Port Forwarding ein "Schutz" vor Angriffen auf Webserver?

Hc-Yami

Admiral
Registriert
Juni 2010
Beiträge
7.283
Guten Tag,
leider habe ich das mit dem Port Forwarding noch nicht ganz verstanden.
Ich habe gelesen, dass es wohl sinnvoll sei, nicht die Standard Ports zu nutzen.
Ich möchte hier betonen, dass ich weiß, dass es nicht ein Schutz ist, sondern eher ein I-Tüpfelchen an "Schutz".

Wie wäre es dann am sinnvollsten?
Fritzbox leitet Port 80 an Port 80 weiter. (Standard)
Fritzbox leitet Port 80 an Port XY weiter. (Standardport im Internet, Intern ein anderer Port)
Fritzbox leitet Port XY an Port 80 weiter. (Anderer Port im Internet, Intern der Standardport)
Fritzbox leitet Port XY an Port XY weiter. (Nirgendswo Standardports)

Grüße
 
Am Sinnvollsten ist es die Standard Ports zu nehmen, wenn jemand einen Portscan bei dir macht, sieht er sowieso alle nach außen offenen Ports, daher macht es nur Sinn andere Ports zu nutzen, wenn man z.B. 2 Webserver auf der selben IP betreibt.
 
Hc-Yami schrieb:
Fritzbox leitet Port XY an Port 80 weiter. (Anderer Port im Internet, Intern der Standardport)
Das wäre am "sichersten". Wobei es immer auf die Anwendung ankommt die hinter dem Port steckt.
 
Es ist der externe Port, der von außen gesehen zählt. Ich weigere mich hier das Wort "sicherer" zu benutzen, es wäre aber zumindest etwas geschickter wenn die Fritzbox einen Port >1024 auf beispielsweise Port 80 weiterleitet. Zu beachten ist dabei natürlich, dass dieser Port beim Zugriff auch immer explizit angegeben werden muss.
 
Wenn du es als zusätzlichen "Stolperstein" für externe Skriptkiddies einsetzen willst, dann benutzt du nach aussen nicht den Standardport. Nach innen macht eine Porttranslation nur Sinn, wenn man den Dienst aus irgendwelchen Gründen nicht auf dem Standardport laufen lassen kann. Alles andere ist nur überflüssiger Konfigurationsaufwand.
 
Naja der Port 80 ist zunächst mal nur ein "Hinweis" darauf, dass das Protokoll "Http" ist.

Ein Portscan dauert allerdings nicht lange. Da ist der Schutz durch wechsel der Ports nur sehr gering.

Port XY auf 80 ist also fast sinnlos.

Portscanner die von "Hackern" benutzt werden scannen zunächst alle Ports ab und dann alle gängigen Protokolle (http, https, RDP, ssh, Telnet etc.)

am sinnvollsten ist es die Portfreigaben nur dann einzurichten wenn du sie brauchst und ein sicheres Passwort zu verwenden.
 
Vernünftig scheint Standardports zu verwenden. Sind nun mal Standard und es werden sowieso alle Ports gescannt und nicht nur die Standardports.
 
Ich sehe ehrlich gesagt nicht welchen Vorteil Port Forwarding hier in Bezug auf Sicherheit bringen soll. Lasse mich aber gerne eines Besseren belehren.
 
Ich denke die Gefahr durch Portscans wird hier etwas überschätzt. Das wäre ein gezielter Angriff und im Verhältnis zu den gängigen Zugriffversuchen durch Ungebetene eher unwahrscheinlich. Zumindest halten sich meiner Erfahrung nach im privaten wie beruflichen Bereich die Zugriffsversuche auf Dienste, die nicht über den Standardport erreichbar sind, in sehr engen Grenzen.

Egal wie man es macht, die Sicherheit des Dienstes dahinter spielt die allergrößte Rolle.
 
Zuletzt bearbeitet:
bringt ja nicht viel, wenn du die standardports nur im router änderst. du müsstest wenn schon die ports in der serversoftware (webserver) ändern.. das problem wird aber sein, dass nach wechseln der port 80 und 443, gar keiner mehr zugriff auf deine websiten haben wird (mit der normalen url).
 
Ob Musterstraße 1 oder Musterstraße 50, ob mit rosa oder blauer Tür, ob runde oder eckige Tür... Wenn ich meine Tür nicht Absperre oder gar offen lasse, dann findet der Dieb sein Ziel.
 
Das einzige was das bringt ist, die 0815 Pseudo-Hacker los zu werden. Die meisten Tools scannen die Standardports ab oder die "registered" unterhalb von 1024. Wenn aber dir wirklich was böses will und halbwegs Google benutzen kann, den hält das nicht ab.

Ob der WebServer nun auf Port 80 läuft oder auf 23141 spielt letztendlich keine Rolle.
 
Eins vornweg, wenn es jemand darauf abgesehen hat, bringt die Nutzung eines Ports abweichend vom Standard nichts.

Ich habe aber einige Jahre lang mit Hilfe eines Honeypot beobachtet, dass Ports > 50000 weniger bis gar nicht angegriffen werden. Es spielt auch eine Rolle, ob die öffentliche IP-Adresse sich alle 24 Std. ändert oder ob es sich um eine Statische IP handelt.

Im Privaten Bereich, mit wechselnder Öffentlicher IP-Adresse, bringt die Weiterleitung von Port > 50000 an Port > 50000 dann doch etwas und ich würde es dem Standard vorziehen.

Man muss sich aber bewusst sein, dass das kein Freibrief ist und das Sicherheitsupdates weiterhin regelmäßig eingespielt werden müssen!
 
Zuletzt bearbeitet:
Wie genannt geht es nur um ein I-Tüpfelchen. Es scheint dann wohl doch Sinn machen, anscheint einen Port über 50.000 zu nehmen. Das schadet ja nicht.

Danke für die vielen Antworten!
 
Hc-Yami schrieb:
Wie genannt geht es nur um ein I-Tüpfelchen. [...]

Für mich ist das nichtmal ein i-Tüpfelchen ;)

Aufwand und Nutzen stehen mMn. in keinem Verhältnis. Es bringt dir eigtl. garnix, du hast aber ständig Fummelei mit dem Einrichten des Forwardings für unzählige Default-Ports und im Anschluss beim Aufrufen der Dienste.
Wer tut sich das denn an? :D
 
Eben, das Kosten-Nutzen - Verhältnis stimmt hier nicht.
Es ist eine Sache, ob ich ne Administrationsoberfläche nur über Port 8080 aufrufen kann, aber bei jedem Scheiß ne Port-Angabe an die URL schreiben? Das ist doch beknackt. Sicherheit erreicht man nicht durch Verschleiern der Ports, sondern durch sichere Anwendungen.
 
Ach, dass hatte ich missachtet. Nein dann bleibt es bei Port 80.
Danke für eure Hilfe!
 
Zurück
Oben