ComputerBase Menü
Aktuelles

Routereinstellung, VNC-Services, Sygate-Firewall richtig einstellen - LAN-SICHERHEIT

C

crunK

Cadet 3rd Year
Registriert
März 2005
Beiträge
44
Hallo Leute,
ich habe eine Frage zu meiner Sicherheit in meinem "Heimnetzwerk".

Zum Aufbau:
Ich habe eine T-Sinus 1054 DSL Router der mit einem Switch
für drei PC`s den Zugang ins Internet ermöglicht.
Auf jedem der PCs ist die Sygate Personal Firewall und AntiVir installiert.

Auf meinen "Server" läuft der VNC-Server auf dem ich mit dem einen Rechner mit dem
VNC-Viewer zugreife. Um mit dem VNC-Viewer auf den VNC-Server zuzugreifen musste
ich den Zugriff an der Sygate Personal Firewall erlauben. Hier hab ich dann den Zugriff
lediglich für IP-Adresse meines PCs mit dem Viewer eingetragen.

Da ich noch eMule auf dem "Server" nutze habe ich bei meinem Router bestimmte Ports forwarden
müssen dass ich bei eMule eine High-ID bekomme. Außerdem musste ich auf dem Router unter dem
Punkt Hackerabwehr TCP/IP-Verbindungen erlauben und UDP-Verbindungen.

Jetzt meine Frage:
Um von außen auf meinen VNC-Server zuzugreifen muss bei dem Router Port 5900 freigeschaltet
sein. Nun hab ich diesen Port ja nicht freigeschaltet sonder lediglich die Ports für eMule.
Allerdings habe ich bei dem Router ja auch TCP/IP/UDP-Verbindungen bei dem Punkt
Hackerabwehr freigeschaltet. Was hat jetzt höhere Prioität?! Das Portforwarding
oder die Hackerabwehr.
Weil: Wenn die TCP/IP/UDP-Verbindungen höhere Prioität haben dann könnte jeder von
außen auf meinen VNC-Server zugreifen! Und das will ich natürlich nicht.

Alles ein wenig kompliziert. Hoffe trotzdem das manche durchblicken *g*

Dank euch schonmal.
 
Gegenfrage woher soll denn dein Router wissen wohin er die Anfrage schicken soll wenn sie auf den Port 5900 geht und dieser nicht unter Portforwarding eingetragen ist (vorausgesetzt du hast deinen Server nicht als DMZ eingetragen)

Na verstehste worauf ich hinaus will...

...wenn der Router auch nur halb so intelligent ist wie ich denk, dürftest du über den Port 5900 nicht auf deinen Server connecten können wenn er nicht Forwarded wird!
 
Ich weiß überhaupt nicht was du mit "TCP/IP/UDP-Verbindungen bei Hackerabwehr" meinst. Wenn du einen Port forwardest, musst du doch auch das Protokoll angeben, oder nicht? Dann dürfte ja auch nur der Port unter dem Protokoll für die IP, die du eingestellt hast, offen sein. Oder hast du alle von außen ankommenden TCP/IP und UDP-Verbindungen erlaubt? Weil dann frage ich mich, wozu deine Firewall gut sein soll... Aber vielleicht hab ich dich nur falsch verstanden. Falls du meintest, dass du alle eingehenden Verbindungen blockst, ist ja wohl klar, was mehr Priorität hat: das Port-Forwarding, deshalb macht man das ja... ;)
 
Also bei meinem Router gibt es zwei Punkte um die es geht.

Virtueller Server: Hier hab ich das Forwarding für die eMule-Ports eingerichtet.

Hackerabwehr: Hier hab ich eingestellt dass für die Hackerabwehr nicht die TCP/IP und UDP Verbindungen geprüft werden!

Die Frage ist halt jetzt was höhere Prioität hat.

Da auch wenn der Virtuelle Server nicht den VNC-Port 5900 forwardet könnte es ja sein
dass durch die erlaubten Punkte in der Hackerabwehr grundsätzlich der Port weitergeleitet wird.
 
Zuletzt bearbeitet:
und ich frage dich wieder:

WOHIN DENN

Wenn du den Port nicht forwardest kann er auch niergends hingeleitet werden das geht in die Nirvana! :stock:

Abgesehen von DMZ wenn der aktiv ist gehts da hin!
 
Also meinst du dass es scheissegal ist was in der Hackerabwehr steht.
Und das er den Port sowieso nicht weiterleiten kann, weil er nicht weiß wohin!?
 
Bingodidelido

Genau so ists unter der berücksichtigung das du deinen Server nicht als "DMZ-Server" im Router eingetragen hast! :cool_alt:
 
Nee nee nix ist DMZ eingetragen wäre ja tödlich! :-))
 
Beim Portforwarding geht es um eingehende Verbindungen. Da der Router an sich, jedoch keine Dienste zur Verfügung stellt, wohl aber die Rechner, die hinter dem Router stehen, muss der Port zu diesem Rechner weitergeleitet werden, der den Dienst (z.B. Web-Server, VNC-Server für den Zugriff von ausserhalb, etc.) zur Verfügung stellt.

Nun habe ich mir mal das Manual Deines Routers angeschaut, dass ich, nebenbei gesagt, wie annähernd alle Telekom Produkte als äusserst schlecht gemacht und unübersichtlich empfunden habe.

Also: Zunächst gibt es in der "Hackerabwehr" den Punkt für die Einstellung der SPI-Firewall. Dort kann man UDP-Sessoins und TCP-Verbindungen anklicken. Mir ist aber nicht klar geworden, ob der Schutz beim aktivierten Punkt oder beim nicht aktivierten Punkt gilt. Bei SPI geht es zum einen um die Abwehr destruktiver Angriffe. Hierzu zählen der alt bekannte "Ping of Death" oder auch das das Syn-Flooding (Angriff über "halboffene Verbindungen"). Zum anderen geht es um die Plausibilitätsprüfung von Paketen: Kommt zum Beispiel ein Paket mit der Absender-Adresse 192.168.x.x über die WAN-Schnittstelle wird es automatisch verworfen. Darüberhinaus werden auch zum Beispiel nicht angeforderte Pakete verworfen.

Im Punkt Zugangssteuerung habe ich weitere relevante Einstellungen gefunden. Hier geht es um abgehende Verbindungen. Fängst du dir beispielsweise einen Trojaner ein, so ist der Trojaner bei aktivierter und konfigurierter Zugangsteuerung nicht in der Lage, Informationen nach draussen zu senden, weil ihm der Port für die Kommunikation versagt wird.

Derartige Einstellungen sind jedoch schwer zu konfigurieren, da event. das Filesharing und auch Videochat-Programme damit Probleme haben.

Nun noch eine Frage: Hast du die TCP/UDP Verbindungen in der Zugangskontrolle oder in den SPI-Firewall Einstellungen erlaubt?

rush2000
 
Erstmal Danke für die Mühen @ rush2000

Wenn du die Punkte unter der SPI anklickst, dann sind diese Punkte hinsichtlich der Firewall deaktiviert!

Und hier habe ich TCP/UDP Verbindungen erlaubt! Sonst bekomme ich bei eMule wie gesagt eine Low ID. Da die Verbindungen zu den einzelnen Clients ja TCP/UDP Verbindungen sind.

Telekom Produkte unübersichtlich? Wem sagste des *argh*
 
Für den Esel musst du eigentlich nur den Port 4662 forwarden:
Alle anderen Ports sind outgoing connections.

eMule verwendet standardmäßig folgende Ports:

4661 (remoteside/outgoing) TCP um mit einem Server zu connecten
4662 (local/incoming) TCP um zu anderen Clients zu connecten
4665 (remoteside/outgoing) UDP um Quellen auf anderen Servern zu finden
4672 (remoteside/outgoing) UDP um direkte Client zu Client Verbindungen herzustellen

Schau dir mal die folgenden 2 Links an:
http://www.emule.de/lowid.html
http://www.emule.de/lowid2.html

rush2000
 
Nochwas.

VNC verlangt ja auch einen Kennwort.
Nur damit kommt man dann auf den Server.
Anderes geht es ja nicht. Also auch hier ein gutes Kenntwort eingeben.

Was willste eingentlich mit VNC, wenn Du nicht von außen draufkommen willst oder kannst?
VNC ist ja eine Fernwartungssoftware.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Physically
Comodo Firewall richtig einstellen
2
Antworten
32
Aufrufe
47.255
fischi1305
fischi1305
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz