[Frage] Viele geöffnete Ports für Dienste im Heimnetz – Diagnose / Sicherheit FRITZ!Box 7490 (OS 7.21)

w-sky

Neuer User
Mitglied seit
20 Aug 2005
Beiträge
96
Punkte für Reaktionen
1
Punkte
6
Hallo allerseits,
ich wundere mich ein bisschen über die lange Liste der offenen Ports in einer Fritz!Box 7490, die ich gebraucht gekauft habe. Es sind nur Freigaben im Heimnetz, doch ist das normal oder hat der Vorbesitzer die Box manipuliert?
Klar habe ich die Box einmal auf Werkseinstellungen zurückgesetzt, aber die lange Liste ist geblieben. Die Box ist mit Internetzugang via LAN konfiguriert und wird nur als Router für ein privates Netz mit NAS eingesetzt, wobei einzig Samba Shares aktiviert sind, alles andere ist deaktiviert (Mediaserver, Telefoniefunktionen, UPnP, Fritz!Funkionen, Diagnose, sonstiges…).

Besonders wundern mich die „unbenannten“ Dienste, z.B. die Ports ab 4201, die lt. https://boxmatrix.info/wiki/Network-Ports für Remote Logging dienen, sowie dass die Ports für deaktivierte Funktionen weiter offen sind.

FRITZ!Box-Dienste
Übersicht der geöffneten Ports für den Zugriff aus dem Heimnetz

Geöffnete Ports​
Verwendete Protokolle​
FRITZ!Box-Dienst​
53​
TCP (IPv4/v6), UDP (IPv4/v6)​
Domain Name Service (DNS)​
67​
UDP (IPv4)​
Dynamic Host Configuration Protocol (DHCP)​
80​
TCP (IPv4/v6)​
Zugriff auf die FRITZ!Box Oberfläche (HTTP)​
123​
UDP (IPv4/v6)​
Zeitsynchronisation (NTP)​
137​
UDP (IPv4)​
Zugriff über ein Netzlaufwerk (SMB)​
138​
UDP (IPv4)​
Zugriff über ein Netzlaufwerk (SMB)​
139​
TCP (IPv4)​
Zugriff über ein Netzlaufwerk (SMB)​
443​
TCP (IPv4/v6)​
Zugriff auf die FRITZ!Box Oberfläche (HTTPS)​
445​
TCP (IPv4/v6)​
Zugriff über ein Netzlaufwerk (SMB)​
1900​
UDP (IPv4/v6)​
Simple Service Discovery Protocol (SSDP)​
4201​
UDP (IPv4/v6)​
Unbenannt​
4202​
UDP (IPv4/v6)​
Unbenannt​
4210​
UDP (IPv4/v6)​
Unbenannt​
4211​
UDP (IPv4/v6)​
Unbenannt​
4212​
UDP (IPv4/v6)​
Unbenannt​
4213​
UDP (IPv4/v6)​
Unbenannt​
4214​
UDP (IPv4/v6)​
Unbenannt​
5060​
TCP (IPv4/v6), UDP (IPv4/v6)​
Telefonie (SIP)​
5351​
UDP (IPv4/v6)​
Port Control Protocol (PCP)​
5353​
UDP (IPv4/v6)​
Multicast Domain Name Service (mDNS)​
5355​
UDP (IPv4/v6)​
Link Local Multicast Name Resolution (LLMNR)​
7077​
UDP (IPv4/v6)​
Telefonie (RTP, RTCP)​
8181​
TCP (IPv4/v6)​
FRITZ!Box Kindersicherung - Seite gesperrt​
8182​
TCP (IPv4/v6)​
FRITZ!Box Kindersicherung - Internetzugang gesperrt​
8183​
TCP (IPv4/v6)​
FRITZ!Box Update Hinweis​
8184​
TCP (IPv4/v6)​
FRITZ!Box Kindersicherung - Internetzugang gesperrt mit Ticket Eingabe​
8185​
TCP (IPv4/v6)​
Zugriff auf den FRITZ!Box Gastzugang - Bestätigungsseite​
8186​
TCP (IPv4/v6)​
Zugriff auf den FRITZ!Box Gastzugang - erfolgreiche Anmeldung​
40659​
UDP (IPv4/v6)​
Unbenannt​
49000​
TCP (IPv4/v6)​
UPnP​
53805​
UDP (IPv4/v6)​
AVM Mesh Discovery​
55508​
UDP (IPv4)​
Unbenannt​
57322​
TCP (IPv4/v6)​
AVM Mesh​
57375​
UDP (IPv4)​
Unbenannt​
59373​
UDP (IPv4/v6)​
Unbenannt​
59925​
UDP (IPv4/v6)​
Unbenannt​

Was ich aus der Liste herausgenommen habe: diverse offene Ports für DNS Client und DNS Resolver, die sind wohl abhängig von den gerade im Netz angemeldeten Geräten.
 
Der Teil der Liste ist doch relativ uninteressant. Wesentlich interessanter ist da die "Übersicht der geöffneten Ports für den Zugriff aus dem Internet" weiter oben.
 
Wieso? In Richtung Heimnetz sind immer jede Menge offen.
 
Ja, ein Teil der offenen Ports ist zu erwarten, etwa Ports 80 und 443 für die Oberfläche, die Mesh-Ports wahrscheinlich, in meinem Fall auch die Ports mit SMB-Diensten. Aber so viele andere! Die Liste ist ein bisschen verunsichernd. Wie sieht es denn bei euch unter Diagnose / Sicherheit in dem Abschnitt FRITZ!Box-Dienste aus?
 
Du hängst doch dort auch mit einem PC/Tablet/Smartphon dran.
Der öffnet doch schon Unmassen an Ports.
 
Wie sieht es denn bei euch unter Diagnose / Sicherheit in dem Abschnitt FRITZ!Box-Dienste aus?
Anders. Noch viel mehr Ports, aber andere als bei dir. Ich habe ja auch eine andere Fritzbox mit einer anderen Version. :)
 
Du hängst doch dort auch mit einem PC/Tablet/Smartphon dran.
Der öffnet doch schon Unmassen an Ports.
Für wenn wird "PC/Tablet/Smartphone" (zusätzliche) Ports in der FritzBox öffnen? Für die FritzBox oder für sich (d. h. für "PC/Tablet/Smartphone")?
 
Für sich, aber die merkt sich die FB doch alle.
Oder sehe ich das falsch?
 
Für sich, aber die merkt sich die FB doch alle.
Ja, die FB merkt sich das und das ist gut, denn deshalb können diese Ports bei einem Portscan von außen _fast nie_ als "open" gefunden werden.
Das öffnen durch die Geräte funktioniert mit "hole punching", so dass Verbindungen aus dem Internet zur/durch die FritzBox, schon als related/established von der FritzBox wahrgenommen werden. Bei einem Portscan geht bzw. beginnt es i. d. R. um/mit einer NEW-Verbindung (aus dem Internet zur/durch (die) FritzBox.
 
Hier geht es doch aber nicht um einen Portscan von außerhalb der FB und auch nicht aus dem Internet.
 
Nur nicht verwirren lassen. Bevor es diesen Sicherheitsbericht gab, bin ich davon ausgegangen, dass zwischen Heimnetz-Geräten und Fritzbox überhaupt keine Firewall mit im Spiel ist. Ich wüsste auch nicht, dass man in dieser Beziehung überhaupt was konfigurieren kann.
 
Hier geht es doch aber nicht um einen Portscan von außerhalb der FB und auch nicht aus dem Internet.
OK, aber warum schreibst Du dann:
Du hängst doch dort auch mit einem PC/Tablet/Smartphon dran.
Der öffnet doch schon Unmassen an Ports.
?
Warum sollten "PC/Tablet/Smartphone" Ports öffnen, wenn es "nur" um den Traffic im Subnetz der FritzBox geht? Und wenn "PC/Tablet/Smartphone" auf Ports lauschen, wie sollten diese lauschende Ports gescannt werden, wenn der TE "nur" die FritzBox gescannt hat?
 
Wenn UPnP und „Zugriff für Anwendungen zulassen“ in der Konfiguration Netzwerk, Abschnitt Heimnetzfreigaben nicht aktiviert ist, sollte eigentlich keine Smartphone-App oder sonstiges Programm dazu in der Lage sein, einen Port der Fritzbox ins Internet zu öffnen. Die Listen der ins Internet geöffneten Ports sind bei mir leer, das ist soweit korrekt und in Ordnung.
(Übersicht der geöffneten Ports für den Zugriff aus dem Internet, sowie Übersicht der im Heimnetz befindlichen Geräte mit geöffneten Ports in Richtung Internet.)

Mir geht es nur um die Liste der offenen Ports der Fritzbox im Heimnetz (1. Beitrag) bzw. die Frage, was bei der 7490 oder Fritzboxen allgemein „normal“ ist. Bspw. die vielen „Unbenannten” UDP-Dienste. Ports 4201-4214 für remote logging (lt. https://boxmatrix.info/wiki/Network-Ports), und die unbenannten Ports ab 40659 gibt's da gar nicht.

Klar sind die Ports im Heimnetz tendenziell ungefährdet, aber ich wundere mich, ob nicht viele unbenötigte Ports einfach komplett zu sein sollten. Es kann ja auch mal einen unbemerkten Trojaner auf einem Gerät im Heimnetz geben, der sich das zunutze macht.
 
Zuletzt bearbeitet:
In den Netzwerkeinstellungen gibt es die beiden Punkte "Zugriff für Anwendungen zulassen" und "Statusinformationen über UPnP übertragen".
Diese UPnP-Einstellung hat nichts zu tun mit "Selbstständige Portfreigabe" unter "Portfreigabe", was für jedes Gerät einzeln zu aktivieren ist.
 
Ja richtig! Diese Einstellung gibt es auch noch. Bei mir sind in dem Bereich keine Portfreigaben vorhanden. Ich schätze, es gibt tatsächlich nur noch ganz wenige Programme, die Portfreigaben benötigen, die üblichen Kommunikationsapps jedenfalls nicht. Eher wenn man einen Server betreibt.
 
Moinsen


Also, grundsätzlich ;) find ich diese Liste gut.
Sehr informativ, nur das "Unbenannt", dass ist sozusagen noch Baustelle.
Beachte: Unbenannt versus Unbekannt
Letzteres würde mir Sorgen bereiten.
Ersteres deutet lediglich darauf hin, dass AVM noch keinen Namen eingefallen ist, oder Sie einfach noch "lazy" darüber nachdenken.
Denn: Normalerweise ist eine Portnummer auch ein Dienst und Die haben auch einen Namen
...den in diesem Fall auch nur AVM wissen kann.

Diese Liste zeigt alle im LAN erreichbaren FRITZ!Box Dienste.
Darunter auch SIP/RTP (für VoIP) und HTTPS.
Aber eben auch noch viele viele Andere mehr.
Und es lassen sich auch noch Welche zuschalten, die auch nur im LAN erreichbar sind.
Als da wären Callmonitor (TCP/1012) und CAPIoTCP, aber Callmonitor ist noch...
Screenshot_20210419-220010.png
...Unbenannt ;)

Die Filtersperrseitenports kannste auch als Favorit anlegen, oder als kleinen Netzspaß am Rande, aufrufen.
Code:
http://fritz.box:8182
http://fritz.box:8184
http://fritz.box:8185
Diese Seiten gehen nur im LAN/WLAN und gehören zum "Kindersicherungsdienst" :cool:
 
Zuletzt bearbeitet:
  • Like
Reaktionen: w-sky
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.