Konkrete Risiken durch offene Ports

[Konti]

Erstmal zu meinem Problem:
Ich will diverse Ports bei unserem Router auf meinen PC forwarden (für BitTorrent, Starcraft etc.). Nur hat mir mein Vater das bisher nicht erlaubt, da er der Meinung ist, daß dies ein zu großes Sicherheitsrisiko darstellt. Er selbst kennt sich damit im Einzelnen aber auch nicht aus.
Nun habe ich schon ein Weilchen im Internet gesucht, und immerwieder von Sicherheitsrisiken durch Port-Forwarding gelesen, aber bisher keinen einzigen Fakt darüber erhalten können, worin denn diese Risiken nun konrekt bestehen.

Wenn ich jetzt mal zum Beispiel Port 4000 zu meinem PC forwarde ... was könnte dann ein Angreifer auf mein System, der weiß daß dieser Port frei ist, tun, was er vorher nicht konnte. Auch würde ich gerne mehr darüber erfahren, warum man ohne Probleme durch's Internet browsen kann (ich habe schon vom HTTP-Port 80 gehört ... der müsste ja dann quasi auch ständig offen sein), aber per ICQ keine Daten verschicken kann, ohne einen Port zu forwarden.

Ich bitte um Aufklärung.

 

[gogoland2002]

hier [und auf der hauptseite] kannst du bestimmt schon einige fragen selbst beantworten. kann ich nur sehr empfehlen und wird dir sicher schon um einiges weiterhelfen.

greetz, gogoland2002

 

[Rodger]

Wow...da haste ihm aber nen ganzen Batzen zu lesen gegeben...so schnell wird der keine Frage darüber mehr stellen, gelle?

ABER SO ARBEITET DIESES FORUM NICHT!

Zum Thema: Also Port-Forwarding ist nicht gleich offener Port.
Port-Forwarding heißt nichts anderes, als das der Router eingehende Daten auf diesem Port zu einer angegebenen Adresse "durchstellt". Die Grundkonfiguration ist da halt, das der Router diese Ports "beantwortet", was am sichersten ist. weil man auf dem Router nix hacken kann. Wenn im Betriebssystem die Ports gesperrt sind, sind die noch nichtmal "offen", sonden werden einfach nur von einer anderen gegenstelle beantwortet.

Wenn man den Port nun also auf einen PC weiterleitet, dann verschafft man dem Internet auf diesem Port gehör. Sowohl im positiven (Nutzung von Diensten), als auch im Negativen (Man macht den Port vom PC dem Internet gegenüber verfügbar, demnach auch Hackern). Es gibt auch Hacker die nur Tauschbörsen besuchen, um Leute zu Hacken. Von daher hat dein Vater nicht ganz unrecht.

Aber man kann sich doch schützen! Installiert eine Software-Firewall, mit der du die Verbindungen kontrollieren kannst. Somit kannst du einschränken, welche Programme Ports nutzen können und welche nicht. Wenn du es gar im Router einstellen kannst, um so besser, dann brauchste die Software-Firewall nicht. Die ist aber, sowie es denn effektiv überhaupt einstellbar ist im Router deutlich leichter konfigurierbar.

Kurz zu Port80. Das ist dein ausgehender Port zu surfen. Anfragen auf den Port solltest du aber fein weiterhin zum Router schicken lassen.

Das isn ganz böser Port Diesen kenne viele Hacker und Programme und öffnen sehr viel leichter Türen zu Rechnern, als andere Ports. Der Port 4000 z.B. ist da deutlich lässiger einzustufen.

Rodger

 

[Konti]

Jo, erstmal danke für die Antworten, wobei auf dieser Seite alles Mögliche aber kaum konkretes zu meiner Frage gestanden hat.

@Rodger
Also wenn ich das jetzt richtig verstanden habe, würde mein Rechner erstmal generell nicht direkt aus dem Internet ansprechbar sein (wegen des Routers halt), es sei denn man tut dies über den geforwardeten Port 4000.
Aber was könnte man da denn jetzt wirklich groß machen ? Sagen wir mal jemand hat meine IP und weiß, daß dieser Port direkt zu meinem PC führt. Sofern hier auf meinem PC kein Programm über diesen Port direkt angesprochen wird, würde der Weg ja praktisch immernoch in's Leere führen, oder ?
Und wenn ich jetzt zum Beispiel Starcraft über Port 4000 am laufen hätte, was könnte man dann machen ?

Achja, und eins mit dem Port 80 habe ich immernoch nicht verstanden. Eigendlich kann doch ein Port immer nur zu einem PC auf einmal "durchgestellt" sein. Wie kommt es dann, daß wir hier alle (4 Leute) zusammen zur selben Zeit über diesen Port surfen können (ist ja schließlich der HTTP-Port) ?

Die zweite Frage ist übrigens nicht ganz so wichtig, wie die Frage oben ... ich will ja schließlich meinen Vater überreden, daß ich die Ports forwarden darf.

 

[Konti]

Hmm ... war's das jetzt schon ?
Hat denn hier keiner mal konkrete Informationen ???

 

[Konti]

Na toll, wie erwartet ...
Überall im Internet kann man lesen, daß es ein Risiko darstellt, Ports zu forwarden, aber scheinbar weiß niemand wieso.

Ist das am Ende nur ein Gerücht, damit die Leute in "Sicherheitssoftware" investieren ?

 

[Haike]

Achja, und eins mit dem Port 80 habe ich immernoch nicht verstanden. Eigendlich kann doch ein Port immer nur zu einem PC auf einmal "durchgestellt" sein. Wie kommt es dann, daß wir hier alle (4 Leute) zusammen zur selben Zeit über diesen Port surfen können (ist ja schließlich der HTTP-Port) ?

TCP-Komminkation (die auch von HTTP verwedet wird) läuft immer über zwei Ports. Dem Zielport und dem Quellport. Schickt dein Rechner eine Anfrage an einen HTTP-Server so geht diese auf den Zielport 80 des HTTP-Servers. Gleichzeitig öffnet dein Rechner einen beliebigen Port zw. 1024 und 65535 und schickt diesen als Quellport mit.
Der HTTP-Server schickt seine Antworten dann auf den Port, den dein Rechner geöffnet hat als Zielport und gibt seinen Port 80 als Quellport an.

Hast du nun einen Router dazwischen, der PAT (Port Adress Translation, manchmal auch Maquerading oder Overloading genannt) unterstützt läuft das beispielsweise folgendermaßen:

Dein Rechner mit der IP 192.168.0.1 schickt eine Anfrage an den HTTP-Server 212.16.168.2 und öffnet bei sich den Port 4056. Dann schickt dein Rechner die anfragen mit folgenden Adressdaten an deinen Router:

Ziel-IP: 212.16.168.2 Ziel-Port: 80
Quell-IP: 192.168.0.1 Quell-Port: 4065

Die Anfrage landet nun beim Router, der die öffentlich verfügbare IP-Adresse 194.65.125.3 von deinem Provider zugeteilt bekommen hat. Der Router ändert nun die Quell-Daten der Anfrage und öffnet bei sich selbst einen Port, sagen wir mal den Port 1500. Dann sieht die Anfrage die nun vom Router in's Internet geht folgendermaßen aus:

Ziel-IP: 212.16.168.2 Ziel-Port: 80
Quell-IP: 194.65.125.3 Quell-Port: 1500

Der Router merkt sich nun folgendes:
Wenn Antwortpakete von 212.16.168.2 Port 80 auf meinen Port 1500 eintreffen muss ich die weiterleiten an 192.168.0.1 Port 4065


So landet die Anfrage nun beim HTTP-Server. Jetzt schickt der HTTP-Server eine Antwort zurück an deinen Router. Dafür werden einfach Quelle und Ziel vertauscht:

Ziel-IP: 194.65.125.3 Ziel-Port: 1500
Quell-IP: 212.16.168.2 Quell-Port: 80


Der Router nimmt die Anfrage entgegen und merkt jetzt: "Aha! Antowort von 212.16.268.2 Port 80 auf meinen Port 1500. Das muss ich weiterleiten an 192.168.0.1 auf port 4065." Und das macht er dann auch indem er die Zieldaten austauscht:

Ziel-IP: 192.168.0.1 Ziel-Port: 4065
Quell-IP: 212.16.168.2 Quell-Port: 80

So landet die Antwort dann wieder bei deinem Rechner.

So läuft das vereinfacht. In wirklichkeit ist das noch ein wenig komplizierter.

Portforwarding ist nun nichts anderes als dem Router das vorzugeben, was er sich oben selbständig gemerkt hat:
"Wenn Du eine Anfrage auf einen bestimmten Port bekommst, leite diese weiter an einen bestimmte IP auf einen bestimmten Port."
Somit kann dann der Rechner mit der bestimmten IP auch Anfragen auf einen bestimmten Port von anderen Rechnern im Internet entgegenehmen.

Ist Portforwarding nun ein Sicherheitsrisiko? - Generell Nein!
Bei Ports ist das so: Es ist immer genau ein Programm einem Port zugeordnet. Es ist nicht möglich, dass mehrere Programme auf denselben Port anfragen entgegen nehmen.
Wenn Du nun Ports für z.B. Bittorrent forwardest, werden Anfragen an diesen Port ausschließlich von Bittorrent entgegengenommen und es sind nur anfragen für Bittorent auf diesen Port möglich.
Sollte Bittorrent mal nicht gestartet sein, laufen anfragen an diesen Port in's leere, weil kein Programm da ist, welches diese Anfragen entgegennimmt.

Es ist nur ein Sicherheitsrisiko, falls in Bittorrent selbt Sicherheitslücken bestehen!

 

[Konti]

Oh, vielen Dank für diese wirklich mal aufschlussreiche Antwort !!!

PS.: Hab hier lange nicht mehr reingeschaut.

 

[Danitechnik]

Unterschied zwischen Portfreigabe und Portforwarding

Hallo,

dieser Thread war auch für mich in Sachen Portforwarding sehr aufschlussreich.
Portforwarding im Router einzustellen ist kein Problem für mich.
Trotzdem kann nicht aus dem Internet auf diese Ports zugreifen bzw. einen dort laufenden Server erreichen.

Router: Fritz!Box 6360 Cable / Unitymedia (IPv4 über DS-Lite)

vielleicht kann mir hier ja jemand helfen

Grüße

Daniel

 

[chrigu]

jo... du hast "Unitymedia (IPv4 über DS-Lite)", auf deutschlich: du teilst dir dieselbe ipv4 adresse mit anderen user. also ist ein portforwarden nicht möglich. du brauchst deine eigene externe ipv4 adresse. freundlich bei unitymedia fragen kostet nichts. viele provider schalten kostenlos auf ipv4, bei manchen brauchst du ein business-abo, und wenige weigern sich vehement, da ipv6 die zukunft ist.