Offene Ports bei Asus Router

[r4v398]

Ich habe mal interessehalber einen Port Scan durchgeführt und dabei verschiedene offene Ports im System, Router, und sogar der eigenen IP also außerhalb des eigenen Netzwerkes entdeckt. Dabei frage ich mich, ist das so richtig? Wofür sind die gut? Kann oder sollte ich das nicht besser beheben?

Die des Routers:

• 53: DNS: Mein Router sollte eigentlich nicht als DNS-Server fungieren, vor allem, intern macht es ja wegen der Gerätenamen Sinn, aber außerhalb?
• 80: HTTP Gut, der macht Sinn, sonst käme ich ja nicht auf die Oberfläche.
• 7788: Nach Recherche ist das für AiMesh? Brauche ich ebenso nicht. Der Router ist alleine im Netzwerk, kann ich aber scheinbar nicht deaktivieren? Ebenso nach außen auf Public auf....
• 18017: Irgendwas mit Redirect bei Fehlern, warum ist der bis nach außen hin auf?!
• 44446: Finde ich nichts zu...
• 44885: Genauso wenig.. aber ist genauso nach außen hin offen..

Also ich muss ganz ehrlich sagen, ich fühle mich sehr unwohl mit diesen ganzen offenen Ports, vor allem dass die sogar von außerhalb ansprechbar sind. Würde mich freuen wenn Jemand da genaueres zu erklären kann, vor allem wie ich die alle schließen kann.

 

[madmax2010]

Hast du von außen oder von innen geschaut? Bzw wie hast du den scan gemacht?
Die Dienste sind schon ok, nur sollte keiner davon von außen erreichbar sein

 

[r4v398]

Port Scanner vom System aus benutzt:

Scan der Router IP: Alle obigen
Scan meiner ISP IP: 53, 7788, 18017, 44885

Also diese 4 sind nach außen hin erreichbar

 

[chrigu]

Hast du im Router upnp aktiv?

 

[r4v398]

War tatsächlich noch aktiv, deaktiviert, Router neugestartet, aber selbe Ergebnisse.

 

[schalli110]

Scan meiner ISP IP

Wie hast du die denn gescannt?
Von deinem eigenen Rechner aus?
Versuch mal sowas hier:
https://www.whatismyip.com/port-scanner/

Das scannt deinen Router aus dem Internet.

 

[chrigu]

Welche Dienste/Tools/Programme laufen, respektive werden gestartet? Was für Geräte sind am Netzwerk angeschlossen? Docker?

 

[xexex]

Port Scanner vom System aus benutzt:

Einen externen Portscanner oder ein Programm was von deinem PC aus die Ports scannt? Wenn zweites, dann ist das Ergebnis klar, die Anfrage kommt ja noch immer von innen.

 

[r4v398]

Wenn zweites, dann ist das Ergebnis klar, die Anfrage kommt ja noch immer von innen.

Vom PC aus, ja. Warum ist das klar? Was sind diese offenen Ports?

 

[xexex]

Warum ist das klar? Was sind diese offenen Ports?

Warum die Ports offen sind, hast du dir ja bereits selbst beantwortet, nur sind sie halt nicht "von extern" offen, nur weil du deine externe Adresse von einem internen Gerät aus scannst. Für den Router ist es erst einmal unerheblich auf welche seiner Adressen du ihn ansprichst, dein Gerät befindet sich im internen Netz also beantwortet er die Abfrage.

 

[r4v398]

Warum die Ports offen sind, hast du dir ja bereits selbst beantwortet,

Nein. Ich weiß nicht mal was über die Ports angesprochen wird.

 

[xexex]

Nein.

Doch!

Die dynamischen Ports brauchen dich eigentlich nicht zu interessieren, die werden benötigt damit du mit dem Internet kommunizieren kannst.
https://www.elektronik-kompendium.de/sites/net/0812111.htm

Dein "Problem" ist nachwievor die Behauptung es wäre irgendwas davon "extern" erreichbar.
http://www.dnstools.ch/port-scanner.html

 

[r4v398]

dein Gerät befindet sich im internen Netz also beantwortet er die Abfrage.

Also ich bekomme verschiedene Ergebnisse, je nach dem wen ich anfrage, eigenen Rechner, anderen Rechner im Netzwerk, Router, und ISP IP. Sprich nicht der Router beantwortet die, sondern die Geräte.

Die dynamischen Ports

Keiner der Ports ist ein dynamischer, die 44er sind Unbekannte:
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports?useskin=vector

die werden benötigt damit du mit dem Internet kommunizieren kannst.

Was wird da genau benötigt und wofür? Ich brauche nur einen einzigen Port und das ist 443 zum VPN, dann Port 80 vom Rechner aus zum Router und das war es. Was sind die anderen Ports und machen die? Wie gesagt ich brauche keinen DNS (da soll der Router die Server-Adressen anfragen die ich eingetragen habe, nichts anderes) und kein AiMesh oder anderen Firlefanz. Ich würde die Ports gerne schließen.

Doch!

Da steht doch:

44446: Finde ich nichts zu...

Keine Ahnung warum der offen ist. Genau wie:

44885: Genauso wenig.. aber ist genauso nach außen hin offen..

Ich weiß nicht wozu der Port auf dem Router offen und erreichbar von meinen System aus auf die ISP-IP ist.

Dein "Problem" ist nachwievor die Behauptung es wäre irgendwas davon "extern" erreichbar.

Habe ich nie behauptet, im zweiten Post schreibe ich:

Port Scanner vom System aus benutzt:

Warum sind die auf und warum sollen sie es "von außen" dann nicht sein?

 

[xexex]

Also ich bekomme verschiedene Ergebnisse, je nach dem wen ich anfrage

Ist doch logisch! Jeder PC für sich hat ja bestimmte Dienste und Ports offen, aber was hat es mit der ursprünglichen Frage zu tun? Dein Router antwortet von intern auf DNS und Web, weshalb er das tut hast du dir schon selbst beatwortet. WLAN Mesh ist scheinbar auch aktiv, stört ebenfalls nicht im geringsten und von extern wird er vermutlich auf gar nichts antworten, wenn du keine Portweiterleitungen eingerichtet hast, also wo ist jetzt dein Problem?

Keine Ahnung warum der offen ist.

Lies dir einfach mal den Link von mir dazu was dynamische Ports sind und wie NAT funktioniert.

 

[r4v398]

Ist doch logisch!

Da ist überhaupt nichts logisch...

dynamische Ports

Dynamische Port-Bereiche (49152–65535)
https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports?useskin=vector#Dynamische_Port-Bereiche_(49152–65535)
44446, 44885 sind nicht in 49152–65535, warum sprichst du von dynamischen Ports?

Davon ab: Der Sinn von dynamischen Ports ist mir bewusst, und kein Programm hier benötigt irgend einen.
Davon ab2: In deinem Link steht nicht mal was von dynamischen Ports....

Was soll das?

 

[xexex]

Der Sinn von dynamischen Ports ist mir bewusst, und kein Programm hier benötigt irgend einen.

Meine Fresse! Was glaubst du wie du ins Internet kommst und diese Seite hier gerade abrufst? Lies dir doch den verdammten Link durch! Du kannst auch gerne in der Eingabeaufforderung "netstat -a" eingeben und nochmal drüber nachdenken.

EDIT: Wenn du dich schon auf Wikipedia beziehst, dann solltest du wenigstens den Artikel zu Ende lesen.

Dynamic Ports[Bearbeiten | Quelltext bearbeiten]
Ports 49152 bis 65535 (C000hex bis FFFFhex)
Diese Ports werden vom Betriebssystem dynamisch an Clientprogramme vergeben.
Ergänzung: Linuxsysteme halten sich sehr oft nicht an diesen Standard und vergeben die Clientports im Bereich zwischen 32768 und 61000.

 

[r4v398]

Was glaubst du wie du ins Internet kommst und diese Seite hier gerade abrufst?

Der Router sendet zum ISP, er soll die Seite von CB über dessen HTTPS Port nach der den Inhalt fragen? 🤷‍♂️
Was hat das ganze jetzt mit der Thematik zu tun? Und warum musst du rumstänkern?

netstat -a

Da zeigt er mir an welche Ports gerade vom System alle benutzt werden.
Das beantwortet mir nicht wieso obige Ports am Router offen sind.
In der Liste finde ich nicht mal die obigen genannten.

Ergänzung (5. Februar 2023)

Linuxsysteme halten sich sehr oft nicht an diesen Standard und vergeben die Clientports im Bereich zwischen 32768 und 61000.

Der Port Scanner lief hier von Windows aus. Aber schön das wir mal drüber geredet haben....
Ich glaub du willst mir gar nicht helfen. Dann schreib doch bitte erst gar nicht mehr.

 

[Darkman.X]

Ein Port-Scanner zeigt die offenen Ports vom Ziel an. Wenn du als Ziel deine Router-IP-Adresse angibst (egal ob die interne [192.x.x.x] oder externe), dann erhältst du die offenen Ports vom Router. Und auf Routern läuft Linux. Deshalb der Hinweis auf Linux und dessen Client-Ports.

Und wie die anderen schon geschrieben haben: Wenn du die offenen Ports Richtung Internet erfahren möchtest, dann musst du einen Port-Scan von einem System außerhalb deines Heim-Netzwerks durchführen. Es gibt diverse Internetseiten, die Port-Scans anbieten.

 

[chrigu]

Hast du überhaupt eine öffentliche ipv4?
ist der Asus Router direkt am Internet angehängt oder ist noch der providerrouter davor?

 

[Raijin]

Die Problematik ist schon noch etwas komplexer.

Ein Portscan im lokalen Netzwerk auf lokale IP des Routers zeigt die Ports, die der Router auf seiner lokalen Schnittstelle geöffnet hat. Das sind in der Regel zB 53 für den DNS im Router, 80/443 für die WebGUI und ggfs weitere Ports wie zB 445, wenn der Router auch eine NAS-Funktion hat bzw 9100 für einen Printserver im Router.

Ein Portscan im lokalen Netzwerk auf die öffentliche IP des Routers zeigt die, die der Router auf der öffentlichen Schnittstelle geöffnet hat. Das sind zB Ports für einen VPN-Server, 80/443, wenn die WebGUI auf WAN aktiviert ist, sowie alle Portweiterleitungen, an deren Ende auch tatsächlich ein Gerät mit aktivem Dienst läuft.
ABER: Von innen die äußere IP zu scannen bewegt sich im Kontext von NAT-Loopback. Der Router merkt, dass die vermeintlich ausgehende Verbindung ins Internet auf seine eigene WAN-IP zeigt und dreht die Verbindung um 180° bevor auch nur ein einziges Bit den Router in Richtung Provider verlässt. Diese Verbindung kommt dann technisch zwar am WAN-Port rein, so als käme sie aus dem Internet, aber die Absende-IP ist die WAN-IP des Routers selbst und somit kann der Router darauf anders reagieren als wenn die Verbindung von einer fremden Absende-IP stammt, also von einem anderen Internetteilnehmer.

Ein Portscan im www auf die öffentliche IP des Routers ist wie der Scan von innen auf die öffentliche IP, aber tatsächlich von einem fremden Absender. Bei diesen Scannern sollten daher tatsächlich nur die Ports für VPN und die Portweiterleitungen (mit aktivem Serverdienst dahinter) auftauchen. Die WebGUi (80/443) sollte hier auch nicht auftauchen, da es ein Sicherheitsrisiko darstellt, die GUI aus dem Internet erreichbar zu machen. Einige Router bieten dafür einen Haken "Oberfläche via WAN erreichbar" (o.ä.), aber es ist deingend empfohlen, diese Option nicht zu nutzen. Dafür gibt's VPN.

Der Port Scanner lief hier von Windows aus. Aber schön das wir mal drüber geredet haben....

Es ist egal ob du von Linux, Windows oder WTF-OS aus scannst. ALLE ausgehenden Verbindungen am Router haben einen dazugehörigen Antwort-Port im Router offen. Ein beliebiges anderes Gerät im Netzwerk kann also durchaus dynamische Ports im Router als Antwort-Port öffnen, die außerhalb des von den durch die IANA definierten Bereich liegen.
Normalerweise sollte man diese Ports im Portscanner aber nicht sehen können, da sie explizit mit der IP der Gegenstelle verknüpft sind.


Übrigens: Port 53 sollte unter keinen Umständen von außen erreichbar sein - zumindest nicht mit aktivem DNS dahinter - da dies ein Open-DNS-Resolver ist, der für DNS Amplification Attacks genutzt werden kann und früher oder später auch wird. Dann gibt es Post von der BNetzA.