ComputerBase
Aktuelles

Firewall- Regeln

O

owl2010

Lt. Junior Grade
Registriert
Mai 2018
Beiträge
461
Hallo,

ich habe eine generelle Frage zu den Firewall-Regeln:

Wenn ich eine Regel erstelle z.B.

Internal -> Port ... -> any

So ist dieses doch nur eine Regel von innen nach außen oder?

D.h. nach innen kann jemand nur über den Port zugreifen, wenn vorher ein Client aus dem internen Netzwerk nach außen über den Port an eine Adresse zugegriffen hat oder?

Muss man sich bei diesen Regeln sorgen machen, wenn als Ziel "any" definiert wird? Oder ist es hier ratsam, auch immer nur das betreffende Ziel anzugeben? Teilweise ist dieses ja nicht immer defnierbar...



Gruß und dank
 
Öh... versteh ich nicht, wie wäre es mal konkret ein Beispiel zu nennen und eventuell sogar die betroffene Firewall? Hardware? Software?
 
Sorry, aber deine Frage ist absolut nichtssagend. Du muss schon konkret angeben über welche Firewall du redest. pfSense, sophos oder eben auch Windows-intern bzw. iptables unter Linux.

Darüber hinaus gehören zu einer Firewall auch stets mehrere Netzwerke. Daher wäre auch die grundlegende Infrastruktur von Interesse - im einfachsten Falle eben WAN ||Firewall|| LAN
 
Vielleicht schreibst du ein bisschen was zur verwendeten Firewall, dann macht das Beispiel vielleicht Sinn.

owl2010 schrieb:
D.h. nach innen kann jemand nur über den Port zugreifen, wenn vorher ein Client aus dem internen Netzwerk nach außen über den Port an eine Adresse zugegriffen hat oder?
Zum Vergrößern anklicken....
Nein. Ist der Port nicht für den Zugriff von außen freigegeben, kann niemand über den Port mit "innen" reden. Hat ein System eine erlaubte Verbindung aufgebaut, kann das Gegenüber, je nach verwendetem Protokoll, Antworten zurückschicken. Stichwort: "Connection Tracking"

PS: Ist natürlich immer alles etwas relativ, daher sind genauerer Angaben wichtig, vor allem zur verwendeten Firewall.
 
Ok, sorry!
Also ich verwende eine Sophos Firewall.
Das System ist WAN ||Firewall|| LAN
Es geht z.B. darum wenn ich mit meinem Handy im LAN bzw. WLAN bin, dass ich WhatsApp gestatten möchte über die Ports 5222 und 5223 zu kommunizieren. Wenn ich diese nicht freigebe nach außen, dann kann ich keine Nachrichten empfangen oder senden. Meine Frage daher, ob es dann "gefährlich" ist, die folgende Regel zu erstellen:
Internal -> TCP 5222 & TCP 5223 -> any
 
Jeder offene Port ist potenziell eine Tür für böses Gesindel, wenn irgendeine Hardware eine noch nicht entdeckte Sicherheitslücke hat.
 
Nach außen ist eine Firewall normalerweise nicht restriktiv. D.h. dass ausgehende Verbindungen auf allen Ports möglich sein sollten, auch auf TCP 5222-5223. Eingehend braucht WhatsApp keine Ports.
 
Aber per se kann durch diesen Port doch erst einmal nur von innen nach außen kommuniziert werden oder?
Wie würde man die Regel denn sicherer machen? Was könnte ich alternativ als Ziel bei WhatsApp für any eingeben?
 
Vorweg: Ich kenne mich mit der Syntax unter Sophos nicht aus, daher ist alles folgende mit Vorsicht zu genießen.

Wenn ich die Regel richtig interpretiere, sagt sie aus, dass vom lokalen Netzwerk (internal) mit allen Zielen (any), also inkl. Internet, auf dem spezifizierten Port kommuniziert darf. In Deutsch heißt das soviel wie: Das Heimnetzwerk darf auf diesem Port ins Internet telefonieren.

So eine Regel bezieht sich ausschließlich auf ausgehende Verbindungen. Also zB Smartphone ----Sophos----> Internet. Insofern ist deine Vermutung also korrekt, wenn meine Interpretation der Sophos-Syntax denn richtig ist ;)


Aber: Natürlich sind Regeln dieser Art nur sinnvoll, wenn zuvor die Firewall ausgehende Verbindungen grundsätzlich blockiert. Frei nach dem Motto: "Nix darf raus, außer Port x, y und z". Das sind dann üblicherweise solche Ports wie zB TCP 80/443 damit man surfen kann sowie zB Ports für SMTP (emails) und dergleichen.
Wenn die ausgehende Firewall jedoch gar nichts blockiert, was im privaten Umfeld Standard ist, bringt auch so eine freigebende Regel nix, weil die Verbindung ja eh zugelassen ist, weil sie gar nicht verboten wurde.
 
Danke für deine ausführliche Antwort!
Also die Firewall blockiert per se erst einmal alles-daher muss ich ja diese Regel erstellen, damit WhatsApp überhaupt klappt.
Deaktiviere ich die Regel, läuft WhatsApp nicht.
 
Lass dir aber gesagt sein, dass eine "alles ausgehende Blocken" Philosophie der Firewall im privaten Umfeld sehr anstrengend sein kann. Heute ist es WhatsApp, morgen Lieferando und übermorgen irgendein Mobile Game.

Normalerweise werden ausgehende Firewalls nur in professionellen Umgebungen so konfiguriert, weil die Ausnahmen sich auf einige wenige well-known Ports beschränken, zB eben 80/443 zum Surfen. In einer Firma sind auch Apps am Handy, die keinem Firmenzweck dienen, kein Thema also auch keine Ausnahmen dafür.

Wenn du also in die Situation kommst, wie ein Weltmeister Ausnahmen in der ausgehenden Firewall einzubauen, kannst du sie auch gleich öffnen - wie es in Millionen von Internetroutern der Fall ist. Die größte Gefahr im www kommt nämlich durch die eingehenden Verbindungen und diese werden grundsätzlich immer geblockt, auch bei x-beliebigen Internetroutern.
 
Ist aber, soweit ich mich erinnere, bei sophos standard, alles zu blocken. ;)
Passt natürlich zu Firmennetzwerke, meist ist zudem eine bei der Einrichtung aktivierte Regel, dass Web und E-Mail erlaubt ist. Alles Weitere muss man dann händisch erfassen und kann echt anstrengend werden (habe ich mir eine Weile angetan... (sophos UTM)).
Das interne verbreiten von Malware und die Kommunikation dieser kann so natürlich besser unterbunden werden. Man regelt so auch den erlaubten Verkehr zwischen VLANs im internen Netz, der Drucker braucht ja in der Regel weder peer2peer noch Emails, da reicht es, auf dem Drucker-VLAN das entsprechende Protokoll freizugeben und das auch nur für VLANs die drucken, das IoT-Netz z. B. nicht. War eine heiden Arbeit. Hat funktioniert. Hatte nie Probleme mit Malware, Viren, ransomware o.ä., hätte ich aber vielleicht auch so nicht gehabt. Wer weiss...

Jedenfalls kann man gut intern - > port-> any machen. Noch restriktiver wäre statt "any" die IP-Blocks von WhatsApp zu hinterlegen. Das ist bei sophos gut machbar. Aber die IP blocks könnten sich auch wieder ändern oder erweitert werden. Es ist halt immer ein Abwägen zwischen Sicherheit und Komfort. Die Frage, welche Gefahr besteht, wenn deine eigenen Geräte auf dem "WhatsApp-Port" mit irgendwas im Internet kommunizieren dürfen, musst du für dich selbst erörtern. Dass eine Malware just diesen Port für die Heimkommunikation nutzt, dürfte doch eher unwahrscheinlich sein.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Avenger84
Generelle Frage zur Firewall Regel "Forward" im Zusammenhang mit Wireguard
Antworten
9
Aufrufe
807
UniqueSpirit
UniqueSpirit
9
Malwarebytes Windows Firewall Control blockiert nicht trotz Regeln
Antworten
9
Aufrufe
1.630
90210
9
CyborgBeta
Docker compose Netzwerk weicht interne Firewall auf
Antworten
3
Aufrufe
474
CyborgBeta
CyborgBeta
X
Heimnetzwerk Ausbau/Verbesserung (Firewall, Netzsegmentierung)
2
Antworten
29
Aufrufe
2.126
XXXBold
X
C
  • Frage Frage
Synology DS224+ Firewall einrichten Probleme
Antworten
16
Aufrufe
1.237
Chris1277
C
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

Dieser Dialog konnte nicht vollständig geladen werden, eine Zustimmung gilt daher nur vorläufig. Blockiert ein Browser-Add-on Third-Party-Scripte?

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 157 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz