1. #1
    Commander
    Dabei seit
    Aug 2010
    Beiträge
    2.656

    Teredo-Filter ausschalten Sicherheit?

    Hi,
    Für ein offenes NAT der Xbox One soll man den Teredo Filter ausschalten. Laut Fritzbox wäre das ein Sicherheitsrisiko.
    Kann man das bedenkenlos dauerhaft deaktivieren?
    Fritzbox 7430 btw.
    Mit freundlichen Grüßen
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Lt. Commander
    Dabei seit
    Mai 2014
    Beiträge
    1.286

    AW: Teredo-Filter ausschalten Sicherheit?

    Ja und nicht nur da.

  4. #3
    Commander
    Ersteller dieses Themas

    Dabei seit
    Aug 2010
    Beiträge
    2.656

    AW: Teredo-Filter ausschalten Sicherheit?

    Inwiefern?
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  5. #4
    Lt. Commander
    Dabei seit
    Mai 2014
    Beiträge
    1.286

    AW: Teredo-Filter ausschalten Sicherheit?

    Ich zitiere einfach mal:

    Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen Paketfilter wirkungslos bleiben. Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt.[1][2] Dem sicherheitsorientierten Administrator wird daher empfohlen, bis zur Verfügbarkeit entsprechender Firewalls den durch Teredo benutzten UDP-Port 3544[3] komplett zu sperren.

  6. #5
    Fleet Admiral
    Dabei seit
    Mai 2012
    Ort
    Schwitzerland
    Beiträge
    16.943

    AW: Teredo-Filter ausschalten Sicherheit?

    schau doch mal bei portforward.com wie du deine fritzbox einstellen musst, damit statt striktes nat die xbox normal erreichbar ist.. (ausser du hast ein kabelprovider, dann wird es schwierig.)
    Gesendet aus der MIR mittels Rauchzeichen

    -------------------------------------------
    Wer den Schaden hat, braucht für den Schrott nicht zu sorgen
    Intolerante Menschen fühlen sich durch Tipppfeler gestört.


  7. #6
    Commander
    Ersteller dieses Themas

    Dabei seit
    Aug 2010
    Beiträge
    2.656

    AW: Teredo-Filter ausschalten Sicherheit?

    Es kann das NAT ohne Deaktivierung des Teredo Filters nicht einmal auslesen. Habe aber auch bisher keine Schwierigkeiten deshalb. Mit dem Speedport hatte ich nur disconnects oder konnte gar keine Verbindung aufbauen.
    Bei der 360 kam nur ein Ausrufezeichen im Verbindungstest dass es aktuell zu Verbindungsproblemen kommen könne. Seit ich UPnP aktiviert habe kommt das beim Test nicht mehr. Hab das für beide aktiviert. Denke manuelles Port öffnen würde nichts bringen. Dafür gibt's ja diese Funktion.
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  8. #7
    Commodore
    Dabei seit
    Nov 2007
    Beiträge
    4.870

    AW: Teredo-Filter ausschalten Sicherheit?

    UPnP ist aber selbst ein Sicherheitsrisiko und man sollte sich wirklich sehr gut überlegen, es zu aktivieren.

    Bei UPnP klopft ein Gerät im Netzwerk beim Router an und beantragt eine Portweiterleitung, der Router führt das aus. Cool, Xbox, PS4 und der PC können das, geil, muss man nix mehr machen. Obwohl.. Moment, der PC auch? Ach ja, da spielt man ja auch CoD, cool. Obwohl.. ähm.. Trojaner? Oh, die kann das dann ja auch!! Ganz genau, sobald du dir zB per USB-Stick oder eMail-Anhang Malware einfängst, kann sie auch munter Portweiterleitungen einrichten lassen, ohne dass der Router meckert. Warum auch? Der Router kann nicht zwischen gut und böse unterscheiden. Das einzige was man bei (einigen) UPnP-Routern einstellen kann, sind Access Listen, also quasi "die IP darf UPnP, die IP darf nicht". Das war's aber auch schon.

    Schau dir in der Fritzbox an welche Ports deine Xbox angefordert hat, leite diese dann manuell an die Box weiter. Im Netz findest du auch genug Infos welche Ports sonst noch gebraucht werden. Dann kannst du UPnP abschalten und dich wieder sicher fühlen

    *edit
    Teilweise ist UPnP auch derart schlamping implementiert, dass ein Router sogar am WAN-Port auf UPnP-Requests reagiert. D.h. man kann von extern Löcher in deine Firewall schießen. Nicht schlimm? Oh doch, weil man dann zB smb oder sonstige Dienste auf Geräten in deinem Netzwerk erreichen kann, die so überhaupt gar nicht für externe Zugriffe gedacht waren.
    Geändert von Raijin (22.02.2017 um 17:14 Uhr)
    LAN ist sowieso besser als Netzwerk..

  9. #8
    Commander
    Ersteller dieses Themas

    Dabei seit
    Aug 2010
    Beiträge
    2.656

    AW: Teredo-Filter ausschalten Sicherheit?

    Ich habe UPnP nur für die beiden Geräte aktiviert. Sind diese Ports trotzdem dann für alle geräte offen?
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  10. #9
    Commodore
    Dabei seit
    Nov 2007
    Beiträge
    4.870

    AW: Teredo-Filter ausschalten Sicherheit?

    Wie gesagt, der Router kann zwischen gut und böse nicht unterscheiden. Bei einer Konsole ist die Gefahr von Malware eher gering, bei einem PC dagegen beliebig hoch. Es können dann per UPnP harmlose Ports für zB ein Spiel weitergeleitet werden oder eben für zB einen Trojaner, mit dem sich ein Angreifer im worst case vollständigen Zugriff auf den PC verschaffen kann.

    Access Listen, die zB nur zwei Geräten UPnP erlauben können maximal auf Ebene der Geräte absichern, aber nicht innerhalb der jeweiligen Geräte. Wenn einerseits zB CoD Port 12345 beim Router anfordert und TrojanerXY Port 23456, dann sieht das für den Router identisch aus - abgesehen von der PortNr. Im UPnP Request steht nämlich sinngemäß nur drin "bitte Port x an IP y weiterleiten".
    LAN ist sowieso besser als Netzwerk..

  11. #10
    Commander
    Ersteller dieses Themas

    Dabei seit
    Aug 2010
    Beiträge
    2.656

    Teredo-Filter ausschalten Sicherheit?

    Wenn ich die Ports manuell freischalte liegen die doch ebenfalls offen. Verstehe nicht was der Unterschied ist. Werde mal ein Bild anhängen wie das aktuell aussieht. Ich habe nur Xbox und Xbox 360 für upnp markiert weil ich gelesen habe dass das reicht. Und offenbar tut es das zumindest bei der 360. Die One kann immer noch ihren NAT Status nicht auslesen.


    Geändert von DonSerious (22.02.2017 um 23:45 Uhr)
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  12. #11
    Commodore
    Dabei seit
    Nov 2007
    Beiträge
    4.870

    AW: Teredo-Filter ausschalten Sicherheit?

    Nein, wenn du Ports manuell weiterleitest, dann sind NUR diese Ports weitergeleitet, fest. Es kommt NIX hinzu, ohne dass du das selbst von Hand explizit einträgst. Wenn die Xbox aus ist, passiert nix, keinerlei Sicherheitsrisiko. Warum? Ganz einfach, die Weiterleitung läuft ins Leere. Der Router leitet an die Xbox weiter und die .. .. antwortet einfach nicht, aus die Maus.

    Bei UPnP bekommst du das überhaupt nicht mit, wenn Ports weitergeleitet werden, das passiert automatisch und ohne Bestätigung deinerseits. Malware kann also ganz easy beim Router anfragen "gib mir mal Port 12345" und Router sagt "ok". Von diesem Moment an kann ein Angreifer über diese Portweiterleitung - von der du gar nichts mitbekommen hast - auf deinen PC zugreifen und Schaden anrichten.


    Es ist einfach eine Frage der Kontrolle. Wenn du das von Hand machst, hast du die volle Kontrolle, du bestimmst. Lässt du das von UPnP automatisch handhaben, gibst du die Zügel aus der Hand und die Anwendung selbst bestimmt - "gute" Anwendungen wie Spiele, etc, aber eben auch "böse" Anwendungen wie Trojaner und Viren. Das alles bemerkst du nur, wenn du regelmäßig den UPnP-Status im Router beobachtest - je öfter desto besser...

    Ist deine Entscheidung. Grundsätzlich sind Komfort und Sicherheit gegenläufig. Je komfortabler etwas ist, desto unsicherer ist es und umgekehrt. Simples Beispiel: Haustür. Lästig, jedes Mal den Schlüssel rauszufummeln und aufzuschließen. Unkomfortabel, aber sicher. Lässt man das Schloss weg, muss man nicht mehr fummeln und kommt easy rein. Komfortabel, aber unsicher. Dasselbe gilt analog für UPnP. Automatik = komfortabel, unsicher. Manuell = lästig, sicher. Wobei sich "lästig" auf eine einmalige Einrichtung der Portweiterleitungen bezieht, danach muss man die nicht mehr anfassen.
    LAN ist sowieso besser als Netzwerk..

  13. #12
    Commander
    Ersteller dieses Themas

    Dabei seit
    Aug 2010
    Beiträge
    2.656

    Teredo-Filter ausschalten Sicherheit?

    Aber upnp ist doch nur für Xbox aktiviert und nicht für den pc. Öffne ich die Ports manuell sind die ja auch dauerhaft geöffnet. Bisher erschließt sich mir deine Logik nicht.
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  14. #13
    Fleet Admiral
    Dabei seit
    Mai 2012
    Ort
    Schwitzerland
    Beiträge
    16.943

    AW: Teredo-Filter ausschalten Sicherheit?

    stellst du upnp im router auf ein, kann jedes gerät im netzwerk türchen öffnen, nicht nur die der xbox.
    steht ja auch so im router
    Alle Geräte im Heimnetz dürfen Portfreigaben selbstständig verändern
    Geräte wie Spielekonsolen bzw. Anwendungen mit UPnP- oder PCP-Unterstützung können im Heimnetz Portfreigaberegeln der FRITZ!Box automatisch verändern. Aktivieren Sie diese Option aus Sicherheitsgründen nur, wenn Sie tatsächlich eingehende Verbindungen aus dem Internet gestatten müssen, die von den Geräten selbst verwaltet werden.
    Gesendet aus der MIR mittels Rauchzeichen

    -------------------------------------------
    Wer den Schaden hat, braucht für den Schrott nicht zu sorgen
    Intolerante Menschen fühlen sich durch Tipppfeler gestört.


  15. #14
    Commander
    Ersteller dieses Themas

    Dabei seit
    Aug 2010
    Beiträge
    2.656

    Teredo-Filter ausschalten Sicherheit?

    Es sind aber nur die beiden markiert gewesen. Seis drum. Also mache ich nun ein Portprofil für beide Konsolen und füge diese manuell hinzu.


    Wo genau deaktiviere ich upnp generell? Die Ports stehen mal nicht mehr auf der Startseite seit ich den Haken rausgenommen habe aus den beiden Boxen.
    Geändert von DonSerious (23.02.2017 um 15:39 Uhr)
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  16. #15
    Commander
    Ersteller dieses Themas

    Dabei seit
    Aug 2010
    Beiträge
    2.656

    AW: Teredo-Filter ausschalten Sicherheit?

    So, passt das nun?
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  17. #16
    Commodore
    Dabei seit
    Nov 2007
    Beiträge
    4.870

    AW: Teredo-Filter ausschalten Sicherheit?

    Im ersten Beitrag schreibst du, dass die Fritzbox dich warnt und du kein Sicherheitsrisiko eingehen willst. Bei UPnP warnt sie dich auch. Wie auch immer, mach was du willst. Ist dein Netzwerk. In diesem Sinne..
    LAN ist sowieso besser als Netzwerk..

  18. #17
    Fleet Admiral
    Dabei seit
    Mai 2012
    Ort
    Schwitzerland
    Beiträge
    16.943

    AW: Teredo-Filter ausschalten Sicherheit?

    dafür sind portprofile übrigens gedacht, damit du bequem hin und her switchen kannst.
    Gesendet aus der MIR mittels Rauchzeichen

    -------------------------------------------
    Wer den Schaden hat, braucht für den Schrott nicht zu sorgen
    Intolerante Menschen fühlen sich durch Tipppfeler gestört.


  19. #18
    Commodore
    Dabei seit
    Nov 2007
    Beiträge
    4.870

    AW: Teredo-Filter ausschalten Sicherheit?

    Ich sehe jetzt erst, dass du zwei Xboxen hast (Deine Screenshots sind auf meinem Smartphone gigantisch groß, nicht lesbar).

    Das ist sowieso ein Problem. Portweiterleitungen müssen eindeutig sein. Du kannst nicht denselben Port an zwei IPs weiterleiten. D.h., dass zB 3074 (UDP/TCP) nicht sowohl an die Xbox360 als auch an die XboxOne geleitet werden kann. Selbst wenn die Fritze das im Menü zulassen würde, könnte nur eine davon aktiv sein. Normalerweise kommt dann eine Fehlermeldung. Das kann und wird vermutlich der Grund für deine NAT-Probleme sein. Die Xbone braucht einen Port, der aber bereits an die 360 weitergeleitet wurde.

    *edit
    Klemm mal die 360 komplett ab und leite die Ports ausschließlich an die One weiter. Dann machst du nochmal den NAT-Test.
    Geändert von Raijin (23.02.2017 um 16:44 Uhr)
    LAN ist sowieso besser als Netzwerk..

  20. #19
    Commander
    Ersteller dieses Themas

    Dabei seit
    Aug 2010
    Beiträge
    2.656

    Teredo-Filter ausschalten Sicherheit?

    Hab ich schon. Für einen auslesbaren NAT muss der Teredo Filter aus sein. Sagt auch jeder der eine Fritzbox hat. Egal

    Ich lasse das auf dem Bild gezeigte mal wie es ist für die 360. Es ist also kein Gerät mehr UPnP berechtigt. Gänzlich ausschalten kann man diese Funktion irgendwie nicht. Habe auch selbst NICHTS am Werkszustand geändert.

    Es sind nun 6 Ports offen, klicke ich darauf komme ich auf die Seite mit den für die xbox freigegebenen. Das sind nunmal 6.

    Das mit diesen Profilen ist leider doch nicht wie ich dachte. Das sind keine Masken. Musste die Ports nochmal unter Portweiterleitung erneut eintragen.

    Aber damit ihr wisst ob es geklappt hat oder nicht. Hatte UPnP für die 360 deaktiviert, im Netzwerktest kam die Warnung mit dem Ausrufezeichen. Nach eintragen der Ports war das dann wieder normal.
    Was mich wundert ist, weshalb die 360 mit UPnP nur Port 3074 wollte obwohl das Ding ja 6 Ports benötigt.
    Geändert von DonSerious (23.02.2017 um 16:59 Uhr)
    System
    Case: Sharkoon T9 green Edition | Mainboard: MSI P67A-GD53 | HDD: WD Red Pro 6TB WD6002FFWX
    NT: Corsair GS 600 | RAM: 2 x 4,00 GB RAM G.Skill @ 1333 MHz | SSD: SAMSUNG 840 Evo 256 GB
    GPU: Palit GTX 970 Jetstream | CPU: Intel i5-2500k @ 4,3 GHz (1,33V), Mugen 2 Rev. B
    Maus: Gigabyte GM-M8000 | Keyboard: Logitech G510 | Headset: Logitech G930
    OS: Windows 10 Pro 64 Bit
    | Phone: Apple iPhone SE Roségold 64 GB | Notebook: MSi GT70

  21. #20
    Commodore
    Dabei seit
    Nov 2007
    Beiträge
    4.870

    AW: Teredo-Filter ausschalten Sicherheit?

    Das ist schnell erklärt. Die Ports, die man zB bei Xbox-Live in den FAQs sieht oder auf einschlägigen Portforwarding Seiten, sind die Ports die potentiell benötigt werden. Nicht alle Ports werden zwangsläufig permanent verwendet.

    So laufen beispielsweise Voice-Chats nicht unbedingt über den Live-Server, sondern direkt von Xbox zu Xbox (Vermutung + Beispiel, hab keine Xbox). Ist man aber in keiner Voice-Party, fordert die Xbox den dazugehörigen Port wohl auch nicht an. Dynamisch ist eben dynamisch und wird bei Bedarf weitergeleitet oder eben nicht, je nachdem wie die Xbox die Ports beim Router anfordert.
    Eine statische Weiterleitung ist immer da. Das ist aber halb so wild, weil wenn am Ziel-Gerät die Anwendung nicht läuft (zB Voice), dann wird das sowieso geblockt.

    Im übrigen heißt eine fehlende Weiterleitung nicht zwangsläufig, dass zB Voice nicht funktioniert. Je nachdem wofür der Port verwendet wird, ist u.U. ein anderer Mitspieler der Server (inkl. Portweiterleitung) und du lediglich Client.


    Ich hab den Thread jetzt nochmal überflogen: Hast du eigentlich irgendwelche handfesten Probleme, außer dass der "NAT-Test" fehlschlägt? Fliegst du aus dem Spiel oder kannst nicht mit anderen Spielern Voicechatten? Wenn's am Ende nur ne doofe Anzeige bei einem Test ist, dann kannste das ja knicken..
    LAN ist sowieso besser als Netzwerk..

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite