.titleBar { margin-bottom: 5px!important; }

Warum offene Ports in der FBF 5050

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von horst2206, 23 Okt. 2005.

  1. horst2206

    horst2206 Neuer User

    Registriert seit:
    8 Okt. 2005
    Beiträge:
    16
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo, eine Frage an die Experten.
    Ich habe die FBF 5050 an ISDN angeschlossen.Internet und telefonieren klappt alles.
    Habe über Security-check.ch einen Portscan durchführen lassen.
    Folgende Ports sind offen:
    RPC 111/UDP
    MS RPC 135/UDP
    NetBios Name Service 137/UDP
    Net Bios Datagram Service 138/UDP
    Net Bios Session Service 139/UDP
    SNMP 161/UDP
    und ICMP ist offen.
    Wie kann ich diese Ports schliessen, oder werden diese für das Telefonieren benötigt?

    BS: WIN 2000 Advanced Server

    Vielen Dank für eure Antwort.

    Einen schönen Sonntag noch
    Gruss
    Horst
     
  2. RudatNet

    RudatNet IPPF-Urgestein

    Registriert seit:
    25 Jan. 2005
    Beiträge:
    15,064
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    DSL- und Internet-Service
    Ort:
    Duisburg
    Nicht gerade sehr aussagekräftig dein Titel!

    Ändere doch mal z.B. in: "Warum offene Ports in der 5050?"
    Oder sowas ähnliches.
     
  3. themole

    themole Neuer User

    Registriert seit:
    1 Nov. 2005
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Horst,

    Schau mal ob Du uPNP aktiviert hast. Evtl. musst Du die Ports für die Windows Netzwerkdienste noch rausnehmen. Erreichbar unter der DSL-Fritz-Software, die Du auf Deinem Windoof-Rechner installiert hast.

    cu themole
     
  4. TWELVE

    TWELVE Aktives Mitglied

    Registriert seit:
    3 Okt. 2004
    Beiträge:
    940
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Kein Grund zur Sorge.Ich habe dieses "Phänomen" vor einiger Zeit untersucht.Ein Scan der UDP Ports unterscheidet sich ganz wesentlich von einem Scan der TCP Ports, weil UDP im Gegensatz zu TCP verbindungslos arbeitet.Da bei UDP kein three-way-handshake stattfindet, kann man gar nicht ohne weiteres feststellen, ob ein UDP Port nun offen oder geschlossen ist.Die Vereinbarung ist, das ein geschlossener UDP Port mit einem ICMP Destination unreachable antwortet, und zwar genauer mit einem ICMP Typ 3, Code 3 ( destination unreachable, Port unreachable).

    Die Fritz antwortet hier stattdessen mit einem Code 13 ( Communication administratively filtered), was von den meisten Portscannern so verstanden wird, das der Port offen ist.

    Ein Scan mit einem Portscanner wie LANSpy ergibt sogar, das alle UDP Ports der Fritz offen sind, wenn nicht eine bestimmte Option eingeschaltet ist ( Firewall erkennen).

    Fakt ist, das die Fritz bei einem Portscan brav mit ICMPs antwortet und die Ports nicht offen sind.

    Desweiteren ist bei einem UDP Scan die Scangeschwindigkeit zu beachten, da die Rate der ICMP Antworten im Internet nach RFC auf einen bestimmten Wert begrenzt werden soll.Die Fritz Fon hat einen sog. Limiter eingebaut, der unter Umständen die Rate der ICMP Pakete begrenzt, um den Upload für wichtige Pakete freizuhalten.Dies kann dazu führen, das der Scanner ein falsches Ergebnis anzeigt, da wie schon erwähnt keine Antwort heißt, das der Port offen ist.

    AVM hat dies mehr oder weniger bestätigt ( auch wenn die Antwort eine Standard-Antwort ist und vielleicht nicht 100% schlüssig ist)

    Kommentar:

    Und genau hier liegt der AVM Support Mailschreiber falsch, die Box antwortet nicht mit einem Port unreachable, sondern mir einem Communication administratively filtered.Das genau wird das Problem sein.

    Man kann das Verhalten der Fritz Fon bei einem UDP Scan sehr gut beobachten, indem man eine telnet session zur Fritz öffnet, den dsld mit dsld -s anhält und mit dsld -f neu startet.Dann sieht man genau, welche Pakete von der Firewall "gedroppt" werden.Oder man benutzt die in der Fritz eingebaute Packet Capture Funktion unter

    http://fritz.box/cgi-bin/../cgi-bin/webcm?getpage=../html/capture.html

    , um einen Capture zu machen und sieht sich das nach Umwandlung mit avm2er mit einem Packetsniffer wie Packetyzer an.

    Zusammenfassend kann man sagen, es handelt sich um einen Anzeige/Scan-Fehler bei einem UDP Scan der Box, der wahrscheinlich deshalb auftritt, weil die Box mit einem "falschen" ICMP Code antwortet, was vom Scanner mißverstanden wird.Bei einem TCP Scan kann dieses Problem nicht entstehen, da hier eine komplette Verbindung aufgebaut wird
    und deshalb der Scanner hier korrekte Ergebnisse liefern kann.Ein Sicherheitsproblem leitet sich daraus nicht ab.

    Grüße

    TWELVE