Hallo,

ein Portscan von außen über das Internet auf meine DynDNS-Adresse, an der das FritzBox Phon hängt, ergibt einen offenen Port 5060 sip.

Dieser Port taucht in der Einstellung der FritzBox nicht auf.
Ich möchte ihn gerne aus Sicherheitsgründen schließen.
Wie geht das?

Andere Frage: Wie verhindere ich das Ausspähen des Betriebssystems?
(Ist Centos 5.4, muß aber keiner wissen. ;-))

M.f.G. mechanicus

Hallo,

ein Portscan von außen über das Internet auf meine DynDNS-Adresse, an der das FritzBox Phon hängt, ergibt einen offenen Port 5060 sip.

Dieser Port taucht in der Einstellung der FritzBox nicht auf.
Ich möchte ihn gerne aus Sicherheitsgründen schließen.
Wie geht das?


Dieser Port wird für ein eventuell angeschlossenes Telefon verwendet. Falls er über die WebGUI der Box nicht geschlossen werden kann geht das wohl nur direkt auf der Box, musst Du mal schauen ob man irgendwie per telnet / SSH auf die Box zugreifen kann.


Andere Frage: Wie verhindere ich das Ausspähen des Betriebssystems?
(Ist Centos 5.4, muß aber keiner wissen. ;-))


Ausspähen durch wen / was?

mfg
cane

Telnet geht auf der Fritz Box.. da sollte man dann aber ganz genau wissen was man tut => würde ich eher lassen.

Dieser Port kann auch offen sein wenn irgendein Gerät das per LAN oder WLAN an der Fritz Box hängt ein Voip Telefon (z.B. Softphone) laufen lässt.

Ausspähen: UserAgent Switcher in Firefox. (Ich nehme mal an dass es dich nervt dass jede Website deinen Browser und dein OS erkennt...)

Bei so einer intranparenten Sache möchte ich den Port 5060 lieber geschlossen haben. Wenn FritzBox im Webinterface mitteilt, daß alle Ports geschlossen sind, dann muß doch da eine Absicht hinterstecken, diesen offenen Port zu verschweigen.
Keine Ahnung, was die da verdrahtet haben, aber ich möchte kein Risiko eingehen.

Zum Thema Betriebssystem ausspähen dachte ich auch eher an den offenen ssl-Port. Da gehen laufend versuchte Anmeldungen von Linux-Systemusern ein.
Ist zwar abgesichert, aber trotzdem schöner, wenn keiner von außen das Betriebssystem erkennt.

M.f.G. mechanicus

Hallo mechanicus,


Bei so einer intranparenten Sache möchte ich den Port 5060 lieber geschlossen haben. Ist gar nicht so intransparent ;) google mal nach Fritzbox und Port 5060. Es ist schon so wie cane geschrieben hat, wird für's IP-Telefon benutzt und der Port muss offen sein, sonst kann Dich ja keiner anrufen :D


dann muß doch da eine Absicht hinterstecken, diesen offenen Port zu verschweigen. Das AVM die Funktion nicht übers Webinterface konfigurieren lässt, darüber kann man geteilter Meinung sein aber die sehen das eher als Schutz vor DAUs die sich sonst selber das Telefon still legen.

Bei aktueller Firmware sollte auch kein Sicherheitsleck (mehr) vorliegen: Kein-Anruf-unter-dieser-Fritz-Box (http://www.heise.de/security/meldung/Kein-Anruf-unter-dieser-Fritz-Box-Update-136647.html)


Gruß

Tom

Guck dann halt mal hier nach:

http://www.wehavemorefun.de/fritzbox/Versteckte_Features

Und dann halt in den Konfigurationsdateien rumeditieren.. http://www.voipfan.de/showthread.php?t=96125

http://www.voipfan.de/showthread.php?t=189875

http://www.realriot.de/2007/05/30/die-interne-fritzbox-stateful-firewall/

http://www.ip-phone-forum.de/showthread.php?t=156778


aber wehe du machst etwas falsch... am besten die Recover Software von AVM vorsorglich gleich mit runterladen.. und die neueste Firmware Version auch ...

Hallo mechanicus,


Wenn FritzBox im Webinterface mitteilt, daß alle Ports geschlossen sind, dann muß doch da eine Absicht hinterstecken, diesen offenen Port zu verschweigen.
Blödsinn!
Mit "Webinterface" meinst du sicherlich die einzustellenden Portweiterleitungen. Manche User sagen dazu auch "Firewall", auch wenn es sich keinesfalls um eine solche handelt.
Im Auslieferungszustand wird kein einziger Port an die angeschlossenen Rechner weitergeleitet. Dein eigenes Netzt ist also von "außen" nicht erreichbar. Zumindest so gut, wie das mit einem puren NAT möglich ist.
(Es gibt auch die Möglichkeit, die Fritz-Box mit einem echtem IPtables-Portfilter nachzurüsten. Aber hier kein Thema.)

Nicht erfasst werden im GUI der Portweiterleitung diese Ports, die nicht ins private Netz weitergeleitet, sondern direkt auf der Box benötigt werden. Und einer davon ist eben der sip-Port 5060.
Und dass AVM dieses verschweigt, ist ebenso Blödsinn. Niemand verschweigt, dass es sich bei der Fritz-Box um ein Gerät handelt, welches auch VOIP beherrscht. Ganz im Gegenteil, damit wird ja auch intensiv geworben.


Keine Ahnung, was die da verdrahtet haben, aber ich möchte kein Risiko eingehen.
Gegen "keine Ahnung" hilft "Informieren"!
Tipp: http://www.ip-phone-forum.de/
Trotzdem: Kein Risiko eingehen wollen ist schon mal eine gesunde Grundeinstellung!


Zum Thema Betriebssystem ausspähen dachte ich auch eher an den offenen ssl-Port. Da gehen laufend versuchte Anmeldungen von Linux-Systemusern ein.
Unklar.
Meinst du einen offenen ssl-Port auf der Fritz-Box oder auf dem Betriebssystem eines deiner Rechner im eigenen Netz? Beide musst du bewusst geöffnet haben. Auf der Box, indem du Ferwartung zulässt, auf deinem Rechner innerhalb des eigenen Netzes indem du eine Portweiterleitung auf der Box zu diesem Rechner eingerichtet hast, und auf dem Rechner einen SSL-Server (https usw.) betreibst.
Oder meinst du nicht ssl, sondern ssh? Auch hier trifft das o.g. voll zu.
Woher weißt du, dass es "Linux-Systemuser" sind, die sich da anmelden wollen?
Aber sei es wie es ist. Wenn du bewusst einen Port öffnest, dann musst du mit diesem "Rauschen des Internet" leben. Das ist eben so.
(Das Absichern eines SSL- oder auch SSH-Servers ist hier nicht das Thema.)

Warum du den SIP-Port sperren willst (auch wenn du vielleicht selbst kein VOIP machen willst) ist mit unklar.


... aber trotzdem schöner, wenn keiner von außen das Betriebssystem erkennt.
Also ich schäme mich meines Betriebssystems nicht.

MfG Peter

Warum du den SIP-Port sperren willst (auch wenn du vielleicht selbst kein VOIP machen willst) ist mit unklar.
Ich habe an zwei verschiedenen Standorten eine FritzBox Fon WLAN und am anderen eine FritzBox Fon WLAN 7113 laufen.
Nur die FritzBox Fon WLAN hat den geöffneten Port 5060, nicht die andere. An beiden läuft VOIP, beide haben das selbe Nutzungsprofil.
Da mir nicht ganz klar ist, warum dieser Port bei der einen offen ist und bei der anderen nicht, möchte ich ihn lieber geschlossen haben.


Gegen "keine Ahnung" hilft "Informieren"!
Da hast Du Recht. Die Überschrift mit dem "unbekannten Port" war da wohl mißverständlich, weil ich unbekannt so meinte, daß mir diese Öffnung des Ports nicht bekannt war. Der von Dir genannte Link ist empfehlenswert, da bin ich auf meiner Googelsuche auch hängen geblieben.
Die von mir erwähnte "Verdrahtung" war so zu verstehen, daß im Auslieferzustand noch der Port 8089 offen war, weshalb der Provider da etwas firmwaremäßig hätte machen konnen. (Gesetzl. Vorgaben der Überwachung o.ä.)


Also ich schäme mich meines Betriebssystems nicht.
Ich mich auch nicht, weder meines Privatlebens noch meines Betriebssystems.
Aber geht das irgendwen was an?

M.f.G. mechanicus

Guck dann halt mal hier nach: (...)
Prima, herzlichen Dank! Das kannte ich noch nicht! Ich denke, damit bekomme ich es hin.

M.f.G. mechanicus

Die von mir erwähnte "Verdrahtung" war so zu verstehen, daß im Auslieferzustand noch der Port 8089 offen war, weshalb der Provider da etwas firmwaremäßig hätte machen konnen. (Gesetzl. Vorgaben der Überwachung o.ä.)

Bei dem offenen Port 8089 handelt es sich um TR-069, auch "CPE WAN Management" oder "Automatische Einrichtung durch den Dienstanbieter" genannt.
Dies ist für den Provider eine kostengünstige Möglichkeit, u.a. dem unbedarften Nutzer bei der Konfiguration seines Routers zu helfen. Kaum einer der "Normalnutzer" (DAU / ONU) ist heute noch in der Lage einen Router fachgerecht zu konfigurieren. Hier unterstützen die Provider mit dem "Startcode". Einmal eingeben - und der Router ist richtig konfiguriert. Und jeder Nutzer, der in der Lage ist sich mit der GUI zu befassen, kann diese Option deaktivieren.
Über die Einschätzung der Sicherheit dieses Zuganges kannst du dich zum Bsp. bei Wikipedia informieren.

Mit den von dir erwähnten "Gesetzl. Vorgaben der Überwachung" hat das absolut nichts zu tun. Sollte dein Router wirklich eine "Wolfgang-Schnittstelle" besitzen, so wirst du diese kaum per GUI abschalten können.

Und nebenbei: Wir helfen im IP-Phone-Forum auch Nutzern, die ihre Fritte kaputtgeflasht oder kaputtkonfiguriert haben. Nur Mut ... .

Mit den von dir erwähnten "Gesetzl. Vorgaben der Überwachung" hat das absolut nichts zu tun. Sollte dein Router wirklich eine "Wolfgang-Schnittstelle" besitzen, so wirst du diese kaum per GUI abschalten können.

Ich weiß auch nicht, warum ich immer so "grundlos" mißtrauisch bin. :rolleyes:

Vielen Dank! mechanicus

Meine Theorie: sollte es den "Wolfgang-Port" wirklich geben wird er wohl so implementiert sein dass man ihn mit einem einfachen Portscan nicht findet.. wäre zu auffällig ;-)

Aber wenn du sagst dass in der einen Fritte der Port "offen" war und in der anderen nicht, falls du den Grund herausfinden solltest wäre das schon interessant.

Bei meiner Fritz Box war ich platt dass Port Scans von außen sogar offene Ports als geschlossen meldeten... die Lösung: die Fritte hat eine Art "fail2ban" Mechanismus: wenn sie einen Portscan entdeckt blockt sie anscheinend alle Ports für diese Adresse...

Interessehalber: wie hast du den "offenen Port" überhaupt entdeckt ?

Wenn du Voip nicht mit der Fritte selbst machst könntest du die SIP clients in der Fritzbox deaktivieren.. das wäre bestimmt ein Sicherheitsgewinn...

@mechanicus

Ich weiß es (bei dir) auch nicht.
Bei mir ist es ganz einfach eine so genannte "Berufsparanoia". Ich verdiene einfach schon zu lange Mein Geld durch eine Tätigkeit im Bereich der IT-Sicherheit.

ABER: Ich habe gelernt, Risiken einzuschätzen und zu bewerten. Am Ende dieser Bewertung kommt das "kalkulierbare Restrisiko" heraus. Das ist das Risiko, mit dem der Anwender bereit ist zu leben. Dieses Risiko gibt es immer, und ist auch immer im Zusammenhang mit entstehenden Kosten für eine noch weitere Verringerung zu betrachten.

Und genau deshalb bin ich eben (privat!!) zufrieden mit der Sicherheit meiner zugegebenermaßen arg modifizierten Fritz-Box (freetz). Klar habe ich auch TR-096 abgeschaltet, aber weniger aus Angst vor meinem Provider oder gar "Wolfgang", als vielmehr weil ich mir selbst eine gute Konfiguration zutraue. Und natürlich auch aus Prinzip. Klar habe ich den SSH-Port offen, aber selbstverständlich nur mit einen schönen langen asymm. Schlüssel und nicht etwa mit Benutzername und Passwort. Und auch mein vsftp-Server auf der Box funktioniert nur mit SSL, usw.

Und nochmal:
Ich begrüße es, wenn sich jemand über die Sicherheit seiner Systeme Gedanken macht. Und ich werde auch jeden im Rahmen meiner Zeit und Möglichkeiten unterstützen. Aber bitte immer schön alles im Rahmen betrachten und das "kalkulierbare Restrisiko" nicht vergessen. Sonst: siehe oben :-)

MfG Peter

(...) Aber bitte immer schön alles im Rahmen betrachten und das "kalkulierbare Restrisiko" nicht vergessen. Sonst: siehe oben :-)

Da hast Du natürlich völlig Recht, Peter. Aber ich verdiene mein Geld nicht in der PC-Branche, sondern arbeite im Gesundheitswesen und nutze EDV zur Verwaltung und Abrechnung.
Deshalb "kostet" es mich Zeit, die Risiken eines nicht gewollt offenen Ports abzuschätzen. Einfacher ist es, ohne Risikoabwägung ihn zu schließen. Dachte ich zumindest. ;)

Mit Freetz werde ich mich wohl auch beschäftigen, kannte ich bisher nicht.

M.f.G. mechanicus

Interessehalber: wie hast du den "offenen Port" überhaupt entdeckt ?

Mit
# nmap -A <dyndns-Adresse>

M.f.G. mechanicus

Seltsam.. mit nmap finde ich bei mir wegen des fail2ban Mechanismus keine offenen Ports.

Wenn du die FritzBox kommerziell einsetzst würde ich von Freetz eher die Finger lassen... wenn da was schiefgeht stehst du alleine...

=> Wenn "Freetzen" würde ich eine Ersatzbox mit der Original Firmware bereithalten die der Kunde im Notfall einfach einstöpseln kann.

Volle Zustimmung!
Ich rate sogar jedem (speziell denen, die noch nie was mit Linux am Hut hatten) die Finger von derartigen Modifikationen zu lassen, bevor sie nicht sehr sicher sind, was sie tun. (Dann aber macht es echt Spaß!)
Ich hatte freetz ja auch nur in meinen eigenen persönlichen Bemerkungen erwähnt - und wollte keinesfalls damit irgend welche "Werbung" machen.

OK, jetzt werden wir so langsam [OT]

MfG Peter

Seltsam.. mit nmap finde ich bei mir wegen des fail2ban Mechanismus keine offenen Ports.
Ist fail2ban denn in der FritzBox installiert? Ich kenne das so, daß fail2ban Logdateien auf Fehlanmeldungen überwacht und die betreffenden Adressen dann für eine Zeit sperrt.
Ich wüsste aber nicht, in welcher Logdatei nmap da seine Spuren hinterläßt. :confused:


=> Wenn "Freetzen" würde ich eine Ersatzbox mit der Original Firmware bereithalten die der Kunde im Notfall einfach einstöpseln kann.
Keine Bange, ich weiß schon, was ich tu. 9 Jahre OS2 und 10 Jahre Linux hinterlassen einfach Spuren.:)

M.f.G. mechanicus

Ich weiß nicht ob es fail2ban ist.. ich war nur überrascht dass bei Scans von außen auf meiner 7170 selbst Ports die ich geöffnet hatte als "geschlossen" gemeldet wurden...

Bei meinem Hausarzt haben Rechner die mit Patientendaten in Berührung kommen keinen Netzanschluss. Das Sicherheitskonzept gefällt mir sehr ;-)

Bei meinem Hausarzt haben Rechner die mit Patientendaten in Berührung kommen keinen Netzanschluss. Das Sicherheitskonzept gefällt mir sehr ;-)

Das geht in einer straff organisierten Praxis nicht, schon gar nicht abrechnungstechnisch.
Ist aber völlig o.t., eventuelle Sicherheitskonzepte möchte ich auch nicht hier erörtern.

M.f.G. mechanicus

Das geht in einer straff organisierten Praxis nicht, schon gar nicht abrechnungstechnisch.
Ist aber völlig o.t., eventuelle Sicherheitskonzepte möchte ich auch nicht hier erörtern.

M.f.G. mechanicus

Meinst du ich hätte ihm nicht sagen dürfen dass ich ihm seinen Kopf zwischen die Füße lege falls meine Patientendaten jemals abhanden kommen sollten ? :confused:

Meinst du ich hätte ihm nicht sagen dürfen dass ich ihm seinen Kopf zwischen die Füße lege falls meine Patientendaten jemals abhanden kommen sollten ? :confused:
Die kommen ja nicht abhanden, sie sind dann halt nur wo anders ... :D

M.f.G. mechanicus