Offene (Freetz-)Ports

[ao]

Hallo,

ich habe mal eine Frage zur Sicherheit meines Routers (FB 7170), auf dem Freetz läuft und daher noch ein paar weitere Ports offen sind:
Wie sicher sind die? Ist da ein Einbruch möglich?

Folgendes zeigt mir "knocker" an, das ich allerdings aus dem eigenen lokalen Netz (andere Linux-Kiste) gestartet habe (ist evtl. nicht so sinnvoll, besser von außen prüfen?):

 -=[ 22/tcp, ssh ]=- * OPEN *
 -=[ 53/tcp, domain ]=- * OPEN *
 -=[ 80/tcp, www ]=- * OPEN *
 -=[ 81/tcp, unknown ]=- * OPEN *
 -=[ 85/tcp, unknown ]=- * OPEN *
 -=[ 86/tcp, unknown ]=- * OPEN *
 -=[ 1012/tcp, unknown ]=- * OPEN *
 -=[ 5060/tcp, sip ]=- * OPEN *
 -=[ 8080/tcp, http-alt ]=- * OPEN *

81=Freetz GUI, 85=digitemp GUI, 86=rrdstats GUI, 1012=CallMonitor-Schnittstelle.
Und was ist mit 53=domain? Ist der offen, weil auf meiner FB dnsmasq läuft?
Macht es Sinn, diese alle zu sperren und nur bei Bedarf (z.B. mittels port knocking) zu öffnen?
Wobei das im Falle z.B. des Callmonitors (falls der offene Port 1012 für den CM nötig ist) nicht klappt, weil der ja wohl für eine reibungslose Funktion nicht erst per port knocking geöffnet werden kann.

Betreibt Ihr Eure Fritzboxen mit Freetz auch mit solchen o.ä. Ports direkt als Router, oder hinter einem ersten Router, der weniger Ports offen hat.
Ist es überhaupt möglich, dass sich jemand von außen über diese Ports reinhackt? Dazu müsste ja der Dienst, der dahinter lauscht kompromittierbar sein, z.B. über einen stack oder buffer overflow.
Oder bestehen da auch andere Gefahren?

Port 22 (ssh) könnte ich natürlich umlegen, die anderen eigentlich auch. Legt Ihr Eure Ports prinzipiell woanders hin?

Sorry, ich weiß, dass das nur teilweise Freetz-relevant ist, erlaube mir aber trotzdem in diesem Unterforum zu fragen, weil ich keine Ahnung habe, wie "dicht" diese Freetz-spezifischen Ports sind. Vielleicht mache ich mir auch unnötige Gedanken. Ein entsprechender Hinweis von den Gurus hier wäre ja auch ausreichend. ;-)

Danke für Euer Feedback und schonmal ein schönes Wochenende.

 

[RalfFriedl]

Die Frage ist zunächst, willst Du die Box gegen Zugriffe von Innen oder von Außen absichern? Vermutlich von Außen, also kommt es darauf an, was von Außen erreichbar ist.

Port 53 ist DNS, ob dnsmasq oder AVM, der Port ist auf jeden Fall offen.

Port 5060 ist SIP und notwendig, wenn man VoIP nutzt.

Daß ein Port offen ist, ist für sich allein nicht gefährlich, sondern nur, wenn der Dienst dahinter eine Schwachstelle hat. Aber wenn man einen Dienst nicht von Außen benötigt, ist es das sicherst, den Port zu sperren.

 

[MaxMuster]

Macht es Sinn, diese alle zu sperren und nur bei Bedarf (z.B. mittels port knocking) zu öffnen?
[...]
Port 22 (ssh) könnte ich natürlich umlegen, die anderen eigentlich auch. Legt Ihr Eure Ports prinzipiell woanders hin?

Letztlich eine Frage der persönlichen Paranoia ;-)

Ich würde für mich immer den SSH-Port von außen verlegen, man muss ja niemanden direkt zum "Hacken" einladen, wobei das eigentlich nur bei Passwortabfragen ein Problem wäre.

Und natürlich ist das auf Ports öffnen / Anwendungen Starten nur auf Klopfzeichen hin noch "sicherer", immer vorausgesetzt, der knockd ist sicher.


Jörg

 

[buehmann]

Hallo ao,

(ist evtl. nicht so sinnvoll, besser von außen prüfen?)

ja, in der Standardeinstellung der AVM-Firewall dürfte keiner der aufgelisteten Ports nach außen offen sein.

Andreas

PS: Korrektur: Port 5060 (sip) natürlich schon ...

 

[stinkstiefel]

Ach ja, 5060 auch nicht?

 

[SaschaBr]

@ao:
Mach doch mal einen Portscan von außen, zum Beispiel über Heise:
http://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Bei mir wird nur der Port 21 für FTP als offen angezeigt, der Rest wird als "gefiltert" ausgewiesen:

 

[ao]

Danke für Eure Antworten. Von außen sieht es natürlich anders aus (und das ist mir wichtig).
Ich habe den Test "UNIX Standard" (habe OS X) durchgeführt (Screenshot), der vgl. mit meinen zuvor erhobenen Ergebnissen des "Router" Tests ist.
Dass Ping-Pakete beantwortet werden, wundert mich allerdings.
Ist aber wohl auch egal, denn richtige Hacker lassen sich von ausbleibenden Ping-Antworten eh nicht abhalten.
Den SSH-Port werde ich noch umlegen. Vor allem aber sollte ich HTTPS schließen. Wieso ist der wohl offen?

 

[MaxMuster]

HTTPS = Fernwartung?!?

 

[ao]

Nein, die Fernwartung ist deaktiviert. Ich schaue später nochmal nach.
Oben habe ich eben nochmal editiert + neuen Screenshot angefügt.

 

[MaxMuster]

Was dahinter hängt siehst du auf der Box mit "netstat".

Jörg

 

[RalfFriedl]

Ich habe den Test "UNIX Standard" (habe OS X) durchgeführt

Die Idee ist richtig, aber die Begründung falsch.
Du testest damit Deine Box und nicht Deinen PC.

 

[hermann72pb]

Dass Ping-Pakete beantwortet werden, wundert mich allerdings.
Ist aber wohl auch egal, denn richtige Hacker lassen sich von ausbleibenden Ping-Antworten eh nicht abhalten.

Das nervt mich total, wenn es bei neueren Windows-Versionen per Default gesperrt wird. ping ist für jede Fehlersuche im Netz das Wichtigste, womit man überhaupt anfängt. Vor allem bei den dynamischen Adressen ist es für die Fehlersuche wichtig, ob die Namenauflösung funktioniert, ob dyndns seine Einträge richtig aktualisiert hat usw.
Natürlich gibt es andere Befehle als "ping" um das Eine oder das Andere herauszufinden (z.B. nslookup usw.). Aber "ping" schlägt schon ziemlich alles auf Einmal und ist daher universell und leicht zu merken.
Theoretisch wäre es aber möglich auch die Ping-Anfragen von Außen zu blockieren.

MfG

 

[ao]

Was dahinter hängt siehst du auf der Box mit "netstat".

Danke für Deinen Hinweis, Jörg. Netstat sagt:

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       
tcp        0      0 localhost:3256          localhost:8888          ESTABLISHED 
tcp        0      0 fb1:81                  mb:52507                TIME_WAIT   
tcp        0      0 fb1:81                  mb:52503                TIME_WAIT   
tcp        0      0 fb1:81                  mb:52499                TIME_WAIT   
tcp        0      0 localhost:2933          localhost:1011          ESTABLISHED 
tcp        0      0 fb1:81                  mb:52510                TIME_WAIT   
tcp        0      0 fb1:81                  mb:52506                TIME_WAIT   
tcp        0      0 fb1:81                  mb:52502                TIME_WAIT   
tcp        0      0 localhost:8888          localhost:3256          ESTABLISHED 
tcp        0      0 fb1:81                  mb:52509                TIME_WAIT   
tcp        0      0 fb1:81                  mb:52505                TIME_WAIT   
tcp        0      0 fb1:81                  mb:52501                TIME_WAIT   
tcp        0      0 localhost:1011          localhost:2933          ESTABLISHED 
tcp        0      0 fb1:81                  mb:52513                ESTABLISHED 
tcp        0      0 localhost:1012          localhost:2825          ESTABLISHED 
tcp        0      0 fb1:81                  mb:52508                TIME_WAIT   
tcp        0      0 fb1:81                  mb:52504                TIME_WAIT   
tcp        0      0 fb1:81                  mb:52500                TIME_WAIT   
tcp        0      0 fb1:1012                mb:51111                ESTABLISHED 
tcp        0      0 localhost:2825          localhost:1012          ESTABLISHED 
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ]         DGRAM                      1815 /var/tmp/pbmsg
unix  2      [ ]         DGRAM                      1818 /var/tmp/me_phonebook.ctl
unix  2      [ ]         DGRAM                      1079 /var/tmp/me_logic.ctl
unix  2      [ ]         DGRAM                      1081 /var/tmp/me_ctlmgr.ctl
unix  7      [ ]         DGRAM                      3439 /dev/log
unix  2      [ ]         DGRAM                      4035 /var/tmp/me_multid.ctl
unix  2      [ ]         DGRAM                      1522 /var/tmp/me_dsld.ctl
unix  2      [ ]         DGRAM                      1789 /var/tmp/me_voipd.ctl
unix  2      [ ]         DGRAM                      6674 
unix  2      [ ]         DGRAM                      4482 
unix  2      [ ]         DGRAM                      4084 
unix  3      [ ]         STREAM     CONNECTED       3987 
unix  3      [ ]         STREAM     CONNECTED       3986 
unix  2      [ ]         DGRAM                      3947 
unix  2      [ ]         DGRAM                      3442 
unix  3      [ ]         STREAM     CONNECTED       2059 /var/tmp/pb_event
unix  3      [ ]         STREAM     CONNECTED       2058 /var/tmp/pbctrl
unix  3      [ ]         STREAM     CONNECTED       2057 
unix  3      [ ]         STREAM     CONNECTED       2056 
unix  3      [ ]         STREAM     CONNECTED       1847 /var/tmp/pb_event
unix  3      [ ]         STREAM     CONNECTED       1848 /var/tmp/pbctrl
unix  3      [ ]         STREAM     CONNECTED       1846 
unix  3      [ ]         STREAM     CONNECTED       1845 
unix  2      [ ]         DGRAM                      1201

Wo sehe ich da, was mit HTTPS (=Fernwartung?) ist?

Die Idee ist richtig, aber die Begründung falsch.
Du testest damit Deine Box und nicht Deinen PC.

Danke Ralf, Du hast selbstverständlich Recht.


@Hermann:
Ich sehe es genauso wie Du, auch wenn ich es oben gar nicht als Argument geschrieben hatte.

 

[MaxMuster]

Du bräuchtest am Besten "netstat -p", um die Programme/PID zu sehen.
(Siehst du unten im Code-Fenster, wenn du zur Seite scrollst)
Versuche entweder, dir ein "besseres" netstat zu bauen ("make busybox-menuconfig" Networking Utilities -> netstat -> Enable PID/Program name output)

Oder nutze den Anhang, der als Kurzfristige Lösung laufen sollte ;-)

/var/tmp # ./busybox netstat -anp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:5060            0.0.0.0:*               LISTEN      339/voipd
tcp        0      0 0.0.0.0:49000           0.0.0.0:*               LISTEN      310/igdd
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      305/ctlmgr
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      305/ctlmgr
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN      419/httpd
tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN      334/telefon
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      536/dropbear
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN      337/telnetd
tcp        0      0 192.168.178.1:23        192.168.178.12:35081    ESTABLISHED 337/telnetd
tcp        0      0 127.0.0.1:1011          127.0.0.1:3887          ESTABLISHED 334/telefon
tcp        0      0 127.0.0.1:3887          127.0.0.1:1011          ESTABLISHED -
tcp        0      0 192.168.178.1:23        192.168.178.14:52956    ESTABLISHED 337/telnetd
netstat: /proc/net/tcp6: No such file or directory
udp        0      0 0.0.0.0:3072            0.0.0.0:*                           305/ctlmgr
udp        0      0 0.0.0.0:3073            0.0.0.0:*                           319/multid
udp        0      0 0.0.0.0:3074            0.0.0.0:*                           319/multid
udp        0      0 0.0.0.0:7077            0.0.0.0:*                           339/voipd
udp        0      0 0.0.0.0:53              0.0.0.0:*                           319/multid
udp        0      0 0.0.0.0:5060            0.0.0.0:*                           339/voipd
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           310/igdd
netstat: /proc/net/udp6: No such file or directory
netstat: /proc/net/raw6: No such file or directory
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ]         DGRAM                       819 305/ctlmgr          /var/tmp/me_logic.ctl
unix  2      [ ]         DGRAM                       821 305/ctlmgr          /var/tmp/me_ctlmgr.ctl
unix  2      [ ]         DGRAM                      1643 339/voipd           /var/tmp/me_voipd.ctl
unix  2      [ ]         DGRAM                      2452 443/usermand        /var/tmp/me_usermand.ctl
unix  2      [ ]         DGRAM                      2206 310/igdd            /var/tmp/me_igdd.ctl
unix  2      [ ]         DGRAM                       972 324/dsld            /var/tmp/me_dsld.ctl
unix  2      [ ]         DGRAM                       989 319/multid          /var/tmp/me_multid.ctl
/var/tmp #

TCP 443 sehe ich übrigens nicht?!? Hast du vielleicht ein Forwarding von 443 auf Port xy?!?

Jörg

 

[MaxMuster]

Um drauf zu verweisen mal (hoffentlich o.k.) ausnahmsweise ein neuer Post mit einem freetz-patch für den Trunk, mit dem die Option direkt im freetz menuconfig ausgewählt werden kann.
(Advanced options -> BusyBox options -> netstat -p)


Jörg

 

[sf3978]

Aber "netstat -p" gibt es doch schon. Was ist mit dem patch anders bzw. besser?

 

[MaxMuster]

Bei mir ging das nicht?!? Das wäre ja peinlich

EDIT Jau, Changeset 4654, das kommt davon, wenn man nicht vorher ein neues Image baut...

 

[sf3978]

Bei mir geht das so, auch ohne den patch:

/var/mod/root # netstat -p
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 169.254.2.1:####        **********:##### ESTABLISHED 1920/vtund[c]: tun_
tcp        0      0 fritz.box:23            192.168.***.***:#####   ESTABLISHED 788/telnetd
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ]         DGRAM                      1094 520/ctlmgr          /var/tmp/me_logic.ctl
unix  2      [ ]         DGRAM                      1097 520/ctlmgr          /var/tmp/me_ctlmgr.ctl
unix  2      [ ]         DGRAM                      1359 627/multid          /var/tmp/me_multid.ctl
unix  2      [ ]         DGRAM                      1629 669/dsld            /var/tmp/me_dsld.ctl
unix  2      [ ]         DGRAM                      1131 519/wpa_authenticat /var/tmp/to_wpa_hidden_sock
unix  2      [ ]         DGRAM                      1133 519/wpa_authenticat /var/tmp/wpa_debug_sock
unix  8      [ ]         DGRAM                      1908 819/syslogd         /dev/log
unix  2      [ ]         DGRAM                     80400 3024/-sh
unix  2      [ ]         DGRAM                      2802 1920/vtund[c]: tun_
unix  2      [ ]         DGRAM                      2799 1908/arpwatch
unix  2      [ ]         DGRAM                      2217 1127/inetd
unix  2      [ ]         DGRAM                      1994 520/ctlmgr
unix  2      [ ]         DGRAM                      1911 821/klogd
unix  2      [ ]         DGRAM                      1288 614/dnsmasq

Peinlich ist das nicht, wenn es bei dir ohne patch nicht geht.

 

[MaxMuster]

Naja, ich hab es halt mit meiner aktuellen Box versucht, und das Image (und der SVN-Stand) war wohl älter als 8 Tage ;-).
So kann es gehen.

 

[ao]

Sorry, Leute, ich hatte übersehen, dass ich über virtualip den Port 443 auf den Port 22 weiterleite, damit ich von unterwegs über 443 auf meine Box komme, wenn nur dieser Port geht (der ja sonst für https zuständig ist und daher eigentlich überall offen sein sollte). Der Port 22 ist ja häufig geschlossen.
Ein Login über ssh ist bei mir nur mit ssh-key möglich, d.h. der reine PW-Login ist gesperrt.
Seht Ihr mit diesem ganzen Setup ein Sicherheitsproblem?