Fritzbox 6591 externer Zugriff: offenen Port in Firma rausfinden

[banjogit]

Hallo zusammen,

ich würde gerne von extern auf meine Fritzbox 6591 (zuhause im Keller) zugreifen. Der externe Zugriff funktioniert auch überall, nur leider nicht von meiner Firma aus. Der Grund: anscheinend sind dort bestimmte Ports gesperrt.
Man kann den TCP-Port für den externen Zugriff in der Fritzbox ja ändern:
Internet -> Freigaben -> Fritzbox-Dienste -> Internetzugriff auf die Fritzbox über HTTPS -> TCP-Port für HTTPS

Wie aber finde ich in meiner Firma heraus welche Ports dafür in Frage kommen? Einen Firmenadministrator will ich dazu nicht befragen. Ich habe schon im Kommandozeilenfenster mit "netstat -an" herumgespielt, bin aber leider nicht daraus schlau geworden.

Danke für jede Hilfe!
-banjogit-

 

[leipziger1979]

Im Extremfall sind halt nur die Ports 80 und 443 offen für Webbrowsing.
Also müsstest die Ports nehmen.

Davon würde ich aber abraten da das Standardports sind und natürlich von den "bösen" im Internet gescannt werden.

 

[BFF]

Solltest aber fragen.

Im einfachsten Fall lassen die nur die Ports 80/443 nach draussen.

 

[Einmalig]

[...]Einen Firmenadministrator will ich dazu nicht befragen.[...]

Das ist eine sehr gute Idee. Dein Vorhaben ist ähnlich so gut, als wenn du die Eingangstür ins Gebäude offen lässt, damit man euch die Bude ausräumen kann. Viel Erfolg!

 

[Robo32]

Einen Firmenadministrator will ich dazu nicht befragen.

Brauchst du den Job?

 

[Einhörnchen]

Wenn du das Internet im Büro privat nutzen darfst, kannst du es, wie schon oft beschrieben, mit 80 oder 443 versuchen. Vorzugsweise 443 (in deinem eigenen Interesse). Da du nur die Netzwerkkonfiguration deines privaten Routers anpasst und keine der Firma, sollte das rechtlich und sicherheitstechnisch OK sein.

Wenn du das Internet im Büro nicht privat nutzen darfst, solltest du von der Aktion die Finger lassen.

 

[Lawnmower]

Denke nicht dass Port 80 und 443 gesperrt sind für dich als Client da ja dann faktisch der Zugriff aufs Internet nicht mehr gehen würde, das liegt an was anderem wie z.B. an Webfilter. Ausser es wäre ein Proxy dazwischen, dann geht tatsächlich alles über den.

Würde an deiner Stelle die Ports wieder dichtmachen und stattdessen eher mit der Fritz VPN Lösung arbeiten wo Du dann den Zugriff ab deinem Smartphone machen kannst - somit tangiert das dein Arbeitgeber nicht und es wäre wesentlich sicherer.

 

[banjogit]

Vielen Dank - das mit dem Port 443 für die Fritzbox hat geklappt. Und ja - ich darf den Firmen-PC privat nutzen.

Jetzt geht's aber weiter:
Ich hab zuhause drei Webcams, die allesamt per RTSP streamen. Die erste nutzt dazu den RTSP-Standard-Port 554. Auf diesen Stream kann ich in der Firma problemlos zugreifen. Auf den Stream der anderen beiden hingegen nicht, die nutzen eben andere Ports.
Gibt es hierfür auch noch eine Lösung?

 

[snaxilian]

Anhand der Beschreibungen habe ich ja die Vermutung, wir diskutieren hier alle auf einer viel zu hohen Flughöhe für den TE denn offensichtlich geht er davon aus, dass Quellport = Zielport ist...

Die erste nutzt dazu den RTSP-Standard-Port 554.

Hast du in der Fritzbox etwa eine Portweiterleitung dafür eingerichtet? Falls ja: Ist dir bewusst, dass auch jeder andere im Internet auf die Kamera zugreifen kann sobald er deine Adresse gefunden hat? Nein, "Geheimhaltung" funktioniert da nicht denn mit Systemen wie https://www.shodan.io/ findet man solche leichtsinnigen Konstrukte in wenigen Minuten.
Du betreibst jetzt also öffentlich im Internet erreichbare Services. Ich hoffe du hast diese entsprechend abgesichert und kümmerst dich weiterhin um die Absicherung.

Gibt es hierfür auch noch eine Lösung?

Weitere Lücken in dein Netz reißen durch weitere Weiterleitungen. Oder das machen, was dir bereits geraten wurde:

Würde an deiner Stelle die Ports wieder dichtmachen und stattdessen eher mit der Fritz VPN Lösung arbeiten

Eben dies! Ein Einstiegspunkt wo man zum Glück relativ wenig falsch machen kann dank Einrichtungsassistent von AVM. Ist man durch den VPN-Tunnel verbunden, hat man Zugriff auf Geräte im LAN als wäre man vor Ort.

 

[banjogit]

Ist dir bewusst, dass auch jeder andere im Internet auf die Kamera zugreifen kann sobald er deine Adresse gefunden hat?

Was meinst Du mit "zugreifen"? Meinst Du damit hacken, Einstellungen verändern bzw. die Cam unbrauchbar machen? Oder geht's darum, dass er einfach nur das Bild sehen kann und damit ggf. Privatsphäre verletzt wird?

Ergänzung (24. August 2021)

...möchte noch ergänzen, dass mein RTSP-Port 554-Stream auch per Username und Password gesichert ist. Ist das unzureichend?

 

[Raijin]

Sobald man Zugriff auf ein Gerät im Netzwerk hat - eben auch durch nackte Portweiterleitungen im Router - kann ein Angreifer beliebige Schwächen im darauf laufenden Dienst ausnutzen, sei es ein ungesicherter Webserver, sowas wie nacktes FTP oder was auch immer.

Jede Portweiterleitung im Router stellt ein potentielles Sicherheitsrisiko dar! Das ist in etwa vergleichbar mit einer verschlossenen Haustür, die jedoch zahlreiche kleine Klappen aufweist, in die man hineingreifen könnte. Ist sie klein genug oder zu weit weg von Türklinke und Schlüsselloch (=gut gesicherter Dienst), ist das Risiko überschaubar. Ist der weitergeleitete Port bzw. Dienst jedoch schlecht gesichert oder man weiß gar nicht ob und wie er gesichert ist, kann die Klappe in der Tür beliebig groß sein.

Deswegen ist es fast schon fahrlässig, einfach blind irgendwelche Geräte im heimischen Netzwerk über Portweiterleitungen verfügbar zu machen, weil man nicht weiß was man sich für ein Sicherheitsrisiko ins Haus holt. Sobald ein Angreifer über eine Portweiterleitung die Kontrolle über das Gerät erlangt hat, hat er einen Fuß in der Tür und kann über dieses Gerät den Rest des Netzwerks infiltrieren und auch nicht-öffentlich erreichbare Geräte angreifen.

Du fragst hier in einem Forum für Netzwerke nach und hier tummeln sich sehr viele Leute mit sehr viel KnowHow. Wenn mit Nachdruck auf eine verschlüsselte VPN-Verbindung ins Heimnetzwerk als einzigen Zugang von außen hingewiesen wird, solltest du dir das zu Herzen nehmen. VPN-Verbindungen sind wie ein virtuelles LAN-Kabel in dein Heimnetzwerk, das du immer dabei hast, wenn du unterwegs bist. Dieses Kabel ist jedoch komplett verschlüsselt und nur du kannst es nutzen und gefahrlos auf dein komplettes Heimnetzwerk zugreifen, so als wenn du daheim auf der Couch sitzen würdest. Angreifer beißen sich an der Verschlüsselung die Zähne aus und du kannst deine Kamera ganz entspannt über VPN angucken.

 

[Mr. Robot]

Was meinst Du mit "zugreifen"? Meinst Du damit hacken, Einstellungen verändern bzw. die Cam unbrauchbar machen? Oder geht's darum, dass er einfach nur das Bild sehen kann und damit ggf. Privatsphäre verletzt wird?

Ergänzung (24. August 2021)

...möchte noch ergänzen, dass mein RTSP-Port 554-Stream auch per Username und Password gesichert ist. Ist das unzureichend?

Sowohl als auch.

Gerade heute wurde wieder eine schwere Sicherheitslücke bekannt, die zahlreiche Geräte betrifft: https://www.heise.de/news/Realtek-S...chadcode-Verbreitung-missbraucht-6173430.html

Hängt so ein Gerät zugänglich am Internet, ist es eine leichte Beute, und wird über kurz oder lang mit einem "Trojaner" infiziert werden.

 

[banjogit]

.. Wenn mit Nachdruck auf eine verschlüsselte VPN-Verbindung ins Heimnetzwerk als einzigen Zugang von außen hingewiesen wird, solltest du dir das zu Herzen nehmen...

Ok, werd ich machen. Danke Euch für die Hinweise. Muss mich halt mal damit beschäftigen.