Manuelle vs. automatische Port-Freigabe

[Towler]

Hi,

ich befasse mich derzeit mit dem Thema Helium-Mining und bin bereits auf den folgenden Thread aufmerksam geworden: https://www.computerbase.de/forum/threads/helium-mining.2054393/

Einen der dort aufgegriffenen Aspekte, den Sicherheitsaspekt, möchte ich gerne besser verstehen.

Um einen Helium Hotspot (eine Art Smart Home Netzwerkgerät) nutzen zu können, ist es häufig erforderlich, einen Port am Router zu öffnen. Ich verstehe allerdings nicht so ganz, warum ich diesen Port händisch öffnen muss? Ich dachte immer, mein Router hätte nur geschlossene Ports, habe inzwischen aber recherchiert und festgestellt, dass Programme wie z.B. Steam ,die Ports auch selbstständig öffnen können.

Wieso muss das für den Helium Hotspot denn manuell erfolgen?

Und weiterführend: Ist das dann ein erhöhtes Sicherheitsrisiko im Vergleich zu einem Programm wie Steam, das das automatisch macht?

Vielen Dank!

 

[Nilson]

Durch die offenen Ports kann jeder auf die Anwendung dahin zugreifen. Und wenn die Anwendung eine Sicherheitslücke hat oder nicht richtig abgesichert ist, hast du ganz schnell ein Problem.
Daher sollte man Ports nur selbst weiterleiten (also UPnP) aus und zwar nur auf Anwendungen die man vertraut, überwcht und aktuell hält.

 

[madmax2010]

https://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
hier infos zu (einem) verfahren zur automatischen Freischaltung

Ein sicherheitsrisiko bei einem "offenen Port" besteht nur, wenn dahinter eine Anwendung betrieben wird, die Sicherheitslücken aufweist.

 

[chrigu]

Von selber öffnet keiner Türen (Ports). Die sollten von Werk aus zu sein (Upnp aus).
Der Unterschied: bei upnp „ein“ lässt der Router jeden nach aussen/rein, egal ob gut oder böse.
Bei upnp „aus“ kommt ausser http/https und ssl nichts raus/rein, nur die Türen, die du offen haben willst.
Vielen Dank dass du beim „minen“ auch an die Umwelt denkst

 

[h00bi]

dass Programme wie z.B. Steam ,die Ports auch selbstständig öffnen können.

Sie können das beim Router anfragen. Mehr nicht. Ob der Port geöffnet wird entscheidet der Router nach dessen Konfiguration.

Und weiterführend: Ist das dann ein erhöhtes Sicherheitsrisiko im Vergleich zu einem Programm wie Steam, das das automatisch macht?

Stell dir mal vor du hast vor Jahren eine externe HDD mit LAN Anschluss gekauft, quasi ein Mini NAS.
Das Ding ist von einem Hersteller der sich nicht um Firmware Updates schert oder dieses Produkt nicht mehr pflegt oder insolvent ist.
Die Firmware ist von Log4j (oder jeder anderen Lücke) betroffen und hat sich per upnp automatisch vom Router tunneln lassen. Ein Angreifer kann auf deinem Mini-NAS, welches in deinem Netzwerk hängt, jetzt tun und lassen was er will. Toll, oder?
Alles nur wegen ein bisschen Komfort, weil der User zu faul oder zu doof war um das Forwarding selbst zu managen.

 

[Raijin]

Ein Kernproblem von UPnP, also der automatischen Portweiterleitung, ist, dass dies ohne Wissen des Admins geschieht, im Geheimen im Hintergrund. Man weiß also gar nicht wie viele Nebeneingänge die eigene Wohnung plötzlich hat, weil es nicht mehr nur die Wohnungstür gibt, sondern noch eine unbekannte Anzahl von Hintereingängen an beliebigen Stellen, ohne dass man sie sehen kann. Man kann zwar im Router in der Regel aktive UPnP-Portweiterleitungen anzeigen lassen, aber das ist nur eine Momentaufnahme.

Wenn man nun einen Serverdienst x bei sich zu Hause betreibt und diesen im Internet verfügbar machen möchte, spielt es keine Rolle ob die dazugehörige Portweiterleitung automatisch via UPnP erstellt oder von Hand angelegt wurde. Die Portweiterleitung als solche bleibt identisch und wenn der Dienst hinter diesem Port sicher ist, dann ist er auch mit einer UPnP-Portweiterleitung sicher.

Aber: Solange man UPnP nur vom Standpunkt der gewünschten Anwendungen / Portweiterleitungen aus betrachtet ist alles gut. Bedenkt man nun aber, dass sich Malware, die man sich unwissend von diesem Werbe-USB-Stick von der Messe neulich eingefangen hat, ebenfalls so eine Portweiterleitung via UPnP initiieren kann, sollte klar werden, dass UPnP unabhängig davon welche Dienste man hostet- sei es ein Miner, ein Gameserver oder was auch immer - eine Gefahr darstellt. UPnP hat ein ungeheures Missbrauchspotenzial und weil es gerade Sinn der Sache ist, dass der Anwender sich keine Gedanken um Portweiterleitungen machen muss, sind ihm eben gerade die eigentlich unerwünschten Portweiterleitungen gar nicht bewusst.

Und nun? Idealerweise legt man alle benötigten Portweiterleitungen von Hand ein danit man auch weiß welche potentiellen Einfallstore das eigene Netzwerk hat. Dabei sollte man immer nur so viele PWs wie nötig, aber ao wenig wie möglich einrichten. Sowas wie 10000 - 30000 ist also denkbar unschön, weil das 20 Tausend potentielle Angriffsvektoren sind.
Wenn die Anwendung nun aber partout nicht mit manuellen Portweiterleitungen laufen will, weil mutmaßlich noch ein entscheidender Port fehlt, kann man sich am Ende gezwungen sehen, UPnP trotzdem zu aktivieren. Sofern möglich sollte man dabei aber alle gebotenen Sicherheitseinstellungen im Router benutzen, beispielsweise die Beschränkung auf einzelne IP-Adressen. Das hilft zwar nicht gegen Malware auf eben diesem Gerät neben der eigentlichen Anwendung, aber es blockiert immerhin Malware von einem anderen PC.

 

[Towler]

Vielen Dank für all eure Antworten. Die waren wirklich sehr ausführlich und verständlich erklärt!

@chrigu hatte zwar gesagt, dass UPnP ab Werk ausgeschaltet sein sollte, nach euren Schilderungen möchte ich aber doch noch einmal sicher gehen:

So kann aktuell kein Gerät bei mir eine Portfreigaben anfordern.
Wenn ich jetzt UPnP nutzen wollte, müsste ich in dieser Liste ein Gerät hinzufügen und für dieses eine Gerät UPnP aktivieren. Das sollte ich aber lieber bleiben lassen und stattdessen an dieser Stelle das Gerät hinzufügen und den gewünschten Port manuell eintragen.
Aktuell sind demnach bei mir gar keine Ports freigegeben.

.... stimmt das so?

 

[chrigu]

oha. macht da avm sicherheitslücken auf? bitte "selbstständige portfreigabe" deaktivieren.
ja, wenn du ports freigeben willst, musst du auf gerät hinzufügen, das gerät (pc) wählen und betreffende ports öffnen. bitte auch da, nicht port 100000-50000 eingeben, sondern nur einzelne

 

[Towler]

oha. macht da avm sicherheitslücken auf? bitte "selbstständige portfreigabe" deaktivieren.

Ich bin auch erst erschrocken, aber in der Hilfe steht

Klicken Sie auf diese Schaltfläche, wenn Sie die Berechtigung für selbstständige Portfreigaben für alle Geräte löschen wollen, die noch keine Portfreigabe angefordert haben.

Ich glaube, das ist so eine Art Panikbutton, den ich drücken könnte, wenn ich für ganz viele Geräte UPnP aktiviert hätte.