Welche Ports sollte man sperren

[RAMSoße]

Moin Zusammen

Da mein PiHole noch nicht feritg, wollte ich in die Runde fragen, welche Ports es sich empfiehlt, am Router zu sperren.
Ich denke da an z.B. Windows Telemetrie ect.

Gibt es irgendwo eine Liste?

Beste Dank

 

[cgs]

Alle außer die wo man braucht.

 

[Nilson]

Da du von der " Windows Telemetrie" redetes, meinst du eingehende oder ausgehende Verbindungen?

 

[nebulein]

Denke auch man sollte eher den umgekehrten Weg gehen. Erstmal alle sperren und dann nur die öffnen, die man benötigt.

 

[RAMSoße]

Ok dann muss ich die Frage wohl umformulieren
Welche braucht man denn?

Hauptsächlich ausgehend, aber eingehend wäre wohl auch nicht verkehrt

 

[PHuV]

Das kommt auf Deine Anwendungen an. Was Du als erstes brauchst, ist 22 für ssh.

 

[burglar225]

Das kommt auf Deine Anwendungen an. Was Du als erstes brauchst, ist 22 für ssh.

Aber nur, wenn er auch von außen per SSH zugreifen will.

Was ich damit eigentlich sagen will: Das kann dir hier keiner sagen. Das hängt von der von dir eingesetzten Software und deinem Anforderungs- und Nutzungsprofil ab.
Einen piHole betreibt man ohnehin rein lokal, insofern, ohne andere Angaben gemacht zu haben: Alle, ohne Ausnahme.

 

[Yuuri]

Alle außer die wo man braucht.

Inhaltlich korrekt, Ausdruck 6- mit drei Sternchen.

Was Du als erstes brauchst, ist 22 für ssh.

Und wozu brauch man das für außerhalb des Netzwerks? Damit man von unterwegs den Pi mal updaten kann oder was?

Es kommt doch gänzlich auf seine Anwendungen an. Von denen er keine nennt. Ein PiHole ist ein lokaler DNS-Server. Da brauchts nichts offen nach außen.

 

[PHuV]

Und wozu brauch man das für außerhalb des Netzwerks? Damit man von unterwegs den Pi mal updaten kann oder was?

Das war doch nur ein Beispiel. Und ja, ich will sowas so haben, damit ich von außen zur Not zugreifen kann und einen reboot etc. durchführen kann, wenn das Ding hängt (was bei mir und in der Firma sehr wohl mal passiert).

 

[coxeroni]

Was Du als erstes brauchst, ist 22 für ssh.

Ich glaube du verwechselt da etwas mit 443/HTTPS.

 

[cgs]

Also erstmal PiHole ist ein DNS-Server, DNS-Blackhole, keine Firewall, das ist hoffentlich klar.

Hauptsächlich ausgehend, aber eingehend wäre wohl auch nicht verkehrt

Ausgehend filtert man eigentlich nicht mit einer Firewall, sondern eher mit einem Proxy. Klar der PiHole reduziert den Traffic, wenn Du die Domain blockst, aber es gibt auch Programme die eine feste IP verwenden ...

 

[RAMSoße]

Ui jetzt gibts gleich Diskussionen innerhalb der Diskussion

Ok das mit dem PiHole habe ich jetzt verstanden. Auch das ich alles dicht machen sollte und nur eben das öffnen was ich brauche.

Welche Ports benutzen dann z.B:
-Windows

• Libreoffice
• Linux
• Android usw.

 

[PHuV]

Ich glaube du verwechselt da etwas mit 443/HTTPS.

Äh, nein.

Ergänzung (22. Oktober 2020)

Welche Ports benutzen dann z.B:
-Windows

• Libreoffice
• Linux
• Android usw.

Nach außen oder nach innnen?

Nach außen brauchst Du erst mal nichts blockieren, und nach innen macht das ein Router eh als Standard.

 

[RAMSoße]

@PHuV

Bin da eben noch nicht so bewandert. Aber wenn der Router Standartmäßig alles zu macht, warum kann ich dann sofort ins Netz? Mal blöd gefragt

 

[Merle]

Was du machen kannst sind fragwürdige Domains (gibt Listen für MS zB) per DNS auf den local host aufzulösen (127.0.0.1).
DAS macht ein DNS.
Contentüberwachung, ggf mit Aufbruch der Verschlüsselung, und die Filterung dessen macht ein Proxy.
Firewalls, die üblicherweise im Router sitzen, sind von außen schon zu, von innen sind diese offen. Damit sperrt man Quell-/Ziel-IPs/-Ports.

Bei aller Liebe zur Sicherheit, blocke lieber zu blockende Ressourcen als alle gewünschten zu öffnen. Das killt dich. Also der Aufwand. Und werde dir darüber klar was du wo überhaupt einrichten willst. Ein DNS löst Namen auf. Ein Proxy ist auf Applikationsebene für das filtern interner Informationen gedacht. Eine Firewall filtert unverschlüsselte Netzdaten aus.
Wenn du MS Telemetrie per Firewall im Router sperren willst geht das. Sobald MS aber den Namen auf neue IPs zieht bist du wieder offen. Darum macht man das per DNS oder per hosts-Datei auf jedem Client.

 

[benneq]

Jeder 0815 Router blockiert standardmäßig jede eingehende Verbindung.

Und bei ausgehenden Verbindungen wird's schwierig. Da wird's auch keine einfache Portsperre tun, weil heutzutage vieles einfach über Port 443 läuft.
Im Endeffekt ist ein Port auch nur eine beliebige Nummer. Soll heißen: Wenn du SSH auf Port 80 machen willst, weil dieser Port in der Regel von keiner Firewall blockiert wird, dann kannst du das tun.
Wenn du damit also bösartige Programme aussperren willst, würde ich von sehr niedriger Erfolgsrate ausgehen. ...zumindest würde ich meine Trojaner und Controllserver nicht auf Standardports kommunizieren lassen

 

[mibbio]

@PHuV
Bin da eben noch nicht so bewandert. Aber wenn der Router Standartmäßig alles zu macht, warum kann ich dann sofort ins Netz? Mal blöd gefragt

Weil zwischen eingehenden und ausgehenden Verbindungen unterschieden wird. Rufst du eine Webseite auf, geht die Verbindung von dir / deinem PC aus, ist also ausgehend. Da mischt sich der Router weniger ein als bei eingehenden Verbindung (also wenn von außen was auf dein PC / Netzwerk zugreifen will).
Zumal die häufig genutzten Ports (80 "http", 443 "https", evtl. noch 53 "DNS") für ausgehende Verbindungen eh nicht geblockt werden, da man sonst nicht mal im Web surfen könnte.

 

[DeusoftheWired]

@RAMSoße Gegen Windowstelemetrie gibt es abonnierbare Blocklisten für Pi-hole: https://discourse.pi-hole.net/t/blocking-microsofts-telemtry/28295

In einer der letzten c’ts war auch eine mittelgroße Liste mit Domänen.

 

[PHuV]

Bin da eben noch nicht so bewandert. Aber wenn der Router Standartmäßig alles zu macht, warum kann ich dann sofort ins Netz? Mal blöd gefragt

Die Kollegen waren schneller oben. 👍

Merke Dir einfach (vereinfacht ausgedrückt):
Ein Router blockiert jede unbekannte Anfragen von außen. Unbekannt, wenn nicht konfiguriert (per NAT etc.). Jedes Gerät in Deinem internen Netz, egal welcher Port und welches Protokoll, kann aber jederzeit eine Verbindung nach außen aufmachen. Dazu gibts TCP/UDP-Verbindungen, die dann halboffen (weil von innen nach außen) offen gehalten werden. Stell Dir das einfach als Schleuse vor. Sobald eine Anwendung oder Programm (auch Schadprogramm) auf einen andern Port und per TCP/UDP eine Verbindung nach außen öffnet, z.B. für ein Programm-Update oder eben Telemetrieanfragen, bleibt sie offen, solange Dein Programm diese Leitung offen hält. Der Datenverkehr zwischen der Anwendung kann fließen. Der Router merkt sich das, und läßt den Datenverkehr fließen. Er muß sich das merken, weil er die Datenpakete von außen zum gemerkten Endgerät innen leiten muß. Wird die Anfrage vom Programm beendet oder extern durch gesetzte Timeouts (30, 60 Sekunden oder länger) beendet, wird der Datenverkehr unterbrochen, und dann blockt der Router das auch wieder. Er "vergißt" dann alle bereits getätigten Verbindungen, und er weiß dann nicht mehr, wie er von außen ankommende Datenpakete an welches innere Endgerät leiten muß.

 

[BeBur]

Whitelisting wird dir keinen Spaß machen da nicht alle Applikationen fixe Ports verwenden und du davon abgesehen regelmäßig unwillkürliche Probleme mit allen möglichen Programmen/Spielen/Apps bekommen kannst, von daher schau am besten ganz konkret was du blocken willst und ob es da sinnvoll ist an irgendeiner Stelle Ports zu blocken.
Vermutlich ist es nicht sinnvoll, irgendwas aktiv zu blocken, stattdessen baust du ja gerade schon daran etwas deutlich sinnvolleres zu machen, nämlich die DNS-Auflösung zu blockieren für einschlägige Domains.

Für zuhause privat wäre mir neu, dass ein Port-basiertes blockieren sinnvoll eingesetzt werden kann.