Generelle Frage zur Portfreigabe an der Firewall

[owl2010]

Guten Morgen,
ich nutze eine Sophos-Firewall. Ich habe dort auch schon mehrere Ports freigegeben, die dann ein klar definiertes Ziel haben. Jetzt ist es so, dass ich für den Einsatz einer Banking-Software die Ports 3000 und 3004 freischalten muss. Ein klar definiertes Ziel habe ich hier jedoch nicht, sondern würde dann dort als Ziel "any" einstellen. Ist dies dann ein zu großes Sicherheitsproblem? Generell ist es dann doch so, dass ein Angreifer per Portscan oder Zufallsprinzip diesen "offenen" Port finden und dort "eindringen" kann?

Gruß und Dank im Voraus

 

[cloudman]

Ich kann mir nicht vorstellen, dass du für banking software Portfreigaben für ankommende Requests brauchst.
Die Anforderungen für Port 3000 ist vermutlich für ausgehende Requests. Normalerweise sind die eh nicht beschränkt und sind auch kein Sicherheitsproblem

 

[owl2010]

Also ich bekomme diese Fehlermeldung der Software:

 

[sOuLjA4eVeR]

Ports die du von intern nach extern freigibst, werden von evtl. Portscans nicht betroffen sein.
Im Grunde ist fast alles was Richtung Internet geht "any", man will ja nicht Millionen von IP-Adressen dort eintragen.

 

[owl2010]

Also kann ich jetzt in meinem Fall die Ports 3000 und 3004 bedenkenlos mit einer Regel "Netzwert -> TCP 3004 -> any" eintragen?

 

[sOuLjA4eVeR]

Also kann ich jetzt in meinem Fall die Ports 3000 und 3004 bedenkenlos mit einer Regel "Netzwert -> TCP 3004 -> any" eintragen?

Ja, korrekt, Wobei ich natürlich jetzt die Sophos Firewall nicht kenne, ob da Zonen usw. genutzt werden. Richtig wäre es, dass deine internen Netze zum Internet (any) über die von dir genannten Ports sprechen dürfen.

 

[Markchen]

Kann man machen und evtl. noch die interne IP des PCs oder Terminalservers noch als Objekt anlegen.

 

[owl2010]

Danke!

 

[Schwabe66]

Ja, korrekt, Wobei ich natürlich jetzt die Sophos Firewall nicht kenne, ob da Zonen usw. genutzt werden. Richtig wäre es, dass deine internen Netze zum Internet (any) über die von dir genannten Ports sprechen dürfen.

Naja...

ich selbst betreue mehrere Firewalls und würde das schon anders abbilden. 1. Müssen wahrscheinlich nicht alle Geräte aus dem internen Netz dorthin, warum also alle freigeben? 2. Kann das Ziel schon mehr eingeschränkt werden, HBCI will nur ein Ziel erreichen und du machst das ganze Internet erreichbar? 3. Kannst du von vielen Banken die Ip-Tables bekommen und die ändern sich eigentlich auch extrem selten.

 

[Markchen]

3. Kannst du von vielen Banken die Ip-Tables bekommen und die ändern sich eigentlich auch extrem selten.

Den Punkt wollte ich gerade editieren. Da hat sich die letzten Jahre viel getan. Früher wussten die bei Anfrage nichts damit anzufangen.

 

[sOuLjA4eVeR]

Naja...

ich selbst betreue mehrere Firewalls und würde das schon anders abbilden. 1. Müssen wahrscheinlich nicht alle Geräte aus dem internen Netz dorthin, warum also alle freigeben? 2. Kann das Ziel schon mehr eingeschränkt werden, HBCI will nur ein Ziel erreichen und du machst das ganze Internet erreichbar? 3. Kannst du von vielen Banken die Ip-Tables bekommen und die ändern sich eigentlich auch extrem selten.

Es kommt da einfach drauf an, in welchem Bereich das genutzt wird. Natürlich würde ich normal auch nur die internen Netze eintragen, die auch den Zugriff wirklich brauchen. Ansonsten wirds bei dem Ziel nicht ganz so einfach, DNS Namen wird er wohl kaum nutzen und sollten sich IP-Adressen beim Ziel abändern, wars das erstmal mit dem Zugriff.

 

[owl2010]

Ja, ihr habt grundsätzlich recht! Mir geht es aber hauptsächlich darum, dass nur der Weg von innen nach außen freigegeben ist. Von außen her bleiben die Ports weiterhin zu - richtig?

 

[cloudman]

Ja von innen nach außen