ComputerBase Menü
Aktuelles

Teredo-Filter ausschalten Sicherheit?

DonSerious

DonSerious

Captain
Registriert
Aug. 2010
Beiträge
3.631
Hi,
Für ein offenes NAT der Xbox One soll man den Teredo Filter ausschalten. Laut Fritzbox wäre das ein Sicherheitsrisiko.
Kann man das bedenkenlos dauerhaft deaktivieren?
Fritzbox 7430 btw.
Mit freundlichen Grüßen
 
Inwiefern?
 
Ich zitiere einfach mal:

Durch die Tunnelung des IPv6 besteht die Gefahr, dass insbesondere die Sicherheitsfunktionalitäten NAT-basierter IPv4-Router vollständig ausgehebelt werden können. Bei den durch Teredo erzeugten IPv4 UDP-Paketen handelt es sich um Pakete, bei denen die in diesem Szenario vorhandenen Paketfilter wirkungslos bleiben. Es liegt seit 2007 eine Analyse durch Symantec vor, die diesen Sachverhalt bestätigt.[1][2] Dem sicherheitsorientierten Administrator wird daher empfohlen, bis zur Verfügbarkeit entsprechender Firewalls den durch Teredo benutzten UDP-Port 3544[3] komplett zu sperren.
Zum Vergrößern anklicken....
 
schau doch mal bei portforward.com wie du deine fritzbox einstellen musst, damit statt striktes nat die xbox normal erreichbar ist.. (ausser du hast ein kabelprovider, dann wird es schwierig.)
 
Es kann das NAT ohne Deaktivierung des Teredo Filters nicht einmal auslesen. Habe aber auch bisher keine Schwierigkeiten deshalb. Mit dem Speedport hatte ich nur disconnects oder konnte gar keine Verbindung aufbauen.
Bei der 360 kam nur ein Ausrufezeichen im Verbindungstest dass es aktuell zu Verbindungsproblemen kommen könne. Seit ich UPnP aktiviert habe kommt das beim Test nicht mehr. Hab das für beide aktiviert. Denke manuelles Port öffnen würde nichts bringen. Dafür gibt's ja diese Funktion.
 
UPnP ist aber selbst ein Sicherheitsrisiko und man sollte sich wirklich sehr gut überlegen, es zu aktivieren.

Bei UPnP klopft ein Gerät im Netzwerk beim Router an und beantragt eine Portweiterleitung, der Router führt das aus. Cool, Xbox, PS4 und der PC können das, geil, muss man nix mehr machen. Obwohl.. Moment, der PC auch? Ach ja, da spielt man ja auch CoD, cool. Obwohl.. ähm.. Trojaner? Oh, die kann das dann ja auch!! Ganz genau, sobald du dir zB per USB-Stick oder eMail-Anhang Malware einfängst, kann sie auch munter Portweiterleitungen einrichten lassen, ohne dass der Router meckert. Warum auch? Der Router kann nicht zwischen gut und böse unterscheiden. Das einzige was man bei (einigen) UPnP-Routern einstellen kann, sind Access Listen, also quasi "die IP darf UPnP, die IP darf nicht". Das war's aber auch schon.

Schau dir in der Fritzbox an welche Ports deine Xbox angefordert hat, leite diese dann manuell an die Box weiter. Im Netz findest du auch genug Infos welche Ports sonst noch gebraucht werden. Dann kannst du UPnP abschalten und dich wieder sicher fühlen ;)

*edit
Teilweise ist UPnP auch derart schlamping implementiert, dass ein Router sogar am WAN-Port auf UPnP-Requests reagiert. D.h. man kann von extern Löcher in deine Firewall schießen. Nicht schlimm? Oh doch, weil man dann zB smb oder sonstige Dienste auf Geräten in deinem Netzwerk erreichen kann, die so überhaupt gar nicht für externe Zugriffe gedacht waren.
 
Zuletzt bearbeitet:
Ich habe UPnP nur für die beiden Geräte aktiviert. Sind diese Ports trotzdem dann für alle geräte offen?
 
Wie gesagt, der Router kann zwischen gut und böse nicht unterscheiden. Bei einer Konsole ist die Gefahr von Malware eher gering, bei einem PC dagegen beliebig hoch. Es können dann per UPnP harmlose Ports für zB ein Spiel weitergeleitet werden oder eben für zB einen Trojaner, mit dem sich ein Angreifer im worst case vollständigen Zugriff auf den PC verschaffen kann.

Access Listen, die zB nur zwei Geräten UPnP erlauben können maximal auf Ebene der Geräte absichern, aber nicht innerhalb der jeweiligen Geräte. Wenn einerseits zB CoD Port 12345 beim Router anfordert und TrojanerXY Port 23456, dann sieht das für den Router identisch aus - abgesehen von der PortNr. Im UPnP Request steht nämlich sinngemäß nur drin "bitte Port x an IP y weiterleiten".
 
Wenn ich die Ports manuell freischalte liegen die doch ebenfalls offen. Verstehe nicht was der Unterschied ist. Werde mal ein Bild anhängen wie das aktuell aussieht. Ich habe nur Xbox und Xbox 360 für upnp markiert weil ich gelesen habe dass das reicht. Und offenbar tut es das zumindest bei der 360. Die One kann immer noch ihren NAT Status nicht auslesen.

Bild.png.jpg

Bild.png.jpg
 
Zuletzt bearbeitet:
Nein, wenn du Ports manuell weiterleitest, dann sind NUR diese Ports weitergeleitet, fest. Es kommt NIX hinzu, ohne dass du das selbst von Hand explizit einträgst. Wenn die Xbox aus ist, passiert nix, keinerlei Sicherheitsrisiko. Warum? Ganz einfach, die Weiterleitung läuft ins Leere. Der Router leitet an die Xbox weiter und die .. .. antwortet einfach nicht, aus die Maus.

Bei UPnP bekommst du das überhaupt nicht mit, wenn Ports weitergeleitet werden, das passiert automatisch und ohne Bestätigung deinerseits. Malware kann also ganz easy beim Router anfragen "gib mir mal Port 12345" und Router sagt "ok". Von diesem Moment an kann ein Angreifer über diese Portweiterleitung - von der du gar nichts mitbekommen hast - auf deinen PC zugreifen und Schaden anrichten.


Es ist einfach eine Frage der Kontrolle. Wenn du das von Hand machst, hast du die volle Kontrolle, du bestimmst. Lässt du das von UPnP automatisch handhaben, gibst du die Zügel aus der Hand und die Anwendung selbst bestimmt - "gute" Anwendungen wie Spiele, etc, aber eben auch "böse" Anwendungen wie Trojaner und Viren. Das alles bemerkst du nur, wenn du regelmäßig den UPnP-Status im Router beobachtest - je öfter desto besser...

Ist deine Entscheidung. Grundsätzlich sind Komfort und Sicherheit gegenläufig. Je komfortabler etwas ist, desto unsicherer ist es und umgekehrt. Simples Beispiel: Haustür. Lästig, jedes Mal den Schlüssel rauszufummeln und aufzuschließen. Unkomfortabel, aber sicher. Lässt man das Schloss weg, muss man nicht mehr fummeln und kommt easy rein. Komfortabel, aber unsicher. Dasselbe gilt analog für UPnP. Automatik = komfortabel, unsicher. Manuell = lästig, sicher. Wobei sich "lästig" auf eine einmalige Einrichtung der Portweiterleitungen bezieht, danach muss man die nicht mehr anfassen.
 
Aber upnp ist doch nur für Xbox aktiviert und nicht für den pc. Öffne ich die Ports manuell sind die ja auch dauerhaft geöffnet. Bisher erschließt sich mir deine Logik nicht.
 
stellst du upnp im router auf ein, kann jedes gerät im netzwerk türchen öffnen, nicht nur die der xbox.
steht ja auch so im router
Alle Geräte im Heimnetz dürfen Portfreigaben selbstständig verändern
Geräte wie Spielekonsolen bzw. Anwendungen mit UPnP- oder PCP-Unterstützung können im Heimnetz Portfreigaberegeln der FRITZ!Box automatisch verändern. Aktivieren Sie diese Option aus Sicherheitsgründen nur, wenn Sie tatsächlich eingehende Verbindungen aus dem Internet gestatten müssen, die von den Geräten selbst verwaltet werden.
Zum Vergrößern anklicken....
 
Es sind aber nur die beiden markiert gewesen. Seis drum. Also mache ich nun ein Portprofil für beide Konsolen und füge diese manuell hinzu.
Bild.png.jpg


Wo genau deaktiviere ich upnp generell? Die Ports stehen mal nicht mehr auf der Startseite seit ich den Haken rausgenommen habe aus den beiden Boxen.
Bild.png.jpg
 
Zuletzt bearbeitet:
So, passt das nun?
Bild.png.jpg
 
Im ersten Beitrag schreibst du, dass die Fritzbox dich warnt und du kein Sicherheitsrisiko eingehen willst. Bei UPnP warnt sie dich auch. Wie auch immer, mach was du willst. Ist dein Netzwerk. In diesem Sinne..
 
dafür sind portprofile übrigens gedacht, damit du bequem hin und her switchen kannst.
 
Ich sehe jetzt erst, dass du zwei Xboxen hast (Deine Screenshots sind auf meinem Smartphone gigantisch groß, nicht lesbar).

Das ist sowieso ein Problem. Portweiterleitungen müssen eindeutig sein. Du kannst nicht denselben Port an zwei IPs weiterleiten. D.h., dass zB 3074 (UDP/TCP) nicht sowohl an die Xbox360 als auch an die XboxOne geleitet werden kann. Selbst wenn die Fritze das im Menü zulassen würde, könnte nur eine davon aktiv sein. Normalerweise kommt dann eine Fehlermeldung. Das kann und wird vermutlich der Grund für deine NAT-Probleme sein. Die Xbone braucht einen Port, der aber bereits an die 360 weitergeleitet wurde.

*edit
Klemm mal die 360 komplett ab und leite die Ports ausschließlich an die One weiter. Dann machst du nochmal den NAT-Test.
 
Zuletzt bearbeitet:
Hab ich schon. Für einen auslesbaren NAT muss der Teredo Filter aus sein. Sagt auch jeder der eine Fritzbox hat. Egal

Ich lasse das auf dem Bild gezeigte mal wie es ist für die 360. Es ist also kein Gerät mehr UPnP berechtigt. Gänzlich ausschalten kann man diese Funktion irgendwie nicht. Habe auch selbst NICHTS am Werkszustand geändert.

Es sind nun 6 Ports offen, klicke ich darauf komme ich auf die Seite mit den für die xbox freigegebenen. Das sind nunmal 6.

Das mit diesen Profilen ist leider doch nicht wie ich dachte. Das sind keine Masken. Musste die Ports nochmal unter Portweiterleitung erneut eintragen.

Aber damit ihr wisst ob es geklappt hat oder nicht. Hatte UPnP für die 360 deaktiviert, im Netzwerktest kam die Warnung mit dem Ausrufezeichen. Nach eintragen der Ports war das dann wieder normal.
Was mich wundert ist, weshalb die 360 mit UPnP nur Port 3074 wollte obwohl das Ding ja 6 Ports benötigt.
 
Zuletzt bearbeitet:
Das ist schnell erklärt. Die Ports, die man zB bei Xbox-Live in den FAQs sieht oder auf einschlägigen Portforwarding Seiten, sind die Ports die potentiell benötigt werden. Nicht alle Ports werden zwangsläufig permanent verwendet.

So laufen beispielsweise Voice-Chats nicht unbedingt über den Live-Server, sondern direkt von Xbox zu Xbox (Vermutung + Beispiel, hab keine Xbox). Ist man aber in keiner Voice-Party, fordert die Xbox den dazugehörigen Port wohl auch nicht an. Dynamisch ist eben dynamisch und wird bei Bedarf weitergeleitet oder eben nicht, je nachdem wie die Xbox die Ports beim Router anfordert.
Eine statische Weiterleitung ist immer da. Das ist aber halb so wild, weil wenn am Ziel-Gerät die Anwendung nicht läuft (zB Voice), dann wird das sowieso geblockt.

Im übrigen heißt eine fehlende Weiterleitung nicht zwangsläufig, dass zB Voice nicht funktioniert. Je nachdem wofür der Port verwendet wird, ist u.U. ein anderer Mitspieler der Server (inkl. Portweiterleitung) und du lediglich Client.


Ich hab den Thread jetzt nochmal überflogen: Hast du eigentlich irgendwelche handfesten Probleme, außer dass der "NAT-Test" fehlschlägt? Fliegst du aus dem Spiel oder kannst nicht mit anderen Spielern Voicechatten? Wenn's am Ende nur ne doofe Anzeige bei einem Test ist, dann kannste das ja knicken..
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Br0oXx
5G Xbox Services (PC)
Antworten
4
Aufrufe
810
chrigu
chrigu
wildes_konrad
forza 4 Serveradresse kann nicht aufgelöst werden, Xbox live teredo Ipv6 fritzbox
Antworten
5
Aufrufe
1.973
Darkman.X
Darkman.X
R
Verzweiflung: Internetabbrüche, neue Fritzbox
2 3
Antworten
54
Aufrufe
3.698
SpookyFBI
SpookyFBI
N
FRITZ!Box 6591 Cable / FRITZ!OS 7.50 / Dual Stack / Windows XBOX Probleme
2
Antworten
34
Aufrufe
3.972
wesch2000
W
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
295
Mickey Mouse
Mickey Mouse
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz