Offene Ports bei Asus Router

[r4v398]

Wow

Wow auch für deinen Kommentar. Damit du was lernst: Das nennt sich starke Vereinfachung ist ein stilistisches Mittel, das passte um seine Frage Rhetorik zu geben, da sie nichts mit der Thematik zu tun hatte, bzw mittlerweile denke ich, er hat es selbst falsch verstanden oder kann sich, wie ich, einfach nur schlecht ausdrücken.

vertrittst diese lautstark.

Soll daran irgendwas falsch sein, seine Meinung, sein Verständnis lautstark zu vertreten? Ich höre den Leuten zu und antworte auch. Ich renne nicht mit der Keule umher und poste einfach eine Beleidigung. Ich hinterfrage alles und mich selbst genug und brauch das nicht bei jeden Beitrag zu mein Anliegen erneut zu tun. Überzeugt mich was, (wie es auch im vorherigen Beitrag tut, siehe unten) gebe ich das auch zu.

Und auf Routern läuft Linux.

Aber der netstat wurde vom System aus gestartet, auf dem Router kann ich einen separaten starten (allerdings sieht der sehr ähnlich aus). Interessant sind/waren nur die Werte vom Scanner.

Hast du überhaupt eine öffentliche ipv4?

Vom Provider bekomme ich beides IPv4 sowie IPv6. Im Router ist IPv6 deaktiviert.

ist der Asus Router direkt am Internet angehängt oder ist noch der providerrouter davor?

Direkt dran, ist die DSL-Variante vom Asus mit Custom Build.

ABER: Von innen die äußere IP zu scannen bewegt sich im Kontext von NAT-Loopback. Der Router merkt, dass die vermeintlich ausgehende Verbindung ins Internet auf seine eigene WAN-IP zeigt und dreht die Verbindung um 180° bevor auch nur ein einziges Bit den Router in Richtung Provider verlässt. Diese Verbindung kommt dann technisch zwar am WAN-Port rein, so als käme sie aus dem Internet, aber die Absende-IP ist die WAN-IP des Routers selbst und somit kann der Router darauf anders reagieren als wenn die Verbindung von einer fremden Absende-IP stammt, also von einem anderen Internetteilnehmer.

Das bringt etwas Licht ins dunkle. Mit Rücksprache und Test vom selben Tool von "Außen" (mit dem Resultat, keine offenen Ports entdeckt zu haben), erklärt sich mir das ganze jetzt. Mir war das NAT-Loopback nicht bekannt und hatte angenommen, der Router behandelt die WAN-IP wie eine außenstehende und schickt die Anfragen tatsächlich erst mal zum ISP. - Ich danke dir herzlich.

Die WebGUi (80/443) sollte hier auch nicht auftauchen, da es ein Sicherheitsrisiko darstellt, die GUI aus dem Internet erreichbar zu machen. Einige Router bieten dafür einen Haken "Oberfläche via WAN erreichbar" (o.ä.), aber es ist deingend empfohlen, diese Option nicht zu nutzen. Dafür gibt's VPN.

Übrigens: Port 53 sollte unter keinen Umständen von außen erreichbar sein

Exakt ja. Auch hier danke für den Tipp. Auch wenn die Ports bei mir tatsächlich zu sind. (benutze einen VPN-Dienst als Server, daher ist bei mir selbst dafür nichts offen, umso mehr hatte es mich verwundert, gar alarmiert, die Ergebnisse des Scans zu sehen.)

Ein beliebiges anderes Gerät im Netzwerk kann also durchaus dynamische Ports im Router als Antwort-Port öffnen, die außerhalb des von den durch die IANA definierten Bereich liegen.
Normalerweise sollte man diese Ports im Portscanner aber nicht sehen können, da sie explizit mit der IP der Gegenstelle verknüpft sind.

Ja, hatte ja separat die IPs alle scannen lassen und unterschiedliche Ergebnisse, Was mich dann umso mehr stutzig machte und die Erklärungsversuche von @xexex ins nichts laufen hatten lassen. Mit dem Loopback erklärt sich dann auch das bzw sind diese Ports vom System sind dann irrelevant. (Interessanterweise war auf einem Linux Clienten im Netzwerk nichts auf, außer mein eigenen Remote, auf dem Windows hingegen sämtliche Dinge wie Samba etc, obwohl ich keins davon nutze).

Was mich jetzt nur verwundert: Kann bzw. oder Warum hat der Linux Client Ports auf dem Router freigelegt? Da benutze ich ausschließlich Firefox für Streams und Chat, das war es. Oder sind sind das die Ports die der Router selbst freigelegt hat? Diese dynamischen Linux Ports auf dem Router und im Windows System kann ich mir nicht erklären...

Auf jeden Fall beruhigt mich das ganze schon mal.

 

[Raijin]

Wenn im Router UPnP aktiviert ist, kann jedes Gerät im Netzwerk selbsttätig temporäre Portweiterleitungen im Router erstellen (lassen). Etwaige offene Ports können daher auch durch UPnP entstehen, weshalb es auch im allgemeinen als Sicherheitsrisiko gilt, weil der Router nicht zwischen zB einem OnlineShooter und Malware auf dem PC unterscheiden kann.

Mir war das NAT-Loopback nicht bekannt und hatte angenommen, der Router behandelt die WAN-IP wie eine außenstehende

Das ist in der Regel auch so. Ich habe nur geschrieben, dass der Router sie unterschiedlich behandeln könnte. NAT-Loopback wird meistens benutzt, wenn man zB eine DDNS-Domain hat und darüber von außen Dienste im Heimnetzwerk nutzt und zB auf dem Desktop einen Shortcut dafür hat. Mit NAT-Loopback kann man diesen Link auch von innen nutzen. Der Router dreht die Verbindung wie beschrieben im letzten Moment um 180° und schiebt sie wieder in seinen WAN-Port rein, so als käme sie tatsächlich aus dem www. Die Verbindung durchläuft dabei die komplette NAT-Engine inkl. Portweiterleitungen, daher auch der Begriff NAT-Loopback.

Einige Router unterstützen gar kein NAT-Loopback oder es muss explizit eingeschaltet werden. Daher ist ein Test vom inneren des Heimnetzwerks aus eben auch nicht zuverlässig. Entscheidend ist ob dieser oder jener Port aus dem www von anderen Internetanschlüssen erreicht werden kann, ein externer Test ist daher alternativlos.

 

[r4v398]

Wenn im Router UPnP aktiviert ist, kann jedes Gerät im Netzwerk selbsttätig temporäre Portweiterleitungen im Router erstellen (lassen).

Die Sache war, dass ich uPNP deaktiviert und den Router neugestartet hatte, anschließend dieselben Ergebnisse bekam. Dachte damit wären die Ports eigentlich wieder zu, muss ich doch die Software Resetten dafür? (Ja bräuchte man wohl nicht alles, aber ich bin da etwas extra vorsichtig, würde gerne alles zu machen.)

Einige Router unterstützen gar kein NAT-Loopback oder es muss explizit eingeschaltet werden.

Ja, ich habe jetzt endlos recherchiert, konnte aber nur die Info finden dass die Router-Software wohl eine Implementation hat. Vor Jahren zumindest konnte man wählen welche Art der Implementation man nutzen möchte, an der Stelle wo diese Einstellung eigentlich wäre, ist bei mir aktuell nichts.

Entscheidend ist ob dieser oder jener Port aus dem www von anderen Internetanschlüssen erreicht werden kann, ein externer Test ist daher alternativlos.

Genau ja, wenn da nichts offen angezeigt wird, dann ist auch nichts offen, richtig?
Das ist das wichtigste um ruhig(er) schlafen zu können.

Wollte mich sowieso noch mal mit der Router-Security eingehender beschäftigen, aber ein andermal/Thread.

 

[Raijin]

Die Sache war, dass ich uPNP deaktiviert und den Router neugestartet hatte, anschließend dieselben Ergebnisse bekam. Dachte damit wären die Ports eigentlich wieder zu, muss ich doch die Software Resetten dafür?

Hm.. Gute Frage. Ich bin kein Freund von UPnP, weil man sich damit wie gesagt auch Einfallstore für Malware einhandeln kann. Prinzipiell sind die durch UPnP generierten Portweiterleitungen nur temporär und ich würde erwarten, dass sie nach einem Neustart des Routers vom jeweiligen Gerät erneut angemeldet werden müssen.
Mit Glück sieht man die temporären Weiterleitungen aber im Router im jeweiligen Menü für UPnP und/oder bei den Einstellungen für NAT/Portweiterleitungen.

Genau ja, wenn da nichts offen angezeigt wird, dann ist auch nichts offen, richtig?

Ich würde stets verschiedene externe Portscanner testen, um etwaige Fehlinformationen eines Scanners auszuschließen. Letztendlich sagen solche Scanner aber auch nur aus, dass unter dem jeweiligen Port irgendetwas erreichbar ist. Wenn beispielsweise Port 53 im Scanner auftaucht, ist das zwar der Standardport für DNS und der Scanner wird das tendenziell auch schreiben, aber es kann dahinter auch zB ein VPN-Server laufen. Ein Portscanner öffnet nur eine allgemeine Verbindung und guckt ob es eine irgendwie geartete Antwort gibt, er macht also im Falle von Port 53 keinen DNS-Query, um den DNS-Server dahinter abzufragen.

 

[Raijin]

Ich muss mich korrigieren, war noch im Halbschlaf. 😩

nmap kann durchaus Probes senden, die die gefundenen offenen Ports auf den Dienst dahinter prüfen, zB FTP, DNS, ssh und dergleichen. Ob der jeweils verwendete online Portscanner das auch tatsächlich tut (bzw. ob er überhaupt nmap nutzt) steht aber auf einem anderen Blatt. Daher wie gesagt verschiedene Scanner ausprobieren.

 

[norKoeri]

Wollte mich sowieso noch mal mit der Router-Security eingehender beschäftigen, aber ein andermal/Thread.

Noch ein Tipp: Nicht nur IPv4 sondern auch IPv6 testen, also die öffentlichen IPv6-Adresse(n) des Routers und mindestens eines Clients im Heimnetz; nicht dass der Router zwar eine Firewall im IPv4 aber keine Firewall im IPv6 hat.

Wobei Du als Laie bei dem Hersteller Asus davon ausgehen musst, dass es kein Software-Bug seitens des Herstellers sondern „lediglich“ eine Fehlkonfiguration deinerseits sein dürfte. Konjunktiv. Theoretisch und praktisch finden auch Laien immer noch Security-Issues.

Aber das erklärt vielleicht auch den Gegenwind, den Du hier erfahren hast. Normal hätte ich sogar gesagt, dass Du bei keinem kommerziellen Router heutzutage mehr durch einen einfachen Port-Scan solche Schnitzer finden dürftest. Allein schon wegen den blauen Briefen, die man tatsächlich sogar automatisch bekommt, allein wenn der DNS-Forwarder öffentlich ist. Aber mich belehrte eines Besseren dieser Zeitschriften-Artikel … manche aktuelle Router-Implementierungen besitzen immer noch nicht einmal eine Firewall in IPv4.