• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[erldgt] Ports für ausgehende Verbindungen sperren sinnvoll?

blubber

Newbie
Hallo,

ist es sinnvoll bei einer Firewall alle nicht benötigten Ports auch für ausgehende Daten zu sperren? Jemand versucht mir nämlich klar zu machen, dass dem nicht so sei. Falls es wirklich nicht sinnvoll sein sollte, würde ich mich über eine verständliche Erklärung freuen.

MfG, Jan
 

Grothesk

Ultimate Guru
Was willst du damit verhindern?
Wenn du einer Software nicht vertraust, dann setze sie nicht ein. Bei OpenSourceSoftware ist es ja quasi ausgeschlossen, dass hinter deinem Rücken Schmuh gemacht wird (Zumindest in der Theorie). Es kann ja jeder in den Code schauen.
Bei ClosedSource musst du dem Hersteller vertrauen. Wenn du das aus irgendwelchen Gründen nicht kannst, warum willst du dann trotzdem seine Software einsetzen?

Und das 'nach Hause telefonieren' kann man ohnehin nicht wirklich verhindern. Wenn eine Anwendung raus will, dann schafft die das auch. Da hilft eine dieser PersonalFirewalls gerade mal gar nichts.
 
OP
B

blubber

Newbie
Es geht ja auch nicht darum explizit eine bestimmte Anwendung an der Kommunikation zu hindern.

Mein Gedankengang ist eher, dass das Sperren der Ports ja nicht schadet auch wenn es nur einen minimalen Zugewinn an Sicherheit bringt.

Auch wenn man bei der Absicherung eines PCs so vorgeht, dass man zuerst alles verbietet und dann nur das Benötigte freigibt, würde man doch zu dem Ergebnis gelangen, dass alle nicht benötigten Ports (auch für ausgehende Daten) gesperrt sind, oder?
 
OP
B

blubber

Newbie
Gibt es denn irgendeinen Grund nicht benötigte Ports für ausgehende Verbindungen nicht zu sperren? Mir fällt beim besten Willen keiner ein. :?
 

Grothesk

Ultimate Guru
Dann mach es doch, wenn du dich dann sicherer fühlst.
Frage am Rande: Wie willst du dabei vorgehen?
 

Gimpel

Guru
Es ist insofern nicht sinnvoll, als dass die meisten Programme ausgehend wahllos ports benutzen.. Schau dir einfach mal die Ausgabe von netstat -pta an.

zB wenn ich forums.gentoo.org lade:
Code:
tcp   0    909 localhost:60828   dove.gentoo.osuosl:http VERBUNDEN   21165/xulrunner
Das kommt vom firefox, und beim selben Aufruf hat er noch 10 andere Ports aufgerissen. ICQ funkt irgendwo in 40k Portbereich rum, IRC im 39k Bereich..

Blockst du jetzt ausgehend, weiß das ja die Applikation nicht, versucht zu connecten, Firewall rejectet ausgehend, und du kannst nicht browsen.

Kurzum ist es nicht nur nicht sinnvoll, ausgehend zu blocken, sondern völlig bekloppt - da käme dann ein Proxy ins Spiel.
 

stka

Guru
Sinn macht das nur auf einer Firewall die ein Netz schützen soll. So kann an einem zentralen Punkt sicher stellen, das keine Rechner bestimmte Ports erreichen kann. So kann man z.B. den Port für news-Server sperren.
 

Asem

Newbie
ich kann stka nur zustimmen: sinn macht das vor allem auf einer perimeter firewall eines netzwerkes. dann kannst du die user zwingen, den HTTP proxy zu nutzen oder verhindern, durch zugriffe auf private pop3 postfächer den virenscanner auf dem mailgateway zu umgehen.

auf einem einzelnen rechner kann es dann sinnvoll sein, wenn du dort dieselben mechanismen gegenüber (unprivilegierten) mitbenutzern anwenden möchtest (z. b. adult-filter für die kids).

@Gimpel: natürlich filtert man ausgehend auf den entfernten port, in deinem beispiel also http (80/tcp). die quellports sind (fast) immer dynamisch, und da ist ICQ auch nicht auf 40k und IRC nicht auf 39k festgelegt.

-- asem
 

Gimpel

Guru
Asem schrieb:
@Gimpel: natürlich filtert man ausgehend auf den entfernten port, in deinem beispiel also http (80/tcp). die quellports sind (fast) immer dynamisch, und da ist ICQ auch nicht auf 40k und IRC nicht auf 39k festgelegt.
OK das ist schon richtig.
Gimpel schrieb:
da käme dann ein Proxy ins Spiel.
Nur ist das IMHO Overkill im Heimnetzwerk.
 
OP
B

blubber

Newbie
Hatte leider einige Tage keine Zeit hierrein zuschauen und inzwischen hat sich das Thema eigentlich auch erledigt.

@Grothesk: Mit einer Firewall/einem Paketfilter sollte das doch gehen? (unter Linux wäre das wohl iptaples)

@Gimpel: Dann würde ich solche Portbereiche nicht als "nicht benötigt", sondern als "benötigt" deklarieren. Bei einem Rechner von dem z.B. nur HTTP genutzt werden soll, werden solche Ports ja wohl nicht benötigt. Genau wie auf einem Webserver, der nur HTTP und SSH anbietet.

@Asem: Hat sich auch eher um eine theoretische Frage gehandelt.
 
Oben