Jump to content

Portfreigaben: Go oder No Go ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

da uns in letzter Zeit dieses Thema immer wieder einholt und es uns einfach *tierisch* nervt, möchte ich Euch diese Frage stellen.

 

::::::::

Stellen Portfreigaben auf Routerebene auf jegliche Zielsysteme und jegliche Ports (z.B. ständig diverse Freigaben auf VNC-Ports, UltraVNC, TightVNC usw.ff.) für Euch überhaupt kein Problem da?

Wie verhaltet Ihr Euch bei solchen Geschichten?

 

Wir sehen im gesamten Bereich der Portfreigaben immense Sicherheitsprobleme und weigern uns grundsätzlich, Portfreigaben einzurichten.

Die ganzen Sicherheitslücken, die man sich damit aufreisst, bekommt man doch im Leben nie wieder dicht. Von Passwortattacken auf Std-Ports, Bruteforce etc.pp.

 

Wie verhaltet Ihr Euch, wenn es um solche Geschichten geht?

Ist das für Euch ebenfalls ein Sicherheitstechnisches Problem?

 

Michael

Link zu diesem Kommentar
Ein grundsätzliches No-Go übers Internet sind in meinen Augen unverschlüsselte Protokolle wie VNC.

 

Gerade um diese Thematik geht es mir. Es gibt bei unseren Kunden immer wieder die Bestrebungen, stumpf unverschlüsselte Protokolle freischalten zu wollen.

Dagegen wehren wir uns beständig. Und genau das wird uns von den Kunden dann auch noch nachgetragen, mit der Aussage, dass andere Mitbewerber keine Probleme bei solchen Praktikten haben.

 

Michael

Link zu diesem Kommentar
Gerade um diese Thematik geht es mir. Es gibt bei unseren Kunden immer wieder die Bestrebungen, stumpf unverschlüsselte Protokolle freischalten zu wollen.

Dagegen wehren wir uns beständig. Und genau das wird uns von den Kunden dann auch noch nachgetragen, mit der Aussage, dass andere Mitbewerber keine Probleme bei solchen Praktikten haben.

 

Michael

 

Hallo,

 

das ist das Problem, sieh dir mal das neue Datenschutzgesetz an, vor allem die Strafen. So kannst du sicherlich einige Chefs "überzeugen" solchen Unsinn zu lassen.

 

Ich halte es immer so, wenn es möglich ist, werden die Freigaben nur für bestimmte externe IPs erlaubt (z.B. die IP deines Arbeitgebers für Fernwartung). Außerdem verschiebe ich den Port irgendwo > 20000.

 

Somit kriegt man nicht sofort raus, welcher Dienst dahinter läuft bzw. ein Stadardangriff auf z.B. Port 22 (ssh) schläg erstmal fehl.

 

Ansonsten sollte man eventl. über ein VPN nachdenken.

 

mfg

Link zu diesem Kommentar
Ansonsten sollte man eventl. über ein VPN nachdenken.

Nicht nur drüber nachdenken. RRAS kann man auch ruhig nutzen. ;)

Selbst die MS-Client-Betriebssysteme können einen VPN-Tunnel terminieren. Von daher einsetzen falls möglich. Ist dank mancher UMTS-Provider nicht immer möglich, aber für die meisten Anwendungsfälle reicht es.

Link zu diesem Kommentar
  • 3 Wochen später...

Ich mach es meistens so, dass ich nur den Remote Desktop Port öffne und außerdem einschränke welche Clients sich über diesen Port verbinden können. Ansonsten bin ich auch der Meinung, das grundsätzlich keine Ports nach außen offen sein sollten. DNS, Mail Server etc. was natürlich offene Ports benötigt stelle ich grundsätzlich ins Umkreisnetzwerk und nicht ins Büro.

Link zu diesem Kommentar
DNS, Mail Server etc. was natürlich offene Ports benötigt stelle ich grundsätzlich ins Umkreisnetzwerk und nicht ins Büro.

 

Das hängt dann aber ebenfalls von den verwendeten Produkten ab. Einen Exchangeserver in die DMZ zu stellen ist auch nicht unbedingt sicherer. ;)

 

Bye

Norbert

 

Ps: Wenn ich jetzt mal den Edge ausklammere.

Link zu diesem Kommentar

Global offene Ports werden von uns strikt verweigert

Wenn offene Ports dann nur zielgerichtet auf Host wie z.B. auf den Webserver , Mailserver etc pp und die nach Möglichkeit in eigenen VLANs stehen so dass ein erfolgreicher Angriffsversuch nur den entsprechenden Server betrifft und der Angreifer nicht das ganze Netz zerstören kann... zumindest solange die Firewalls der Router nicht geknackt werden.

Andere Dienste sind grundsätzlich nur über ein VPN zu erreichen.

Und da wo es möglich ist werden nur feste "Aussen"-IPs für den Aufbau des VPN zugelassen

 

mfg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...