Hi!

Ich möchte gerne an meinem Router drei Ports freischalten, unter anderem 4662 (TCP), um Filesharing-Programme und meinen FTP-Client nutzen zu können. Nur hängt an dem Router auch ein Netzwerk von der Firma meines Vaters. Der äußert Bedenken und nun wollte ich mich mal erkundigen, ob durch das öffnen dieser Ports ein Sicherheitsrisiko besteht...

Natürlich... offene Ports sind immer ein Sicherheitsrisiko...

Kannst du die Ports nicht nur für deinen Rechner freischalten? Dann wären die anderen sicher.

Aqua

Kannst du die Ports nicht nur für deinen Rechner freischalten? Dann wären die anderen sicher.

Aqua

Nicht wirklich oder? Sobald man Ports ins interne Netz weiterleitet besteht das Risiko, den Empfänger der weitergeleiteten Pakete zu kompromitieren und als staging Point für weitere Angriffe ins interne Netz zu nutzen.
Freigegebene/geforwardete Ports sollten - zumindest in ner Firmenumgebung immer in eine DMZ führen.

@OP Nur so als Info (ohne dir was unterstellen zu wollen). Du weist, da? für evtl. nicht ganz legale Machenschaften mit P2P ggf. die Firma deines Vater haftbar gemacht werden kann? Bei Firmen verstehen "die" idR noch viel weniger Spaß als bei Privatpersonen.

Ich würde, falls ich sowas vorhätte, nen extra DSL-Anschluß nehmen und nicht das Firmennetzwerk meines Dad mißbrauchen.

Natürlich... offene Ports sind immer ein Sicherheitsrisiko...Nicht offene Ports sind ein Sicherheitsrisiko sondern die dort lauschenden Dienste.

Natürlich... offene Ports sind immer ein Sicherheitsrisiko...

Ports sind nur offen, wenn dahinter auch ein Programm/Dienst läuft. Wenn E-Mule nicht läuft, ist auch kein Port offen. Der Router routet dann die Anfragen auf den geschlossenen Port des (zuvor im Router bestimmen) Rechners. Deswegen besteht für den Geschäftscomputer des Vaters keine Gefahr.

Nicht offene Ports sind ein Sicherheitsrisiko sondern die dort lauschenden Dienste.

Das ist jetzt aber ein auf die Goldwage legen oder?
Weshalb sollte man Ports öffnen und forwarden, wenn man dahinter keinen lauschenden Dienst hat?

@gast so wie ich den OP verstanden hab, hängt da noch ein ganzes Firmennetzwerk dran, also ggf. auch Server die 24/7 laufen und nicht nur der einzelne Firmenrechner des Dads...

Ich möchte gerne an meinem Router drei Ports freischalten, unter anderem 4662 (TCP), um Filesharing-Programme und meinen FTP-Client nutzen zu können.mmm...


Ich frage mich die ganze Zeit, welche anderen Ports gemeint sind:
1.) P2P - Emule
2.) FTP- Server?
3.) ???

Wenn ich der Admin dort wäre, gäbe es ein klares "Nein".

mmm...
Ich frage mich die ganze Zeit, welche anderen Ports gemeint sind:
1.) P2P - Emule
2.) FTP- Server?
3.) ???
afaik nutzt emule den 4662 (UDP/TCP) und den 4672 (UDP) Wenn ich der Admin dort wäre, gäbe es ein klares "Nein".full ack!

Kannst du die Ports nicht nur für deinen Rechner freischalten? Dann wären die anderen sicher.

Aqua
Also ich kann das hier in meinem (popeligen) Netgear Router. Aber wenn auf den anderen Rechner sowieso nichts auf dem Port läuft, dann erübrigt sich das ja sowieso.

Jeder durchgereichte Port stellt natürlich ein Sicherheitsrisiko dar. Nur gilt das ebenso für sinnvolle Dienste, von daher...

Nichtsdestotrotz würde ich bei gewerblicher Nutzung lieber davon absehen die Leitung auch für P2P Sachen zu gebrauchen.

Würde davon abraten, wenn dort ein Rechner sitzt mit wichtigen Daten.
Dann lieber einen zweiten günstigen Router, wo die Ports geschlossen sind.

Schonmal was von NAT gehört? Wenn der Router Anfragen auf einem bestimmten Port entgegennimmt, leitet er sie immer an den selben Rechner (Stichwort: lokale IP - dafür sind sie da!) weiter. Nicht zufällig mal hierhin und mal dorthin.... Zum Abraten besteht also kein Grund, weil alle Anfragen an die im Router geöffneten Ports immer beim zuvor bestimmten Zielrechner landen. Falls es da wirklich sicherheitsbedenken geben sollte, würde ich vorschlagen, dass E-Mule über "runas" mit eingeschränkten Rechten läuft. Mehr Sicherheit geht nun wirklich nicht.

Also, an dem Router habe ich die Möglichkeit was über NAT und die lokale IP einzustellen, aber wenn ich mir das so recht durchlese, lasse ich das mal lieber bleiben mit den Ports freischalten.

Ich nehme mal an es macht keinen Unterschied Emule mit Low-ID zu nutzen (Ohne freie Ports) oder mit High-ID mit offenen Ports? Rein rechtlich bzw. wegen der "Auffälligkeit"

mmm...

Bei Low-ID gibs so gut wie keine Daten, bist eben nicht sauber zu erreichen ... das Prob ist ja nicht nur, dass "nur" dein Rechner zu erreichen ist, sondern was passiert, wenn deine Kiste gehijackt wird? Dann fängt der Schlamassel erst richtig an ...

Mehr Sicherheit geht nun wirklich nicht.

Doch gibt es. Den eMule-Rechner zusätzlich in ne "echte" DMZ packen.
Echte hier in Anführungsstrichen, weil die meisten SoHo-Router unter ner DMZ anscheinend einen "exposed Host" verstehen, was eigentlich schon fast das gegenteil einer DMZ darstellt....

Schonmal was von NAT gehört? Wenn der Router Anfragen auf einem bestimmten Port entgegennimmt, leitet er sie immer an den selben Rechner (Stichwort: lokale IP - dafür sind sie da!) weiter. Nicht zufällig mal hierhin und mal dorthin.... Zum Abraten besteht also kein Grund, weil alle Anfragen an die im Router geöffneten Ports immer beim zuvor bestimmten Zielrechner landen. Falls es da wirklich sicherheitsbedenken geben sollte, würde ich vorschlagen, dass E-Mule über "runas" mit eingeschränkten Rechten läuft. Mehr Sicherheit geht nun wirklich nicht.

Wenn ein Wurm auf den betroffenen Rechner gelangt, kann dieser auch "local" herumspringen und an den Daten hantieren.

@Argo: "Wenn ein Wurm auf den betroffenen Rechner gelangt, kann dieser auch "local" herumspringen und an den Daten hantieren"

Wenn also ein Wurm auf meinen PC gelang tkann erüb er WLAN auf das ganze Netzwerk "zugreifen"?

Je mehr Ports ich freischalte, desto höher das Risiko, dass ich mir was einfange?

Ich habe gehört, man kann den Router so einstellen, dass er nur sendet, nicht empfängt? Also keine Daten von außen reinlässt (wegen FTP-Upload!).

@Argo: "Wenn ein Wurm auf den betroffenen Rechner gelangt, kann dieser auch "local" herumspringen und an den Daten hantieren"

Wenn also ein Wurm auf meinen PC gelang tkann erüb er WLAN auf das ganze Netzwerk "zugreifen"?

Je mehr Ports ich freischalte, desto höher das Risiko, dass ich mir was einfange?

Ich habe gehört, man kann den Router so einstellen, dass er nur sendet, nicht empfängt? Also keine Daten von außen reinlässt (wegen FTP-Upload!).
Boah wenn ich das lese schwillt mir der Kamm!
Wenn du keine Ahnung hast, lass das Firmennetz in den Händen eines Fachmanns.
Das gibt es doch nicht, dass jeder x-beliebige Sohnemann am Firmenrouter rumfummeln darf, noch dazu, um EMule und FTP-Server zu basteln.

Gruß