Firewall Port umgehen

Diskutiere Firewall Port umgehen im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Hallo Leute, ich mach mir schon länger darüber Gedanken, wie es zum Beispiel der Thunderbird bzw. FireFoxe (offensichtlich) schafft an der...
D

dlonra

Threadstarter
Mitglied seit
19.10.2005
Beiträge
1.149
Hallo Leute,

ich mach mir schon länger darüber Gedanken, wie es zum Beispiel der
Thunderbird bzw. FireFoxe (offensichtlich) schafft an der FrizBox Firewall
vorbei zu kommen.
Also wenn die FrizBox(Router) Firewall all Ports dicht sind dürfte doch
z.B dieses hier *ftp: // juhu.de* nicht gehen. (Port 21)
Auch dürfte der ThunderBird die Ports 25 110 etc. nicht benutzen können.

Also wenn mir da mal jemand auf die Sprünge helfen kann wäre ich sehr
glücklich. Ich versuch mich schon seit Tagen auf diversen Seiten durch zulesen.
Aber welches Stichwort ist das richtige?

Wenn meine Befürchtungen stimmen, können Programme, die auf den Rechner
gelangen (z.B Trojaner) auf einen mysteriösen Trick die Hardware Firewall der
FrizBox ausschalten (umgehen).
Und was kann man dagegen machen?

Grüsse
 
J

jdr_85

Mitglied seit
23.10.2005
Beiträge
1.665
Alter
34
Die Verbindungen nach draußen sind bei Hardwareroutern normalerweise immer offen, nur eingehende Verbindungen werden geblockt.
 
Mike

Mike

i7-6700HQ
Team
Mitglied seit
21.09.2006
Beiträge
24.377
Standort
in der Nähe eines Rechners
Verbindungen nach draußen
Das ist das Stichwort ;) da hat er recht. RAUS musst du ja können.

Nach AUSSEN sind die Ports 21 (FTP),80 (HTTP),137,138,139(NETBIOS für Datei-u.Druckerfreigabe),443 (HTTPS) meistens immer offen.

Mike :)
 
D

dlonra

Threadstarter
Mitglied seit
19.10.2005
Beiträge
1.149
Hi,
Aber die Gegenstelle Antwortet doch z.B auf Port 21 zurück,
dann kommt das Packet von außen und nicht von innen nach draußen.

Es muss doch noch ein Trick dabei sein.
Also wenn mir jemand ein Stichwort gibt kann ich mal selber alles nachlesen.

Grüsse

+Danke für die schnelle Antwort
 
Mike

Mike

i7-6700HQ
Team
Mitglied seit
21.09.2006
Beiträge
24.377
Standort
in der Nähe eines Rechners
Also wenn die FrizBox(Router) Firewall all Ports dicht sind
kein Trick, aber hast DU die Ports zugemacht, oder ist das eine Standard-Fritzbox-Funktion. Die wird wahrscheinlich den 21 offenlassen (und andere auch).

Mein Router mit der Standard-BLOCKIERUNG in der Firewall blockt auch NUR > 445 die Ports!!. Alle anderen muss ich sagen (oder umgekehrt, was ja leichter ist bei 65000 Ports ;))
 
CaptainCrunch

CaptainCrunch

Instochastik
Mitglied seit
07.08.2005
Beiträge
296
Alter
53
Hi,

ganz kurz umrissen funktioniert das so:

Ein Server im Netz führt oft verschiedene Funktionen gleichzeitig aus. Beispielsweise kann zu einem Rechner mittels FTP eine Datei übertragen werden, während gleichzeitig ein anderer Rechner ein HTML-Dokument angefordert. Da jeweils nur eine Verbindung zum Internet besteht, muss sichergestellt sein, dass die Datenpakete jeweils bei der richtigen Anwendung ankommen. Jeder Netzanwendung ist zu diesem Zweck eine Port-Nummer zugeordnet. Jeder Prozess nimmt nur Daten aus seinem "Port" entgegen. Standardmäßig ordnet man bestimmten Anwendungen feste Portnummem unterhalb von 1024 zu. Häufig verwendete Konventionen sind:

Anfragen an einen FTP-Server erfolgen somit über Port 21. Damit auch die Antwort des Servers bei der richtigen Anwendung ankommt, wird für den Client ebenfalls ein Port vereinbart. Dieser ist nicht von vome herein festgelegt, sondern er wird dynamisch erzeugt und dem Server mitgeteilt. Durch die Kombination von IP-Adresse und Port ist jede Verbindung im Internet eindeutig bestimmt. Jedes Datenpaket muss die IP-Adresse des Zielrechners und die Port-Nummer der Anwendung enthalten. Die Kombination von IP-Adresse und Port heißt Socket.

Und durch den Socket wird dann die Kommunikation gewährleistet.
 
D

dlonra

Threadstarter
Mitglied seit
19.10.2005
Beiträge
1.149
Hi Mike,

bei der FritzBox muss man den Port 21 für FTP ausdrücklich freigeben.
Das hab ich mit meinem FTP-Server (Mozilla-FileZilla-Server) gemerckt.
Weil er nur funktioniert wenn Port 21 offen ist.
Also alle Datenpackte laufen ausdrücklich über Port 21.

Aber man kann z.B mit dem FireFoxe auch FTP-Seiten anschauen.
wenn man da auf ein File klickt laufen die Datenpackete trotzdem obwohl der FTP Port 21 dicht ist (zumindest von ausen nach innen :D )

Grüsse
 
D

dlonra

Threadstarter
Mitglied seit
19.10.2005
Beiträge
1.149
@Mike

Manchmal kann man daran verzweifeln. Du hast natürlich Recht.
(Es is so einfach das es schon wieder schwer ist :unsure )

@CaptainCrunch
Das Stichwort mit dem Socket is gut .... jetzt kann ich endlich mal richtig nach was bestimmtem suchen.

Also wenn ich das so alles richtig kombiniere, dann macht gmx.de mit seinem Webmail alles über Port 80, obwohl auf meinem Rechner die Ports 25 110 vorgesehen sind (Thuderbird hört auf diesem Port die Datenpacket ab).

Es ist mir aber immer noch nicht klar an welcher Stelle im
gesamten Netzwerk nun die Umsattelung der Datenbakete
von Port 21 zum Port 80 passiert.

Eigentlich will ich keine unnötigen Ports offen haben.
Ich hab auf meinem System ein Mail-Server installiert der auf alle
TCP Datenpackete auf dem Port 25 bzw Port 110 hört.
Meine Frage ist muss ich die nach aussen aufmachen wenn ich den EMail-Server von irgend einem Punkt der Erde mit Webmail oder Thunderbird abfragen will.

Grüsse
 
BrandyJr

BrandyJr

Mitglied seit
02.11.2003
Beiträge
3.707
Alter
38
Standort
Berlin
Dazu wäre noch zusagen, dass die meisten Router keine richtige Firewall enthalten, sondern nur ein NAT.
Eine NAT prüft wie oben schon erwähnt den ausgehenden Verkehr nicht.


Siehe unter anderem hier und hier
NAT und die NAT-Firewall-Mär
Eine Angabe, die Sie häufig finden, ist die Bezeichnung „NAT-Firewall“. Allerdings hat die so genannte „Network Address Translation“ (NAT) wenig mit einer Firewall zu tun.
...
Da somit die einzelnen PCs nicht direkt über die öffentliche IP-Adresse aus dem Internet erreichbar sind, sprechen einige Router-Hersteller werbewirksam von einer NAT-Firewall. Um eine Firewall-Funktion im eigentlichen Sinne, die nur bestimmte Datenpakete passieren lässt, handelt es sich dabei jedoch nicht.
 
Mike

Mike

i7-6700HQ
Team
Mitglied seit
21.09.2006
Beiträge
24.377
Standort
in der Nähe eines Rechners
dann macht gmx.de mit seinem Webmail alles über Port 80,
Deshalb ist WEBMAIL auch so sicher :D :D (negativ gemeint!)

Es ist mir aber immer noch nicht klar an welcher Stelle im
gesamten Netzwerk nun die Umsattelung der Datenbakete
von Port 21 zum Port 80 passiert.
Mir auch nicht. Wenn ich das alles wüsste hätt ich einen noch besseren Job :D

Bei sowas musst du auf Internet-Profis hoffen, ich weiß zwar viel aber nicht alles ;)

WISSEN ist MACHT
nichts WISSEN -- MACHT auch nichts
viel WISSEN -- MACHT Kopfweh

Mike
 
automatthias

automatthias

vernunftgeplagt
Mitglied seit
21.04.2006
Beiträge
7.991
bei der FritzBox muss man den Port 21 für FTP ausdrücklich freigeben.
Das hab ich mit meinem FTP-Server (Mozilla-FileZilla-Server) gemerckt.
Weil er nur funktioniert wenn Port 21 offen ist.
Also alle Datenpackte laufen ausdrücklich über Port 21.
Das ist notwendig, weil Du ja offenbar einen FTP-Server betreibst.
Da musst Du den Port 21 frei schalten, damit andere von außen über Port 21 (ftp) auf den Server zugreifen können.
Wenn Du nur über ftp mit einem Client z.B. dem "einfachen" Filezilla Dateien herunterladen willst, brauchst Du das auf de Fritzbox nicht frei zu schalten.
 
BrandyJr

BrandyJr

Mitglied seit
02.11.2003
Beiträge
3.707
Alter
38
Standort
Berlin
Also Mike, ich weiss nicht was du da gemessen hast, aber auf jedenfall geht eine FTP-Verbindung (auch wenn sie über einen Browser stattfindet) über Port 21.
Ich habe die gleiche Adresse wie du in den Firefox eingegeben und den Netzwerkverkehr mal aufgezeichnet, weil mir das mit Port 80 irgendwie spanisch vorkam. :D

Achso, Wireshark setzt statt der Port-Nr 21 immer automatisch ftp ein.
 
Mike

Mike

i7-6700HQ
Team
Mitglied seit
21.09.2006
Beiträge
24.377
Standort
in der Nähe eines Rechners
Also Mike, ich weiss nicht was du da gemessen hast, aber auf jedenfall geht eine FTP-Verbindung
Gemessen gar nix! Einfach OHNE download eine FTP-Seite besucht und mit cports (nirsoft) bzw. advanced-ports-scanner nachgesehen, welche Ports aufgehen. KEIN 21 gefunden ??

Ist aber immer so. Sobald ich dann was downloade, geht der 21er auf.

?? Kann nix dafür, wird mir so angezeigt

Mike
 
CaptainCrunch

CaptainCrunch

Instochastik
Mitglied seit
07.08.2005
Beiträge
296
Alter
53
Beim Webmail gibt es keine "Umsattelung". Du greifst ja mit dem Browser auf ein Tool zu das Webmail verwaltet, sei es Horde oder ein anderes Produkt. Dort wird ganz einfach gesagt nur mittels PHP oder CGI oder anderen serverbasierenden Produkten die Kommunikation zwischen dem Mailserver und dem Tool generiert. Du brauchst auf Deiner Seite für diese Geschichte lediglich den Port 80. Da Du ja den Aufruf des Webmailers mittels Browser veranstaltest.

Um selber einen Mailserver zu betreiben benötigst Du allerdings geöffnete Ports. Zumindest zum Abholen der Mails sollte der Port 110 offen sein, da Du ja dann von aussen auf den Mailserver zugreifen musst. Allerdings kannst Du das ja auch verbiegen. Du gibst Deinem Mailserver einen freien Port und dem Mailclient sagst Du hol die Mails auf dem Port xxxx. Dann ist der Standart schonmal verlassen.

Ob natürlich diese Security by Obscurety Lösung gut ist sei dahingestellt.

Die Frage ist will man sich einen eigenen Mailserver aufsetzen.
 
Mike

Mike

i7-6700HQ
Team
Mitglied seit
21.09.2006
Beiträge
24.377
Standort
in der Nähe eines Rechners
@brandyjr

Hab mit WireShark mal nachgeschaut

Transmission Control Protocol, Src Port: 2930 (2930), Dst Port: ftp (21), Seq: 1, Ack: 276, Len: 16
Natürlich in einer Zeile wo meine IP als SRC steht == Zielport 21, Quelle =2930. Das ist nicht mein 21er !!

In einer Zeile von Inode als SRC:

Transmission Control Protocol, Src Port: ftp (21), Dst Port: 2930 (2930), Seq: 352, Ack: 43, Len: 59
Src (Inode) = 21
Dest (ICH) = 2930

So zeigt mir das Wireshark.

Deine markierten Zeilen sind alles ACK-Zeilen, das sind die Antworten von Inode welche bei Inode natürlich über 21 laufen. Bei mir war die ganze zeit kein 21 offen. Egal mit welchem Programm nachgesehen >> OHNE Download aber!!
 
Travel-pc

Travel-pc

Laptop-Fan
Mitglied seit
25.08.2006
Beiträge
6.052
Standort
Nord-Europa
Ist schon ok so.

Esgibt ja extra für solche Firewalls das VPN bzw. Tunnel - Verfahren,

da wird dann genau das von einem Programm aus gesteuert, welcher
Dienst über den eigentlichen offenen Port 80 über einen "hilfsport"
(normaler HTTP.Port) dann für DIESEN DIENST z.b. FTP oder Remote
"verbogen" , und das wird in der gesammten Verbindung aufrecht erhalten.

Da z.b. viele Remote-Ports ja bekannt und gerne gehackt werden,
nutzen nun viele solche "Tools" oder Remote-Server-Dienste"
um über eine normale Internet-verbindung einen "Tunnel-Dienst" zu starten.

Der "neue" Port hat dann natürlich alle funktionen des "eigentlichen" Ports.

Bei weiteren Fragen ... oder bei OBI ??
 
D

dlonra

Threadstarter
Mitglied seit
19.10.2005
Beiträge
1.149
@all Danke

1. ich hab nicht gewusst das man mit Wireshark festellen kann welche Ports
2. ich hab nicht gewusst das es ein NAT-Firewall gibt
3. ich hab nicht gewusst das die NAT nur einkommende Datenpackete 'blockt'
4. von Sockets hab ich noch nie was gehört
5. VPN Steuerung der NAT-Firewall (umsatteln der Ports) auch noch nicht
6. von Port Tunneln auch noch nicht
7. das man OBI fragen kann auch nicht :)

Danke euch allen jetzt kann ich mich mal richig schlau machen.
Obwohl das wichtigste weis ich jetzt....

Grüsse
 
Mike

Mike

i7-6700HQ
Team
Mitglied seit
21.09.2006
Beiträge
24.377
Standort
in der Nähe eines Rechners
ich hab nicht gewusst das man mit Wireshark festellen kann welche Ports
Wenn du wüsstest :D:D, was das Teil alles kann. Vielleicht noch in Verbindung mit anderer Software :up

Aber dazu *stillschweigen*
 
BrandyJr

BrandyJr

Mitglied seit
02.11.2003
Beiträge
3.707
Alter
38
Standort
Berlin
Jep, wenn ich überlege wieviel E-Mail-Account daten ich damit schon "recovered" habe. :blush
Man glaubt garnicht wieviele Leute in ihrem E-Mailprogramm immer nur auf Senden/Empfangen klicken und mit der Zeit ihre Kennwörter vergessen. :D
 
Thema:

Firewall Port umgehen

Sucheingaben

Nat port umgehen

,

firewall umgehen port finden

,

firewall nach drausen umgehen

Firewall Port umgehen - Ähnliche Themen

  • Firewall deaktiviert und trotzdem blockt Windows 8 Ports

    Firewall deaktiviert und trotzdem blockt Windows 8 Ports: Hallo Brauche dringend Hilfe, ich betreibe einen Gameserver auf meinem Windows 8 Rechner und das Problem ist, dass Windows 8 alle Ports blockt...
  • FTP Port freigeben in der Windows Firewall

    FTP Port freigeben in der Windows Firewall: Hallo Zusammen Ich bin kein Genie was IP usw angeht. Darum versuche ich es so einfach wie möglich zu erklären. Ich habe eine Dyndns Adresse und...
  • GELÖST Frage zu Windows Firewall Ports (ausgehende Regeln)

    GELÖST Frage zu Windows Firewall Ports (ausgehende Regeln): Hallo, also folgendes, bin zur Windows Firewall gegangen, ausgehende Regeln, neue Regel, benutzerdefinierte Regeln, dann beim Programmpfad die...
  • GTA IV NAT und Firewall Ports Freigeben

    GTA IV NAT und Firewall Ports Freigeben: Hallo Möchte für GTA IV und Social Club die ports Freigeben Frage 1 Wie bekomme ich raus welche ports ich freischalten muss Frage 2 wie...
  • anderer Port für FTP-Server

    anderer Port für FTP-Server: Unter Windows Server 2003 funktioniert der FTP Server auf Port 21 einwandfrei. Sobald ich den Port jedoch den Port ändere, z.B. auf 2100, kann ich...
  • Ähnliche Themen

    • Firewall deaktiviert und trotzdem blockt Windows 8 Ports

      Firewall deaktiviert und trotzdem blockt Windows 8 Ports: Hallo Brauche dringend Hilfe, ich betreibe einen Gameserver auf meinem Windows 8 Rechner und das Problem ist, dass Windows 8 alle Ports blockt...
    • FTP Port freigeben in der Windows Firewall

      FTP Port freigeben in der Windows Firewall: Hallo Zusammen Ich bin kein Genie was IP usw angeht. Darum versuche ich es so einfach wie möglich zu erklären. Ich habe eine Dyndns Adresse und...
    • GELÖST Frage zu Windows Firewall Ports (ausgehende Regeln)

      GELÖST Frage zu Windows Firewall Ports (ausgehende Regeln): Hallo, also folgendes, bin zur Windows Firewall gegangen, ausgehende Regeln, neue Regel, benutzerdefinierte Regeln, dann beim Programmpfad die...
    • GTA IV NAT und Firewall Ports Freigeben

      GTA IV NAT und Firewall Ports Freigeben: Hallo Möchte für GTA IV und Social Club die ports Freigeben Frage 1 Wie bekomme ich raus welche ports ich freischalten muss Frage 2 wie...
    • anderer Port für FTP-Server

      anderer Port für FTP-Server: Unter Windows Server 2003 funktioniert der FTP Server auf Port 21 einwandfrei. Sobald ich den Port jedoch den Port ändere, z.B. auf 2100, kann ich...
    Oben