kostenloser Webspace werbefrei: lima-city


offene Ports

lima-cityForumHeim-PCNetzwerke

  1. Autor dieses Themas

    sandrock-jonas

    Kostenloser Webspace von sandrock-jonas

    sandrock-jonas hat kostenlosen Webspace.

    Hallo,

    ich beschäftige mich gerade mit der Sicherheit meines Systems (Ubuntu 8.04). Insbesondere bin ich heute auf die offenen Ports gekommen. Ich kenne mich in der Materie leider noch sehr wenig aus, weshalb ich hier die eine oder andere Frage habe.

    Ich habe mir schon mal die Artikel von wiki.ubuntuusers.de und Wikipedia zum Thema durchgelesen und bin dabei zu folgendem Ergebnis gekommen:
    Einen Port stelle ich mir jetzt einfach mal als eine Art "Tür" vor. Wenn ein solcher Port geschlossen ist, kann von außen nichts zu dieser Tür rein, bis sie ein Programm von innen öffnet. Wenn diese Tür offen ist, steht ein Programm dahinter, dass alles, was von außen kommt, abfängt und verarbeitet.

    1. Stimmt diese Vorstellung so ungefähr?
    2. Gibt es auch Ports, die offen sind, ohne dass ein Programm dahinter steht, das die ankommenden Pakete verarbeitet? Wenn ja, was passiert dann mit den Paketen?
    3. Wo sind diese "Türen"? So wie ich es verstanden habe, müssten sie "an" meinem Rechner sein (natürlich bildlich gesprochen ;-) ). Folglich müsste ein geschlossener Port weder über das lokale Netzwerk (2 über den Router verbundene PCs) noch über das Internet ansprechbar sein.
    4. Wenn dem (3.) so ist, gibt es dann auch eine Möglichkeit, Ports nur für das lokale Netzwerk zugänglich zu machen und für das Internet zu schließen?

    Ich habe auf meinem Rechner eine lokale Testumgebung für Webseiten (Apache und Co) und auch die Datei- und Druckerfreigabe aktiviert, weshalb Ports offen sind, die ich ggf. z.T. nach Beantwortung dieser Fragen schließen werde.

    Vielen Dank schon mal für eure Hilfe

    Beitrag geändert: 5.10.2008 17:57:52 von sandrock-jonas
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. 1. Stimmt diese Vorstellung so ungefähr?

    Ja - die Betonung liegt auf "ungefähr".

    2. Gibt es auch Ports, die offen sind, ohne dass ein Programm dahinter steht, das die ankommenden Pakete verarbeitet? Wenn ja, was passiert dann mit den Paketen?

    Nicht, dass ich wüsste. Aber wenn das Programm hinter dem Port liegt, ihn nicht liest, dürfte das Ergebnis ähnlich sein. Ich vermute, dass solche Pakete irgendwann verworfen werden, wenn die Eingangs-Puffer voll sind.

    3. Wo sind diese "Türen"? So wie ich es verstanden habe, müssten sie "an" meinem Rechner sein (natürlich bildlich gesprochen ;-) ). Folglich müsste ein geschlossener Port weder über das lokale Netzwerk (2 über den Router verbundene PCs) noch über das Internet ansprechbar sein.

    Jeder Rechner, der an einem Netzwerk angeschlossen ist, kann Ports öffnen.
    Du kannst Dir das ähnlich wie ping vorstellen (ping benutzt keine Ports): Wenn Dein PC einen anderen mit ping erreicht, könnte er auch Ports dort öffnen (es sei denn, eine Firewall dazwischen verhindert das; umgekehrt bedeutet es auch nicht zwingend etwas, wenn ping nicht funktioniert: paranoide Admins unterbinden nämlich ping ;))

    4. Wenn dem (3.) so ist, gibt es dann auch eine Möglichkeit, Ports nur für das lokale Netzwerk zugänglich zu machen und für das Internet zu schließen?

    Ich weiß nicht, ob es direkt zu den Ports gehört, aber man kann oft auch einen Adressbereich definieren, von dem aus Verbindungsanfragen akzeptiert werden - z.B. dein lokales Netz - und der Rest wird dann ähnlich gehandhabt, als ob der Port garnicht offen wäre.

    Dein eigentliches Problem interpretiere ich so: Du hast Dateifreigaben, Apache u.a. aktiv und hast Angst, dass man aus dem Internet darauf zugreifen kann. Da Du einen Router benutzt, um ins Internet zu gehen, sollte das eigentlich kein Problem sein (es sei denn, er ist extra dazu konfiguriert):
    Der Router hat zum Internet hin nur eine IP-Adresse - wenn da etwas nach Apache (d.h., Port 80) fragt, weiß der Router ja garnicht, ob die Anfrage für Deinen PC mit Apache usw. oder für einen anderen bestimmt ist. Und wenn von draußen jemand versuchen würde, sich mit einem Port auf der IP-Adresse deines Apache zu verbinden, fühlte der Router sich garnicht erst angesprochen (das hat mit NAT zu tun).
    Allerdings kann man die meisten Router auch so konfigurieren, dass man eben doch einen Server im LAN vom Internet aus erreichen kann. Das nennt sich "forwarding" - und sollte im Auslieferungszustand des Routers nicht aktiv sein.

    Fazit: Da ich Deine Router-Konfiguration nicht kenne, kann ich nichts Definitives sagen. "Normalerweise" würde ich erwarten, dass in Deinem Fall Dein PC mit Apache rein garnichts tut (und tun muß), um "böse Buben aus dem Internet" abzuwehren - es reicht vollkommen, wenn der Router sich dumm stellt und nicht vom Internet ausgehendes zu diesem Apache-PC weiterreicht, was vermutlich der Fall ist, wenn Du nichts anderes eingestellt hast.

    Garantieren kann Dir das vermutlich niemand - der Router könnte ja eine fehlerhafte Firmware haben, vom Hersteller falsch konfiguriert worden sein und was weiß ich noch alles.
  4. Autor dieses Themas

    sandrock-jonas

    Kostenloser Webspace von sandrock-jonas

    sandrock-jonas hat kostenlosen Webspace.

    Erstmal danke für die ausführliche Antwort.

    Dein eigentliches Problem interpretiere ich so: Du hast Dateifreigaben, Apache u.a. aktiv und hast Angst, dass man aus dem Internet darauf zugreifen kann.


    Das trifft schon mal einen Teil meines Problems - aber das hat sich ja dann schon erledigt, da ich kein forwarding eingestellt habe.
    Der andere Teil meines Problems besteht darin, dass ich meinen Laptop auch schon mal in andere Netzwerke einhänge (z.B. auf der Arbeit). Nicht, dass ich da irgendwem nicht trauen würde, aber sicher ist sicher. Ich bin mir nämlich nicht so ganz sicher, wer an dieses Netzwerk dran kommt. Meine lokale Testumgebung geht niemanden was an, außerdem hätte dann jeder mittels phpMyAdmin Zugriff auf meine MySQL-Datenbanken. Naja, Port 80 habe ich jetzt schon mal auf 127.0.0.1 beschränkt. Jetzt sind aber auch noch ein paar andere Ports offen:

    25 für SMTP und 110 für POP3 braucht wohl mein E-Mail-Programm, aber IMAP (Port 143) benutze ich nicht. Kann ich den auch schließen?
    139 für NetBIOS Session Service - brauche ich das? Wenn ja, für was zum Beispiel?
    Bei den anderen 4 offenen Ports bin ich mir eigentlich ziemlich sicher, dass ich sie brauche.

  5. Der andere Teil meines Problems besteht darin, dass ich meinen Laptop auch schon mal in andere Netzwerke einhänge (z.B. auf der Arbeit). Nicht, dass ich da irgendwem nicht trauen würde, aber sicher ist sicher. Ich bin mir nämlich nicht so ganz sicher, wer an dieses Netzwerk dran kommt. Meine lokale Testumgebung geht niemanden was an, außerdem hätte dann jeder mittels phpMyAdmin Zugriff auf meine MySQL-Datenbanken. Naja, Port 80 habe ich jetzt schon mal auf 127.0.0.1 beschränkt. Jetzt sind aber auch noch ein paar andere Ports offen:

    Ach, so ... Tja, leider kenne ich mich mit Ubuntu nicht aus, aber ich würde fast zu einer Software-Firewall raten. Die sollte auch bei Ubuntu dabei sein.


    25 für SMTP und 110 für POP3 braucht wohl mein E-Mail-Programm, aber IMAP (Port 143) benutze ich nicht. Kann ich den auch schließen?
    139 für NetBIOS Session Service - brauche ich das? Wenn ja, für was zum Beispiel?
    Bei den anderen 4 offenen Ports bin ich mir eigentlich ziemlich sicher, dass ich sie brauche.

    Hm ... wenn Du auf dem Laptop selbst einen Mailserver betreibst, könnte die ersten Ports Sinn machen - wenn Du aber nur einen Mail-Client darauf verwenden willst, brauchst Du die allesamt nicht.
    NetBIOS hat mit Windows-Netzwerken zu tun - solange Du nicht (wo auch immer) von anderen Rechnern auf Windows-Freigaben auf deinem Ubuntu-Laptop zugreifen willst, kannst Du das vermutlich zumachen. Ich meine, das sollte nicht stören, wenn Du umgekehrt vom Laptop aus fremde Windows-Freigaben ansprechen willst; sicher bin ich mir aber nicht.
  6. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!