Port 80 gesperrt - Seiten sind noch immer aufrufbar

[exzel]

Hallo zusammen,

ich habe in der Fritzbox 7490 unter Internet -> Filter -> Zugangsprofile im Standardprofil unter gesperrte Netzwerkanwendungen den HTTP Server gesperrt.

Danach konnte ich aber noch immer HTTP Seiten öffnen. Warum ist das so? Immerhin wird doch der Port 80 beim Surfen verwendet?

Mit freundlichen Grüßen

Alexander Tuscher

 

[Einhörnchen]

Vielleicht https Seiten? Oder es gibt eine Ausnahme in den Filterregeln.

 

[da_reini]

blockiere auch port 443 für https. und lösche den cache des browsers bzw starte mal im inkognito modus und teste nochmal.

 

[Hito360]

über den Router läuft ein eigener Webserver oder warum willst du webseitenzugriff sperren? klingt/liest sich nämlich als ob du eventuell den Webzugriff von aussen auf den Router gesperrt haben könntest.

 

[Raijin]

Nicht dass am Ende Port 80/443 auch auf der Fritzbox zu ist.. Im worst case sperrst du dich selbst aus *g*

 

[chrigu]

welchen grund hast du, den port 80 sperren zu wollen?
kindersperre. dazu kannst du in der fritzbox unter internet/filter den pc nach deinem gutdünken zeitlich reglementieren.
geht es um bestimmte websiten die nicht erreicht werden sollen. filter black/whitelist hilft weiter.
geht es um sicherheit eines eigenen webservers oder nas, solltest du die sicherheitsfunktionen des servers/nas genauer verstehen.
geht es um allgemeine absicherung gegen malware... solltest du den router/modem ganz abstellen. weil nur das blockieren des port 80 hat keinerlei schutzfunktion.

das sperren von 80/443 ist problematisch, da es unter umständen zu einem generellen ausperren auch der fritzbox kommen kann.

 

[exzel]

Hallo,

ich wollte die Sperrung eigentlich nur aus Interesse einstellen.

Also auf die FritzBox komme ich auch nach Sperre des Port 80 und 443. Und andere Internetseiten kann ich auch noch aufrufen. Der AVM Support hat mir auf meine Anfrage hin zwar geantwortet aber das verstehe ich nicht.

"Die Anwendung definieren wir über den verwendeten Port. Netzwerkanwendungen sind in diesem Fall z.B. Online-Spiele, die TCP und UDP nzuen und keine ganzen Websites.
HTTP verwendet standardmäßig TCP Port 80. Demnach werden alle Anfragen an diesen Port werden dann gesperrt.
Reine Websites stellen in der Regel keine Anfrage an diesen Port, sondern nur Anwendungen auf diesen HTTP-Seiten, wie die aus dem Beispiel erwähnten Online-Spiele."

Könnt ihr das nachvollziehen?

Gruß

Alex

 

[da_reini]

in welche richtung hast du port 80 geblockt? vom wan/internet auf die fritzbox oder vom lan auf die fritzbox? dh sperre von port 80 von außen nach innen, oder von innen nach außen?

 

[Raijin]

das sperren von 80/443 ist problematisch, da es unter umständen zu einem generellen ausperren auch der fritzbox kommen kann.

Mein Kommentar war eher scherzhaft gemeint.

Ich weiß zwar nicht wie die Fritzbox das macht, aber normalerweise gibt es in einer Firewall stets die Unterscheidung zwischen geroutetem und lokalem Traffic. Geroutet wäre zB der Aufruf einer Webseite, da der Traffic ins www geroutet wird. Lokal wäre dagegen der Zugriff auf die Fritzbox-GUI, weil der Traffic eben nicht ins www geht, sondern lokal auf der Fritzbox bleibt. Für beide Fälle gibt es in herkömmlichen Firewalls separate Regeln. Durch die GUI sieht man aber oft nicht explizit den Unterschied, sondern da ist nur allgemein von "Sicherheitseinstellungen GUI" und von "Webfilter" oder ähnlichen Begriffen die Rede.


Lange Rede, kurzer Sinn: Wenn AVM nicht ganz gehörig geschlampt hat, sollte man mit einem Webfilter auf Port 80/443 also nicht die Fritzbox-GUI sperren, da diese eben lokal und nicht geroutet ist und somit von einer anderen Firewallregel abgefrühstückt werden sollte. Da ich aber keine Fritzbox habe und mich mit den Kiste auch nicht auskenne, lege ich für AVM nicht die Hand ins Feuer.

 

[exzel]

Danke für die Antworten.

@da_reini. Der Port im Internet ist gesperrt, der Port von LAN aus ist beliebig. Siehe Grafik. Um deine Frage zu beantworten der Port 80 ist von innen nach außen gesperrt, richtig?

Gruß

EDIT: Falsch. Umgekehrt ist es der Fall. Quellport ist somit der Port im FritzBox Netzwerk und Zielport im Internet. Also von außen nach innen.

 

[chrigu]

ich verstehe den sinn trotzdem nicht.

 

[Raijin]

Also auf deinem Screenshot wird alles erfasst, das von Port 80 an einen beliebigen Port im www gesendet wird. Das ist genau die falsche Richtung.

Kurzer Ausflug in die Theorie:

Wenn der Browser zB eine Webseite aufruft, dann wird von Windows eine Verbindung hergestellt, die als Ziel-Port 80 hat, der http Port. Als Quell-Port, sozusagen der Absender, wird von Windows ein zufälliger Port zwischen 49152 und 65535 ausgewählt, zB 54321. Der Webserver wiederum schickt seine Antwort genau umgekehrt, von Port 80 an Port 54321.

Willst du nun alle ausgehenden Verbindungen für http Sperren, muss in der obigen Ansicht der Quell-Port beliebig sein (wie gesagt, zufälliger Quell-Port von Windows generiert) und der Ziel-Port 80. So verhinderst du jeden Verbindungsaufbau von deinem Netzwerk zu einem x-beliebigen Server auf Port 80 => effektiver Block von normalen Webseitenaufrufen via http. Füge noch Port 443 hinzu und https wird ebenfalls geblockt.

Was genau du damit bezweckst, erschließt sich mir jedoch nicht. Mit wenigen Klicks kann man solche Sperren zB mit einem VPN umgehen. Es sei denn du blockst auch dieses. Am Ende musst du so ziemlich alles blocken und dann kannst du gleich den Stecker ziehen.

 

[exzel]

Es hat auch keinen pragmatischen Sinn. Soll einfach nur das Verständnis verbessern.

So wie von dir beschrieben geht es. Die Seiten werden dann tatsächlich gesperrt. Aber auch nur, wenn ich bei Quellport beliebig hinterlegt ist. Sobald ich bei Quellport 80 hinterlege und Zielport 80 kommen die Seiten trotzdem. Wie du schon gesagt hast wählt Windows zufällig einen Port. Aber auch wenn die Fritzbox als Quellport 80 vorgibt sollte doch eine Sperre für 80 als Zielport die Seiten trotzdem sperren.

Gruß

 

[Raijin]

Nein. Du verstehst das Prinzip falsch. Firewall- bzw. NAT-Regeln (wie zB Portweiterleitungen) basieren auf einem Matching. Das heißt, dass ein Datenpaket auf die eingestellten Parameter geprüft wird, wie bei einer Schablone. Passt die Schablone, wird die Regel ausgelöst. Passt sie nicht, weil zB eine Ecke übersteht/freibleibt (das wäre der falsche Quell-Port), wird die Regel verworfen und die nächste Regel geprüft. Passt keine, wird die Standardaktion durchgeführt und sie ist bei ausgehendem Traffic normalerweise "alles erlauben".

Alles was du in der Eingabemaske für Filter, etc eingibst, wird per "UND" verknüpft. Ziel-Port = 80 UND Quell-Port 80. Trifft nur eines davon zu, ist die Bedingung nicht erfüllt, weil eben nur der Ziel-Port stimmt, der Quell-Port aber nicht.

Manchmal kann man auch Port-Bereiche bzw. eine Liste von Ports angeben. In dem Fall gilt dann die ganze Liste als ein Kriterium. Quasi "Ziel-Port = 80 / 443 / 12345 UND Quell-Port 80" ist dasselbe Spielchen mit der Ausnahme, dass als Ziel-Port auch mehrere Ports passen.


Wichtig ist bei solchen Regeln auch die Reihenfolge. Es wird stets von oben nach unten geprüft und beim ersten Treffer wird abgebrochen.


1. Beispiel:

Regel 1) Ziel-Port 80 blockieren
Regel 2) Quell-IP 192.168.1.123 immer erlauben (zB Admin-PC)
Standard: Alles erlauben

In diesem Fall könnte auch der Admin nicht surfen. Als erstes wird in Regel 1 der Ziel-Port geprüft. Stimmt der überein, also normales Surfen, wird sofort geblockt und nicht weiter geprüft. Auch für den Admin wird beim Surfen also niemals Regel 2 überhaupt angeschaut.

2. Beispiel:

Regel 1) Quell-IP 192.168.1.123 immer erlauben (zB Admin-PC)
Regel 2) Ziel-Port 80 blockieren
Standard: Alles erlauben

Im zweiten Beispiel wird auch Regel 1 als erstes geprüft. Es handelt sich bei Quell-IP um den Admin-PC, die Firewall erlaubt den Traffic und prüft nicht weiter. Ist es aber der PC vom Sohnemann, wird Regel 1 negativ und die Firewall guckt weiter, bei Regel 2, oh, da will einer Surfen --> Block

 

[Hito360]

wie wärs mit gateway/dns ip in hosts-datei eintragen?

 

[Raijin]

Und dann? Wenn es um Netzwerksicherheit im Allgemeinen geht, zB Elternkontrolle, o.ä. dann sind client-basierte Maßnahmen wie die hosts-Datei denkbar ungeeignet. Zum einen kann man die im worst case direkt selbst editieren und etwaige Einträge entfernen und zum anderen kann man zB mit einem Live-Linux per USB-Stick booten und die hosts-Datei vergammelt auf der inaktiven Windows Partition.

Nu kann man darüber diskutieren ob der zu blockende Anwender überhaupt die Kenntnisse dazu hat (zB ein Kind <10 Jahren), aber die Annahme, dass derjenige welcher etwas nicht umgehen kann, ist gefährlich - google macht's möglich. Mittels einer zentralen Lösung im Router sind die Möglichkeiten deutlich eingeschränkter, weil man keinen Zugriff auf den Router hat - egal ob man wüsste wie man dort die Sperren deaktiviert oder nicht.

Allerdings sind fast alle Maßnahmen mit adäquaten Mitteln zu umgehen. Selbst eine Sperre von Port 80/443 im Router, kann simpel umgangen werden. Beispielsweise durch einen Proxy, der auf einem anderen Port arbeitet, oder ein VPN, das den kompletten Traffic gekapselt überträgt (auf einem Port <> 80 versteht sich).

Letztendlich müssen einige Ports erlaubt sein, weil man sonst ja gleich den Internetzugang kündigen kann. Ein VPN kann theoretisch auf jedem Port laufen, auch auf dem einen, der eben erlaubt ist.

 

[exzel]

Hallo und danke für die Antwort,

@Raijin

Dir nochmal ein besonderes Danke für deine ausführliche Erklärung.

Mir ist ebenfalls noch etwas aufgefallen. Zwar gilt Port 80 als Port für HTTP, aber über Netstat -a lassen sich unter Windows die Ports prüfen. Dort werden für die Internetverbindungen andere Ports als der 80er angezeigt. Der 80er ist nur als eingehender Port aufgelistet.

Die FritzBox hat als vorgegebenen Sperre des HTTP Servers nur den Quellport 80 als Bedingung damit die Sperre durchgeführt wird. Der Zielport hingegen war in der FritzBox Regel beliebig. Deshalb konnte ich trotz aktiviert Sperre ins Internet, da der Zielport 80 sein durfte.

Man würde schon einen eigenen HTTP-Server auf seinem Rechner im LAN aufsetzen, der dann ins Internet funkt, um als Quellport 80 zu haben.


Danke!


Alex

 

[Raijin]

Ich kenne Fritzboxxen wie gesagt nicht im Detail, weil ich keine habe.

Wenn dort aber schon steht "HTTP Server", wird diese Regel auch nur für selbst gehostete Server gedacht sein, also ein Webserver LAN. In dem Fall wird die Antwort des Servers nach außen blockiert. Anfragen von außen werden durch die Firewall von Haus aus geblockt, wenn man keine Portweiterleitung eingerichtet hat. Mit der HTTP Server Regel wird zusätzlich noch verhindert, dass der Server antworten könnte selbst wenn eine Portweiterleitung auf Port 80 aktiv wäre.

Daher gehe ich stark davon aus, dass diese Regel nicht dazu gedacht ist, das Surfen zu blockieren, sondern explizit für einen gehosteten Server gilt. Ziel-Port wäre beliebig, weil es ja egal ist wem der Server antwortet, er soll einfach mal "die Schnauze halten" und schweigen, auch wenn er gefragt wurde.

 

[exzel]

Verstanden.

Danke dir!