[Frage] Viele geöffnete Ports für Dienste im Heimnetz – Diagnose / Sicherheit FRITZ!Box 7490 (OS 7.21)

w-sky

Neuer User
Mitglied seit
20 Aug 2005
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Hallo allerseits,
ich wundere mich ein bisschen über die lange Liste der offenen Ports in einer Fritz!Box 7490, die ich gebraucht gekauft habe. Es sind nur Freigaben im Heimnetz, doch ist das normal oder hat der Vorbesitzer die Box manipuliert?
Klar habe ich die Box einmal auf Werkseinstellungen zurückgesetzt, aber die lange Liste ist geblieben. Die Box ist mit Internetzugang via LAN konfiguriert und wird nur als Router für ein privates Netz mit NAS eingesetzt, wobei einzig Samba Shares aktiviert sind, alles andere ist deaktiviert (Mediaserver, Telefoniefunktionen, UPnP, Fritz!Funkionen, Diagnose, sonstiges…).

Besonders wundern mich die „unbenannten“ Dienste, z.B. die Ports ab 4201, die lt. https://boxmatrix.info/wiki/Network-Ports für Remote Logging dienen, sowie dass die Ports für deaktivierte Funktionen weiter offen sind.

FRITZ!Box-Dienste
Übersicht der geöffneten Ports für den Zugriff aus dem Heimnetz

Geöffnete Ports​
Verwendete Protokolle​
FRITZ!Box-Dienst​
53​
TCP (IPv4/v6), UDP (IPv4/v6)​
Domain Name Service (DNS)​
67​
UDP (IPv4)​
Dynamic Host Configuration Protocol (DHCP)​
80​
TCP (IPv4/v6)​
Zugriff auf die FRITZ!Box Oberfläche (HTTP)​
123​
UDP (IPv4/v6)​
Zeitsynchronisation (NTP)​
137​
UDP (IPv4)​
Zugriff über ein Netzlaufwerk (SMB)​
138​
UDP (IPv4)​
Zugriff über ein Netzlaufwerk (SMB)​
139​
TCP (IPv4)​
Zugriff über ein Netzlaufwerk (SMB)​
443​
TCP (IPv4/v6)​
Zugriff auf die FRITZ!Box Oberfläche (HTTPS)​
445​
TCP (IPv4/v6)​
Zugriff über ein Netzlaufwerk (SMB)​
1900​
UDP (IPv4/v6)​
Simple Service Discovery Protocol (SSDP)​
4201​
UDP (IPv4/v6)​
Unbenannt​
4202​
UDP (IPv4/v6)​
Unbenannt​
4210​
UDP (IPv4/v6)​
Unbenannt​
4211​
UDP (IPv4/v6)​
Unbenannt​
4212​
UDP (IPv4/v6)​
Unbenannt​
4213​
UDP (IPv4/v6)​
Unbenannt​
4214​
UDP (IPv4/v6)​
Unbenannt​
5060​
TCP (IPv4/v6), UDP (IPv4/v6)​
Telefonie (SIP)​
5351​
UDP (IPv4/v6)​
Port Control Protocol (PCP)​
5353​
UDP (IPv4/v6)​
Multicast Domain Name Service (mDNS)​
5355​
UDP (IPv4/v6)​
Link Local Multicast Name Resolution (LLMNR)​
7077​
UDP (IPv4/v6)​
Telefonie (RTP, RTCP)​
8181​
TCP (IPv4/v6)​
FRITZ!Box Kindersicherung - Seite gesperrt​
8182​
TCP (IPv4/v6)​
FRITZ!Box Kindersicherung - Internetzugang gesperrt​
8183​
TCP (IPv4/v6)​
FRITZ!Box Update Hinweis​
8184​
TCP (IPv4/v6)​
FRITZ!Box Kindersicherung - Internetzugang gesperrt mit Ticket Eingabe​
8185​
TCP (IPv4/v6)​
Zugriff auf den FRITZ!Box Gastzugang - Bestätigungsseite​
8186​
TCP (IPv4/v6)​
Zugriff auf den FRITZ!Box Gastzugang - erfolgreiche Anmeldung​
40659​
UDP (IPv4/v6)​
Unbenannt​
49000​
TCP (IPv4/v6)​
UPnP​
53805​
UDP (IPv4/v6)​
AVM Mesh Discovery​
55508​
UDP (IPv4)​
Unbenannt​
57322​
TCP (IPv4/v6)​
AVM Mesh​
57375​
UDP (IPv4)​
Unbenannt​
59373​
UDP (IPv4/v6)​
Unbenannt​
59925​
UDP (IPv4/v6)​
Unbenannt​

Was ich aus der Liste herausgenommen habe: diverse offene Ports für DNS Client und DNS Resolver, die sind wohl abhängig von den gerade im Netz angemeldeten Geräten.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,567
Punkte für Reaktionen
74
Punkte
48
Der Teil der Liste ist doch relativ uninteressant. Wesentlich interessanter ist da die "Übersicht der geöffneten Ports für den Zugriff aus dem Internet" weiter oben.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
680
Punkte für Reaktionen
68
Punkte
28

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,567
Punkte für Reaktionen
74
Punkte
48
Wieso? In Richtung Heimnetz sind immer jede Menge offen.
 

w-sky

Neuer User
Mitglied seit
20 Aug 2005
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Ja, ein Teil der offenen Ports ist zu erwarten, etwa Ports 80 und 443 für die Oberfläche, die Mesh-Ports wahrscheinlich, in meinem Fall auch die Ports mit SMB-Diensten. Aber so viele andere! Die Liste ist ein bisschen verunsichernd. Wie sieht es denn bei euch unter Diagnose / Sicherheit in dem Abschnitt FRITZ!Box-Dienste aus?
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
11,148
Punkte für Reaktionen
1,005
Punkte
113
Du hängst doch dort auch mit einem PC/Tablet/Smartphon dran.
Der öffnet doch schon Unmassen an Ports.
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
26,114
Punkte für Reaktionen
567
Punkte
113
Wie sieht es denn bei euch unter Diagnose / Sicherheit in dem Abschnitt FRITZ!Box-Dienste aus?
Anders. Noch viel mehr Ports, aber andere als bei dir. Ich habe ja auch eine andere Fritzbox mit einer anderen Version. :)
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,926
Punkte für Reaktionen
24
Punkte
38
Du hängst doch dort auch mit einem PC/Tablet/Smartphon dran.
Der öffnet doch schon Unmassen an Ports.
Für wenn wird "PC/Tablet/Smartphone" (zusätzliche) Ports in der FritzBox öffnen? Für die FritzBox oder für sich (d. h. für "PC/Tablet/Smartphone")?
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
11,148
Punkte für Reaktionen
1,005
Punkte
113
Für sich, aber die merkt sich die FB doch alle.
Oder sehe ich das falsch?
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,926
Punkte für Reaktionen
24
Punkte
38
Für sich, aber die merkt sich die FB doch alle.
Ja, die FB merkt sich das und das ist gut, denn deshalb können diese Ports bei einem Portscan von außen _fast nie_ als "open" gefunden werden.
Das öffnen durch die Geräte funktioniert mit "hole punching", so dass Verbindungen aus dem Internet zur/durch die FritzBox, schon als related/established von der FritzBox wahrgenommen werden. Bei einem Portscan geht bzw. beginnt es i. d. R. um/mit einer NEW-Verbindung (aus dem Internet zur/durch (die) FritzBox.
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
11,148
Punkte für Reaktionen
1,005
Punkte
113
Hier geht es doch aber nicht um einen Portscan von außerhalb der FB und auch nicht aus dem Internet.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,567
Punkte für Reaktionen
74
Punkte
48
Nur nicht verwirren lassen. Bevor es diesen Sicherheitsbericht gab, bin ich davon ausgegangen, dass zwischen Heimnetz-Geräten und Fritzbox überhaupt keine Firewall mit im Spiel ist. Ich wüsste auch nicht, dass man in dieser Beziehung überhaupt was konfigurieren kann.
 

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
11,148
Punkte für Reaktionen
1,005
Punkte
113

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,926
Punkte für Reaktionen
24
Punkte
38
Hier geht es doch aber nicht um einen Portscan von außerhalb der FB und auch nicht aus dem Internet.
OK, aber warum schreibst Du dann:
Du hängst doch dort auch mit einem PC/Tablet/Smartphon dran.
Der öffnet doch schon Unmassen an Ports.
?
Warum sollten "PC/Tablet/Smartphone" Ports öffnen, wenn es "nur" um den Traffic im Subnetz der FritzBox geht? Und wenn "PC/Tablet/Smartphone" auf Ports lauschen, wie sollten diese lauschende Ports gescannt werden, wenn der TE "nur" die FritzBox gescannt hat?
 

w-sky

Neuer User
Mitglied seit
20 Aug 2005
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Wenn UPnP und „Zugriff für Anwendungen zulassen“ in der Konfiguration Netzwerk, Abschnitt Heimnetzfreigaben nicht aktiviert ist, sollte eigentlich keine Smartphone-App oder sonstiges Programm dazu in der Lage sein, einen Port der Fritzbox ins Internet zu öffnen. Die Listen der ins Internet geöffneten Ports sind bei mir leer, das ist soweit korrekt und in Ordnung.
(Übersicht der geöffneten Ports für den Zugriff aus dem Internet, sowie Übersicht der im Heimnetz befindlichen Geräte mit geöffneten Ports in Richtung Internet.)

Mir geht es nur um die Liste der offenen Ports der Fritzbox im Heimnetz (1. Beitrag) bzw. die Frage, was bei der 7490 oder Fritzboxen allgemein „normal“ ist. Bspw. die vielen „Unbenannten” UDP-Dienste. Ports 4201-4214 für remote logging (lt. https://boxmatrix.info/wiki/Network-Ports), und die unbenannten Ports ab 40659 gibt's da gar nicht.

Klar sind die Ports im Heimnetz tendenziell ungefährdet, aber ich wundere mich, ob nicht viele unbenötigte Ports einfach komplett zu sein sollten. Es kann ja auch mal einen unbemerkten Trojaner auf einem Gerät im Heimnetz geben, der sich das zunutze macht.
 
Zuletzt bearbeitet:

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
733
Punkte für Reaktionen
110
Punkte
43
In den Netzwerkeinstellungen gibt es die beiden Punkte "Zugriff für Anwendungen zulassen" und "Statusinformationen über UPnP übertragen".
Diese UPnP-Einstellung hat nichts zu tun mit "Selbstständige Portfreigabe" unter "Portfreigabe", was für jedes Gerät einzeln zu aktivieren ist.
 

w-sky

Neuer User
Mitglied seit
20 Aug 2005
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Ja richtig! Diese Einstellung gibt es auch noch. Bei mir sind in dem Bereich keine Portfreigaben vorhanden. Ich schätze, es gibt tatsächlich nur noch ganz wenige Programme, die Portfreigaben benötigen, die üblichen Kommunikationsapps jedenfalls nicht. Eher wenn man einen Server betreibt.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,380
Punkte für Reaktionen
462
Punkte
83
Moinsen


Also, grundsätzlich ;) find ich diese Liste gut.
Sehr informativ, nur das "Unbenannt", dass ist sozusagen noch Baustelle.
Beachte: Unbenannt versus Unbekannt
Letzteres würde mir Sorgen bereiten.
Ersteres deutet lediglich darauf hin, dass AVM noch keinen Namen eingefallen ist, oder Sie einfach noch "lazy" darüber nachdenken.
Denn: Normalerweise ist eine Portnummer auch ein Dienst und Die haben auch einen Namen
...den in diesem Fall auch nur AVM wissen kann.

Diese Liste zeigt alle im LAN erreichbaren FRITZ!Box Dienste.
Darunter auch SIP/RTP (für VoIP) und HTTPS.
Aber eben auch noch viele viele Andere mehr.
Und es lassen sich auch noch Welche zuschalten, die auch nur im LAN erreichbar sind.
Als da wären Callmonitor (TCP/1012) und CAPIoTCP, aber Callmonitor ist noch...
Screenshot_20210419-220010.png
...Unbenannt ;)

Die Filtersperrseitenports kannste auch als Favorit anlegen, oder als kleinen Netzspaß am Rande, aufrufen.
Code:
http://fritz.box:8182
http://fritz.box:8184
http://fritz.box:8185
Diese Seiten gehen nur im LAN/WLAN und gehören zum "Kindersicherungsdienst" :cool:
 
Zuletzt bearbeitet:
  • Like
Reaktionen: w-sky

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via