Jump to content

Portscan - Port 1723 bei VPN Server offen - Gefahr?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin Community,

 

Bei uns ist der Firewall NAT Router (Draytek Vigor 2900G) auch der VPN Server. Die Einwahl erfolgt über PPTP (CHAP + MPPE 128). Der Router macht keinen Reply auf PING Pakete und die Firewall ist bis auf die notwenigen Ports (von innen nach außen) und deren Antwortpakete dicht. Nunmehr ist aber der VPN Server aktiviert, was bei Portscans ein großes Loch bei 1723 PPTP zeigt. Muss man sich darüber Gedanken machen? Der Port muss ja leider offen sein, um die Einwahl zu ermöglichen.

 

Eine weitere Problematik, worüber ich mir gerade Gedanken mache, ist die Möglichkeit, den gesammten VPN Verkehr auch über die Firewall filtern zu lassen. Das ist grundsätzlich als Zusatzoption möglich. Nur dann funzt der ganze Windows Verkehr nicht mehr, weil dieser, andere zusätzliche Ports und SMB haben will. Wenn ich meine FW Regeln nicht verändere, komme somit als Beispiel auf keine Netzwerkumgebung mehr. Die Alternative ist, die Firewall aufzubohren. Das will ich aber nicht. Also leite ich den VPN Verkehr an der FW vorbei.

Wie sind so Eure Erfahrungen und Meinungen?

 

Gruß

Mülli

Link zu diesem Kommentar

War ein bisschen dümmlich die Frage. Sicherlich muss der Port offen sein, sonst würde ja keine VPN Einwahl laufen.

Muss also letztendlich auf die sichere Implementierung des VPN Dienstes im Router hoffen, so dass sich keine Angriffsmöglichkeiten ergeben.

Der Schreck war halt nur groß, als zwischen all meinen gefilterten Ports auf einmal ein roter offener Port aufleuchtete. Man denkt dann sofort, dieser offene Port lacht förmlich auch alle Hacker an.

 

Gruß

Mülli

Link zu diesem Kommentar
Eine weitere Problematik, worüber ich mir gerade Gedanken mache, ist die Möglichkeit, den gesammten VPN Verkehr auch über die Firewall filtern zu lassen. Das ist grundsätzlich als Zusatzoption möglich. Nur dann funzt der ganze Windows Verkehr nicht mehr, weil dieser, andere zusätzliche Ports und SMB haben will. Wenn ich meine FW Regeln nicht verändere, komme somit als Beispiel auf keine Netzwerkumgebung mehr. Die Alternative ist, die Firewall aufzubohren. Das will ich aber nicht. Also leite ich den VPN Verkehr an der FW vorbei.

Wie sind so Eure Erfahrungen und Meinungen?

 

Viel Spaß dabei. Entweder Hop oder Top. Windows nutzt halt gerne die komplette Bandbreite an Ports. Entweder vertraust Du den Clients oder nicht. Alles andere würde in einem Configchaos enden.

 

Gruß data

Link zu diesem Kommentar

Hi Data,

 

Alles andere würde in einem Configchaos enden.

 

Das glaube ich auch. Dann ist es wohl 'business as usual' den Clients zu trauen. Zumindest werde ich aber den Internetverkehr von den Clients bei bestehender VPN Verbindung nicht übers VPN laufen lassen. Das soll er sich mal schön lokal besorgen. ;)

 

Bin halt nur auf die Problematik gestoßen, weil DrayTek ein Firmwareupdate für den Router bereit gestellt hat, welches die Filterung des VPN Verkehrs als neues Feature enthält.

 

 

Gruß

Mülli

Link zu diesem Kommentar

lokal ist zumindest überall 'ne KERIO PFW drauf. Http ist offen, natürlich nur für bestätigte Programme a la IE und Firefox. Zugriffe auf Freigaben nur für "trusted Network" sprich eigenes Subnet. Tiefere Analyse der http Pakete findet nicht statt, falls Du das mit http Scanner meinst.

... ist das dolle schlimm? :confused:

 

Auch in der Firma läuft nur die beschriebene Router FW, die aber eigentlich gut abgedichtet wurde. Zumindest lasse ich das von Zeit zu Zeit mal mit Portscans testen. Irgendwo muss ich leider aufhören mit Security (kleine Firma, kein Budget für sooon Zeugs, offiziell verantwortlich ist sowieso keiner, ....)

 

Grüße

Mülli

Link zu diesem Kommentar

Ich versuche den Kunden immer auszureden SMB, Datenbankzugriffe usw. direkt über VPN zu machen. Besser finde ich den VPN Usern einen Terminalserver bereitzustellen und die Firewall so dicht zu machen, dass die VPN User nur RDP fürfen nicht mehr nicht weniger. Daraus ergeben sich verschiedenste Vortteile. Z.B. musst du dann nicht unbedingt auf die Virenfreiheit der Notebooks vertrauen müssen.

Kenne zumindest keinen Virus der sich via RDP verbreitet :P

Link zu diesem Kommentar

Der Schreck war halt nur groß, als zwischen all meinen gefilterten Ports auf einmal ein roter offener Port aufleuchtete. Man denkt dann sofort, dieser offene Port lacht förmlich auch alle Hacker an.

 

Gruß

Mülli

 

 

Versteh ich nicht...

Wenn deine Firewall auf "drop" eingestellt ist, dann müsste ein Portscan = 0 offene Ports zur folge haben. "Drop" bedeutet, dass alle Pakete an die IP der Firewall oder auch andere IP's, die nicht explizit in einer Regel erlaubt wurden, verworfen werden. Für den Agreiffer sieht dann das so aus, als wäre da kein Rechner. Auuserdem ist die Gefahr reltiv gering, dass auf einem offenen Port etwas passiert, denn du müsstest schon eine Schwachstelle im Betreibssystem der Firewall finden, damit du erfolgreich einbrechen kannst.

Darum sollte Firmen Firewalls auch auf eine dedizierten Rechner/Hardware laufen, da so die Gefahr geringer ist, diese Schwachstelle zu finden.

 

 

Wie wann übrigens Firewalls und VPN's konfiguriert siehst duu hier:

http://www.mcseboard.de/showpost.php?p=287663&postcount=9

 

Das gilt auch für Clients. Dein grösstest Problem werden die RPC-Calls sein, die die Ports 135 & 1024-65*** benutzen. Allerdings macht das bei Client VPN Verbindungen echt kein Sinn, das zu konfigurieren wollen. Investier besser etwas geld in eine solide Antivirus Architektur (man denke an Blaster beim Port 135) oder das Patchmanagement, oder aber du legst dir eine Layer 7 Firewall zu.

 

 

Gruss

Velius

Link zu diesem Kommentar

Bei Checkpoint beispielsweise kannst du dich für ne Nokia Appliance entscheiden, was je nach Software Ausstattung gut und gerne gegen 100'000 Euro gehen kann.

 

 

Aber die FW-1/VPN-1 mit SPLAT kannst da aber auch auf einem ganz normalen Pentium 4 Rechner oder weniger installieren. Den genauen Preis weiss ich jetzt nicht, aber mehr als ein paar T-Euro werden's nicht sein.

 

 

P.S.: Hier noch den Link zu den Nokia Produkten mit Checkpoint Software: http://www.nokia.com/nokia/0,6771,76737,00.html

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...