jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
Dieses Portverschieben bringt imho keine "echte" zusätzliche Sicherheit (das Prinzip heisst Security by Obscurity). Denn damit wirst du bestenfalls die Scriptkiddies und die Bots, welche ganze Adressbereiche scannen, los. Und Scriptkiddies würde ich bei einem sauber konfigurierten System (d.h. gute Passworte und nur möglichst wenig freigeben) als nicht wirklich gefährlich betrachten. Das Problem ist bei diesem Verstecken, dass du damit einen echten Angriff ned abwehren kannst. Wenn jemand weiss was er tut und etwas gegen dich hat, dann wird er mit Sicherheit jeden Port scannen und damit auch den versteckten Port finden. Ich habe es mal bei mir gemessen und 65535 TCP-Ports in etwas über 6 Sekunden gescannt.
Viel wichtiger als der verwendete Port ist die Konfiguration der Anwendung dahinter. Wenn du z.B. den Port des DSM auf 65534 setzt und dafür ein nur 3-stelliges admin PW verwendest, dann hast du eigentlich sogar weniger Sicherheit. Bei einem 12-stelligen PW und AutoBlock im DSM, kannst du imho den Port bedenkenlos so lassen wie er ist (natürlich nur wenn das PW nicht in einem Wörterbuch steht ;-) )
Wenn du wirklich wichtige Dienste von aussen zugänglich haben willst, solltest du dir mal VPN angucken. OpenVPN hat z.B. den Vorteil, dass die gesamte Kommunikation via einem UDP Port erfolgt. Und es ist bei UDP fast nicht möglich mittels Portscan zuverlässig festzustellen ob der Port offen, gefiltert oder geschlossen ist. Denn im Gegensatz zu TCP sind bei UDP keine Antwortpakete vorgeschrieben. Hintergrund: Bei TCP Verbindungen schickt der Client ein Paket (SYN) mit der Bitte eine Verbindung öffnen zu dürfen an den Server. Dieser antwortet - wenn der Port offen ist - mit einem SYN/ACK. Darauf hin muss der Client den Empfang des SYN/ACK mittels eines ACK Pakets bestätigen. Bei TCP Scans kann man also einfach SYN Pakete an jeden Port senden und dann die Antworten auswerten: kommt ein SYN/ACK ist der Port offen und wenn ein TCP-RST kommt ist der Port zu. Und wenn nichts kommt, dann dürfte mit ziemlicher Sicherheit eine Firewall laufen
Viel wichtiger als der verwendete Port ist die Konfiguration der Anwendung dahinter. Wenn du z.B. den Port des DSM auf 65534 setzt und dafür ein nur 3-stelliges admin PW verwendest, dann hast du eigentlich sogar weniger Sicherheit. Bei einem 12-stelligen PW und AutoBlock im DSM, kannst du imho den Port bedenkenlos so lassen wie er ist (natürlich nur wenn das PW nicht in einem Wörterbuch steht ;-) )
Wenn du wirklich wichtige Dienste von aussen zugänglich haben willst, solltest du dir mal VPN angucken. OpenVPN hat z.B. den Vorteil, dass die gesamte Kommunikation via einem UDP Port erfolgt. Und es ist bei UDP fast nicht möglich mittels Portscan zuverlässig festzustellen ob der Port offen, gefiltert oder geschlossen ist. Denn im Gegensatz zu TCP sind bei UDP keine Antwortpakete vorgeschrieben. Hintergrund: Bei TCP Verbindungen schickt der Client ein Paket (SYN) mit der Bitte eine Verbindung öffnen zu dürfen an den Server. Dieser antwortet - wenn der Port offen ist - mit einem SYN/ACK. Darauf hin muss der Client den Empfang des SYN/ACK mittels eines ACK Pakets bestätigen. Bei TCP Scans kann man also einfach SYN Pakete an jeden Port senden und dann die Antworten auswerten: kommt ein SYN/ACK ist der Port offen und wenn ein TCP-RST kommt ist der Port zu. Und wenn nichts kommt, dann dürfte mit ziemlicher Sicherheit eine Firewall laufen
