Netzwerkscan mit nmap Bedeutung?

[HarryMalaria]

Hallo, ich hab grad mal rumprobiert mit nmap ich hab den Befehl nmap ip-Adresse eingegeben und bekam folgendes Ergebnis:

Nmap scan report for speedport.ip (192.168.2.1)
Host is up (0.00031s latency).
Not shown: 993 filtered ports
PORT    STATE  SERVICE
21/tcp  open   ftp
53/tcp  open   domain
80/tcp  open   http
135/tcp closed msrpc
443/tcp open   https
445/tcp closed microsoft-ds
515/tcp open   printer
MAC Address: 9C:80:DF:1F:BD:93 (Arcadyan Technology)

Nun meine Frage, warum ist port 21 offen, ftp, braucht man das? http und https ist mri klar, ich hab auf dem pc einen drucker eingereichtet, dieser microsoftport ist mir auch nicht klar. Ich nutze Linux Opensuse Leap 15.3 hab die Firewall von Opsensuse aktiviert und auch die Firewall im Speedport ist aktiv. Ist das Ergebnis normal oder ist da was komisch?

 

[HisN]

Wir wissen nicht ob Du FTP brauchst. Ist Deine ganz persönliche Entscheidung.

 

[Mickey Mouse]

bitte daran denken, du scanst den Port "von/zu deinem lokalen Netzwerk", NICHT den WAN Port zum Internet!
sowas kann man natürlich auch mal machen, ist aber eben nur für Geräte interessant, die sich schon innerhalb deines Netzes befinden.

wirklich wichtig ist, welche Ports nach außen hin offen und wie die abgesichert (welche Accounts zugelassen sind, nur Passwort oder 2FA usw.) sind. Dazu noch ob die Firmware des Gerätes aktuell ist. Auch HTTPS kann ja verwundbar sein, wenn es da eine bekannte Lücke gibt.

 

[Falc410]

bitte daran denken, du scanst den Port "von/zu deinem lokalen Netzwerk", NICHT den WAN Port zum Internet!
sowas kann man natürlich auch mal machen, ist aber eben nur für Geräte interessant, die sich schon innerhalb deines Netzes befinden.

auch in meinem lokalen Netz würde ich wissen wollen wenn ein FTP Server oder ähnliches läuft. Du kannst dank heutiger Malware auch keinen Geräten in deinem lokalen Netz trauen. NAS Share dauerhaft ohne Passwort eingebunden? Da freut sich die Ransomware

Aber um den OP helfen zu können, müssten wir wissen was er gescannt hat und was er erwartet hätte, dann kann man über Abweichungen diskutieren.

 

[Raijin]

Nun meine Frage, warum ist port 21 offen, ftp, braucht man das?

Ob "man" das braucht spielt keine Rolle, sondern ob der gescannte Router das braucht. Ein offener FTP-Port kann bedeuten, dass der Router neben SMB (Samba/CIFS aka Netzfreigabe @ TCP 445) auch einen FTP-Server als NAS-Funktion bietet. Es kann jedoch auch bedeuten, dass FTP lediglich für Firmware-Updates genutzt wird oder es handelt sich womöglich gar nicht um FTP, sondern nur um einen beliebigen anderen Dienst, der lediglich auf TCP 21 läuft.

Sofern nmap nicht explizit mit der Option Versionserkennung gestartet wird, womit tatsächlich aktiv anhand von Verbindungsversuchen geprüft wird welcher Dienst auf dem gefundenen Port läuft, kann die Angabe "ftp" im übrigen auch einfach einem Alias geschuldet sein, der in nmap-services enthalten ist oder ggfs gar aus /etc/services bzw. c:\windows\system32\drivers\etc\services stammt.

Und selbst wenn im Speedport tatsächlich ein FTP-Server läuft, ist das noch lange nicht zwingend als kritisch anzusehen. FTP ist zwar im eigentlichen Sinne angreifbar, da unverschlüsselt, aber das bezieht sich primär darauf, dass der Datenverkehr von Dritten mitgelesen und zB Logins herausgefiltert werden können. Wenn aber keine aktive FTP-Verbindung läuft und der FTP-Login mit einem sicheren Passwort ausgestattet ist, ist die Angriffsfläche wiederum ebenfalls relativ klein.

Entscheidend ist ob der FTP auch WAN-seitig offen ist. Denn dann steigt das Risiko deutlich, da der WAN-Port permanent Angriffen von Portscannern mit anschließenden Wörterbuchattacken ausgesetzt ist - mit Pech hat einer davon zufällig einen Speedport-Standard-FTP-Login in der Datenbank...

Natürlich kann Malware im lokalen Netzwerk dasselbe tun, aber wenn man sich erstmal solche Malware eingefangen hat, hat man noch ganz andere Probleme und ein FTP-Server ist nur eines von zahlreichen potentiellen Zielen....

 

[Mickey Mouse]

auch in meinem lokalen Netz würde ich wissen wollen wenn ein FTP Server oder ähnliches läuft.

ich gebe dir völlig Recht, keine Frage, ABER:
wer A sagt muss auch B sagen!
der "offene" ftp Port alleine sagt ja noch absolut gar nicht aus.
d.h. nur, dass da ein tcp acknoweldge (nmap ohne weitere Parameter macht glaube ich ein ACK scan) zurück kam.
es könnte (nicht muss!) sein, dass die vollständige Antwort übersetze so aussah: "no ftp connect allowed, connection closed" und nmap zeigt den Port natürlich trotzdem als offen an, es kommt ja eine Antwort.
aber auch wenn das ein ganz normaler, offener ftp Port ist, dann ist doch die sich daraufhin aufdrängende Frage: welche Accounts können sich wie damit verbinden.

ok, wir reden hier von einem Speedport Router. Ich kenne aber z.B. Industrie Geräte, bei denen der ftp Port für Firmware Updates offen sein muss. Man wundert sich manchmal, wie das dort mit der Sicherheit gesehen wird. Wie bereits geschrieben wurde, ist ftp nicht verschlüsselt (inkl. login credentials) und alleine deshalb ist es als kritisch anzusehen. Nur ist die Frage: was ist kritischer, Port blocken und keine Updates mehr zulassen? Oder davon auszugehen, dass niemand im internen Netz die Verbindung belauscht und das Gerät weiterhin mit aktuellen FW Updates versorgen, die per Zertifikat im Gerät auf ihre Echtheit kontrolliert und nur dann akzeptiert werden und ansonsten nichts über diese Verbindung angerichtet werden kann?

das soll jetzt nur ein Beispiel dafür sein, dass man solche Dinge nicht so einfach schwarz/weiß sehen kann und sich nicht nach STandardaussagen aus dem Netz richten sollte, ala: ftp ist böse, schalte das ab oder blocke den Port in der Firewall. Ohne sich wirklich im Einzelfall damit zu beschäftigen, kann die Sache auch nach hinten los gehen.

Und genau das macht der TE hier ja, mich würde auch interessieren, WOFÜR der ftp port überhaupt offen ist?

 

[Falc410]

Ich habe ja niemals behauptet, dass das böse ist, sondern nur, dass ich es wissen wollen würde - das war auf deine Aussage bezogen, dass es intern keine Rolle spielt, sondern nur was von extern aus erreichbar ist.

Keine Ahnung für was Speedport FTP benötigt, aber die blose Existenz ist erstmal nicht "gefährlich", da stimmen wir ja alle überein.

 

[HarryMalaria]

Viell. liegt es daran, das ich in Opensuse repositries für updates nutze und deshalb der ftp port benötigt wird. Ich nutze hier nur einen Rechner, mit firewalls usw kenne ich mich nicht aus. Es laufen bei mir 2 Firewalls einmal die vom Speedport und dann die vom Betriebssystem.