ComputerBase Menü
Aktuelles

Gefahr von offenen Ports

A

Adrian1999

Ensign
Registriert
Mai 2017
Beiträge
253
Guten Abend zusammen,

ich habe mir kürzlich ein kleines privates "Cloud Gaming" aufgebaut, sprich: Ich kann über das Programm "Moonlight" meinen Desktop und Spiele nahezu in Echtzeit auch von anderen Netzwerken auf nahezu allen Geräten streamen und musste dafür gewisse Ports bei der Fritzbox freigeben. Genau genommen handelt es sich um diese Ports: TCP: 47984, 47989, 48010 UDP: 47998, 47999, 48000, 48002, 48010

Nun wurde im Internet öfters gesagt wie gefährlich offene Ports sind/sein können, jedoch konnte ich auch durch googlen keinerlei Erkenntnis gewinnen wie gefährlich das dauerhafte Öffnen der Ports meinerseits in meinem Fall denn jetzt ist.
Auf manchen Seiten hieß es, nach Öffnung der Ports würde es keine Stunde dauern bis die ersten Hack Programme den offenen Port erkannt hätten und von nun an würden ständig Hacker versuchen Zugriff auf meinen PC zu bekommen und auf einer anderen Seite hieß es, dass Moonlight ja indirekt von NVIDIA kommt und man dem Ganzen trauen kann und sicher ist.

Könnt ihr mir da weiterhelfen und sagen, wie ich die Gefahr realistisch einzuschätzen habe? (Firewall bei Windows ist aktiviert und mein Netzwerk ist auf "öffentliches Netzwerk" eingestellt)

LG
Adrian


Zu Moonlights Homepage
 
Ich seh es so.

Wenn das "Programm" was auf den entsprechenden Ports Antworten gibt "unsicher" ist, ist es gefaehrlich.
Da niemand weiss ob das "Programm" zu 100% sicher ist, ist es "gefaehrlich" offene Ports zu haben.

BFF
 
  • Gefällt mir
Reaktionen: Adrian1999
Wenn das Programm keine Lücken hat und entsprechend sichere Authentifizierungsverfahren genutzt werden, ist es "sicher". Wenn es Lücken hat bzw. nur unzureichend gesichert ist kann ein Angreifer dies nutzen um Schaden anzurichten, sofern die Lücke bekannt und ausnutzbar ist.
Auf welche Art ein potentieller Angreifer Schaden verursachen kann, hängt von der Lücke und Art des Angriffes ab. Zu Moonlight kann ich nix sagen. Wenn man dem Programm aber nicht traut, kann/sollte man zusätzliche Maßnahmen ergreifen. Vor allem bei so vielen offenen Ports würde ich über ein VPN nachdenken. Da braucht man nur einen und Projekte wie OpenVPN werden gut gepflegt, bieten ausreichende Authentifizierungsverfahren und sind daher "sicher", zumindest sicherer als Monnlight direkt ins Internet zu hängen.
Adrian1999 schrieb:
Auf manchen Seiten hieß es, nach Öffnung der Ports würde es keine Stunde dauern bis die ersten Hack Programme den offenen Port erkannt hätten und von nun an würden ständig Hacker versuchen
Zum Vergrößern anklicken....
Das beizieht sich eher auf "Standard-Anwendungen" wie ein Webserver hinter Port 80 oder FTP hinter Port 20/21, da gibt es ganze Bot-Armeen die diese abgrasen und versuchen anzugreifen. Eine nicht 0815 Anwendung hinter irgendwelchen Mondports läuft eher nicht Gefahr von solchen Bots angegriffen zu werden. Was nicht heißt, das es sie nicht gibt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin und Adrian1999
Weniger freigegebene Ports bedeuten weniger Angriffsfläche.

Sobald du Ports freigibst, bürdest du dir auf, die dort lauschende Software stetig aktuell zu halten. Wenn der Hersteller nicht taugt, d.h. die Software von Hause aus löchriger Käse ist und/oder Sicherheitslücken nicht zeitnah geschlossen werden, dann hast du je nach Lücke ein Problem.

Auch bei 0-day-Lücken hast du ggf. ein Problem, sollte es diese geben. Und damit sind wir wieder beim ersten Punkt - ist der Port nicht offen, kann er auch nicht angegriffen werden.

Dementsprechend schließe ich mich @Nilson an.
 
  • Gefällt mir
Reaktionen: Adrian1999
Vielen Dank für die raschen Antworten!
Wie ich inzwischen herausgefunden habe sind die Ports dieselben, die auch NVIDIA für ihren Gamestream Dienst verwenden. Nvidia würde ich als Laie jetzt als seriös einstufen, oder?
 

Anhänge

  • Screenshot_20190721_005415_com.android.chrome.jpg
    Screenshot_20190721_005415_com.android.chrome.jpg
    430,5 KB · Aufrufe: 543
  • Gefällt mir
Reaktionen: Adrian1999
Mit "seriös" hat das nichts zu tun. Selbst große OpenSource Projekte sind von Lücken nicht gefeilt. Wie heute VLC oder damals OpenSSL. Und größe hat damit auch nix zu tun, wie Microsoft regelmäßig zeigt.
 
  • Gefällt mir
Reaktionen: Adrian1999 und BFF
Vielen Dank für die Aufklärung, dann stelle ich einfach die Frage in den Raum:
Wenn ihr oft nicht Zuhause wärt und nicht immer euren Gaming PC mitschleppen wollen würdet und mit Moonlight einen mega guten Weg gefunden hättet eure Spiele immer überall spielen zu können, würdet ihr die Ports öffnen oder wäre euch die Gefahr zu groß?
 
Wenn die Fritzbox eine Firewall hat, stell sie so ein, dass nur bestimmte IP Adressen auf deine offenen Ports zugreifen können. Also haben nur alle Netzwerke in die du streamen willst Zugriff und sonst keine.

Bzw. richte VPN ein, dann musst Moonlight nicht mehr trauen.
 
  • Gefällt mir
Reaktionen: BFF, snaxilian und Adrian1999
Sparta8 schrieb:
Bzw. richte VPN ein, dann musst Moonlight nicht mehr trauen.
Zum Vergrößern anklicken....

Bei dem genannten Anwendungsbereich ist die Latenz extrem wichtig. Da kann ein VPN das Spielgefuehl komplett kaputt machen.
 
In besseren Routern kann man einstellen, welche IPs von außen Zugriff auf selektierte Ports haben dürfen. Ansonsten bleibt nur VPN mit dem Nachteil von Latenzen beim Spielen.
 
PHuV schrieb:
In besseren Routern kann man einstellen, welche IPs von außen Zugriff auf selektierte Ports haben dürfen. Ansonsten bleibt nur VPN mit dem Nachteil von Latenzen beim Spielen.
Zum Vergrößern anklicken....
Jop, das nützt dem TE nur sehr wenig, wenn er per LTE auf sein Heimnetz zugreift... Hat er nicht geschrieben, aber wäre irgendwie das Naheliegenste.
 
scooter010 schrieb:
Jop, das nützt dem TE nur sehr wenig, wenn er per LTE auf sein Heimnetz zugreift... Hat er nicht geschrieben, aber wäre irgendwie das Naheliegenste.
Zum Vergrößern anklicken....
Am besten wäre es wenn ich bei Fritzbox ganz schnell über beispielsweise TeamSpeak die Ports kurz für die Spielzeit öffnen könnte um sie anschließend wieder zu schließen, ohne sie dafür wieder komplett neu einzutragen...
Ergänzung ()

BFF schrieb:
wuerde ich, wenn ich ein solcher "Daddler" waere, mir dieses Dingens nachbauen um meine "Daddelmaschine" immer bei mir zu haben. :D
Zum Vergrößern anklicken....
Erstens bin ich Student und habe dafür kein Geld :D und zweitens habe ich es einfach genossen bei meinen Eltern, weit weg von meinem Gaming PC, auf dem Fire TV oder dem "schlechten" Android Tablet auf dem Sofa Witcher 3 auf Ultra zu spielen :love:
 
Mit dem Browser Webseiten aufrufen ist auch gefährlich... Alles im Internet (Netzwerk) funktioniert über offene Ports.

Du könntest in der Firewall logging anschalten, dann wirst du sehen wieviel Scanner dich so finden.
 
aranax schrieb:
Mit dem Browser Webseiten aufrufen ist auch gefährlich... Alles im Internet (Netzwerk) funktioniert über offene Ports.

Du könntest in der Firewall logging anschalten, dann wirst du sehen wieviel Scanner dich so finden.
Zum Vergrößern anklicken....
Das klingt doch gut, wie genau stelle ich das ein? :)
 
aranax schrieb:
Mit dem Browser Webseiten aufrufen ist auch gefährlich... Alles im Internet (Netzwerk) funktioniert über offene Ports.
Zum Vergrößern anklicken....

Über offene Ports beim Server, nicht beim Client. Und diese Server werden auch in großer Zahl angegriffen, gelegentlich erfolgreich.

Du könntest in der Firewall logging anschalten, dann wirst du sehen wieviel Scanner dich so finden.
Zum Vergrößern anklicken....

Bei IPv4 hinter einem NAT-Router ohne weitergeleitete Ports? Überhaupt keiner...
Oder meinst du mit "Firewall" den Router selbst?
 
Mr. Robot schrieb:
Überhaupt keiner...
Zum Vergrößern anklicken....
Bezieht sich das "überhaupt keiner" darauf dass mich kein Scanner findet?
 
Ein Scanner "sieht" nur etwas, wenn ihm jemand antwortet. Sind alle Ports geschlossen, bekommt er keine Antwort. (Seine Anfragen kann man hingegen in den Logfiles finden, so fern vorhanden)

Wenn man Ports "öffnet", wird dieser Port an ein Programm/Rechner weiter geleitet, und die Anfragen vom Scanner werden beantwortet. Er hat einen damit "gefunden".
 
Adrian1999 schrieb:
Wenn ihr oft nicht Zuhause wärt und nicht immer euren Gaming PC mitschleppen wollen würdet und mit Moonlight einen mega guten Weg gefunden hättet eure Spiele immer überall spielen zu können, würdet ihr die Ports öffnen oder wäre euch die Gefahr zu groß?
Zum Vergrößern anklicken....
Dann würde ich mir einen adäquaten Gaming-Laptop besorgen. Es klingt so als wenn deine Abwesenheit eher die Regel als die Ausnahme darstellt. Oder zumindest scheint das "Remote-Zocking" relativ häufig vorzukommen.

Was mich daran stören würde wäre nicht nur die potentielle Gefahr, sondern auch der Stromverbrauch eines potentiell energieinffizienten "Ultra"-GamingPCs, der daheim die ganze Zeit läuft nur damit man sporadisch mal remote ein Game daddeln kann? Wat machste denn ständig bei deinen Eltern, wenn du da die ganze Zeit vorm TV hängst und zockst? Ich bin regelmäßig bei meinen Eltern, aber meistens nur um etwas zum Ess... ähm.. zu reparieren..

Die reale Gefahr offener Ports lässt sich prinzipiell nicht objektiv beurteilen, weil man keinen Einblick in die jeweilige Serveranwendung hat - hier wohl moonlight. Portscanner suchen in 99 von 100 Fällen nur auf populären Ports wie 21 für ftp, 22 für ssh, 80 für http usw.. Selten werden überhaupt Ports oberhalb der Systemports (<1024) gescannt, weil das zu zeitaufwändig und die Ausbeute minimal wäre - wieviele von 10.000 gescannten IPs haben wohl gerade moonlight laufen? 5?

Grundsätzlich würde ich davon abraten, zu viele Ports weiterzuleiten. Jeder Port ist ein potentieller Angriffsvektor. Ist ja nicht so, das die zig Ports von Moonlight austauschbar sind, sondern da laufen vermutlich verschiedene Dienste drauf, die wiederum für sich angreifbar sind oder nicht.

An deiner Stelle würde ich es zunächst einmal mit einer VPN-Verbindung ausprobieren. Entweder über eine LAN-LAN-Kopplung der Router bei dir und deinen Eltern (zB wenn beides Fritzboxxen sind) oder sonst ggfs über einen Raspberry PI (idealerweise PI 4). Daheim sitzt der VPN-Server im PC, der muss dann ja eh laufen, und im Router gibt es ausschließlich eine Portweiterleitung für das VPN. Unterwegs hast du den PI dabei, der sich beim einstöpseln in das fremde Netzwerk eine IP via DHCP besorgt und anschließend eine VPN-Verbindung herstellt. Nun kannst du am FireTV oder wo auch immer du zockst die IP des PI als Gateway eintragen und kommst somit am FireTV in dein Heimnetzwerk und kannst dort gefahrlos moonlighten bis deine Mutter dich ins Bett schickt :p
 
  • Gefällt mir
Reaktionen: brainDotExe, snaxilian und Nilson
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Offene Fritzbox Ports
Antworten
12
Aufrufe
1.003
Sebbi
S
R
Offene Ports bei Asus Router
2
Antworten
25
Aufrufe
2.346
norKoeri
N
B
Fritzbox 6591 externer Zugriff: offenen Port in Firma rausfinden
Antworten
12
Aufrufe
2.115
banjogit
B
7
Offenen UDP-Port herausfinden
Antworten
11
Aufrufe
5.109
Raijin
Raijin
P
Warum braucht Lets Encrypt offene Ports?
2
Antworten
30
Aufrufe
8.739
mibbio
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz