wenn es gut gemeint ist, z.B. ein Prozess für automatische SW-Updates, ist das natürlich immer auch ein gewisses Risiko.
Danke für die Antwort, aber es war mehr im Sinne von geöffneten Port für eingehende Kommunikation. Also ich habe einen Computer, dessen port 7000 von außen erreichbar ist, aber ich habe auf meinem Computer keinen Dienst, der den Port 7000 nutzt, ist dein ein Problem?