Was genau wird bei der Portfreigabe gefährdet?
- Ersteller Quro
- Erstellt am
Wo genau und wie genau gibst du den Port denn frei? Am Server oder am Router?
Den Port gibst du ja vermutlich frei, weil du von außen (über das Internet) auf deinen Server zugreifen willst oder? Dann wird da eine Portweiterleitung eingerichtet am Router zu deinem Server. Am Server muss der Port in der Firewall natürlich auch geöffnet sein.
In diesem Fall ist dann nur der Server "gefährdet", zumindest für den Anfang. Wenn man den Server mal kompromittiert hat, kommt man natürlich vom Server aus wieder weiter zu allen anderen Geräten, zu denen der Server eine Verbindung hat.
Den Port gibst du ja vermutlich frei, weil du von außen (über das Internet) auf deinen Server zugreifen willst oder? Dann wird da eine Portweiterleitung eingerichtet am Router zu deinem Server. Am Server muss der Port in der Firewall natürlich auch geöffnet sein.
In diesem Fall ist dann nur der Server "gefährdet", zumindest für den Anfang. Wenn man den Server mal kompromittiert hat, kommt man natürlich vom Server aus wieder weiter zu allen anderen Geräten, zu denen der Server eine Verbindung hat.
Zuletzt bearbeitet:
(Schreibfehler...)
xxMuahdibxx
Fleet Admiral
- Registriert
- Juli 2011
- Beiträge
- 37.823
das kommt drauf an wie man den router konfigurieren kann.
denn einige können ports für bestimmte interne ip´s öffnen als rückkanal aus dem internet andere öffnen einfach das ganze netzwerk.
denn einige können ports für bestimmte interne ip´s öffnen als rückkanal aus dem internet andere öffnen einfach das ganze netzwerk.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Sowohl als auch. Durch eine Portweiterleitung im Router bekommt man von außen eine Verbindung auf diesem Port zum entsprechenden Gerät (PI) zustande. Wenn dort allerdings kein Dienst läuft, dann wird die eingehende Verbindungsanfrage vom Betriebssystem einfach abgelehnt. Ungefähr so wie ein Telefonanruf auf eine Nummer, die es nicht gibt.
Läuft aber doch ein Dienst auf diesem Port, dann ist der PI auch einem Risiko ausgesetzt. Wenn in dem Serverdienst eine Sicherheitslücke vorhanden ist, die ein Angreifer nutzen kann, bekommt er unter Umständen sogar root-Zugriff auf den PI und kann im Prinzip alles machen. Das ist die direkte Gefahr für das Endgerät am Ende einer Portweiterleitung.
Durch einen erlangten Root-Zugriff könnte man nun den Rest des Netzwerks infiltrieren und LAN-interne Dienste angreifen, beispielsweise ein NAS, das man nur lokal benutzt (sprich: Ohne eigene Portweiterleitung, VPN o.ä.).
*edit
Deswegen sollte man sich auch hüten, unsichere Dienste, die evtl. sogar überhaupt nicht für das Internet gedacht bzw. nicht ausreichend gesichert sind, direkt über Portweiterleitungen erreichbar zu machen. Man könnte zB Drucker per Portweiterleitung verfügbar machen, aber da dies so nicht vorgesehen ist, fehlen dem Drucker die nötigen Sicherheitsmechanismen. Ein Angreifer könnte also einmal Wikipedia komplett auf dem Drucker drucken....
Für solche Dienste sollte man dann ein VPN nutzen. Eine Portweiterleitung für das VPN und das war's. LAN-interne Dienste wie zB besagte Drucker kann man dann via VPN nutzen als säße man daheim auf der Couch - gesichert und verschlüsselt durch das VPN.
Läuft aber doch ein Dienst auf diesem Port, dann ist der PI auch einem Risiko ausgesetzt. Wenn in dem Serverdienst eine Sicherheitslücke vorhanden ist, die ein Angreifer nutzen kann, bekommt er unter Umständen sogar root-Zugriff auf den PI und kann im Prinzip alles machen. Das ist die direkte Gefahr für das Endgerät am Ende einer Portweiterleitung.
Durch einen erlangten Root-Zugriff könnte man nun den Rest des Netzwerks infiltrieren und LAN-interne Dienste angreifen, beispielsweise ein NAS, das man nur lokal benutzt (sprich: Ohne eigene Portweiterleitung, VPN o.ä.).
*edit
Deswegen sollte man sich auch hüten, unsichere Dienste, die evtl. sogar überhaupt nicht für das Internet gedacht bzw. nicht ausreichend gesichert sind, direkt über Portweiterleitungen erreichbar zu machen. Man könnte zB Drucker per Portweiterleitung verfügbar machen, aber da dies so nicht vorgesehen ist, fehlen dem Drucker die nötigen Sicherheitsmechanismen. Ein Angreifer könnte also einmal Wikipedia komplett auf dem Drucker drucken....
Für solche Dienste sollte man dann ein VPN nutzen. Eine Portweiterleitung für das VPN und das war's. LAN-interne Dienste wie zB besagte Drucker kann man dann via VPN nutzen als säße man daheim auf der Couch - gesichert und verschlüsselt durch das VPN.
Zuletzt bearbeitet:
