ArrisTG3442de offene Ports

Hier dreht sich alles um die aktuell von Vodafone Kabel Deutschland verschickten Kabelrouter der Marken Arris, Technicolor, Compal, Sagemcom und Hitron. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf diese Produkte zurückzuführen ist!
Forumsregeln
Forenregeln
hanneswilke
Newbie
Beiträge: 4
Registriert: 21.10.2019, 11:15

ArrisTG3442de offene Ports

Beitrag von hanneswilke »

Hallo,

habe Red Internet 500 und den Arris TG3442DE und eine Verständnisfrage zum Thema Sicherheit.


Um von zuhause aus mit sensiblen Kundendaten arbeiten zu können, hat mein Arbeitgeber mich gebeten, einige Sicherheitschecks durchzuführen. Man hat mir hierfür einen Portscanner empfohlen, um sicherzustellen, dass alle Ports geschlossen bzw gefiltert sind. Bei meinen Endgeräten im Heimnetzwerk ist alles soweit klar. Wenn ich allerdings die 192.168.0.1 für den Arris TG3442de scanne, sehen die Ergebnisse wie folgt aus:

nmap -O 192.168.0.1
Starting Nmap 7.70 ( https://nmap.org ) at 2019-10-21 11:47 CEST
Nmap scan report for easybox.local (192.168.0.1)
Host is up (0.0083s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp filtered telnet
53/tcp open domain
80/tcp open http
MAC Address: F8:2D:C0:2B:51:21 (Unknown)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop


Ports 80 und 53 werden von jedem Scanner, den ich probiert habe, als offen angezeigt. Als Services sind immer PHP Webserver und DNSMAQ angegeben. Ich betreibe keinen Webserver oder ähnliches. Der entsprechende udp-scan liefert übrigens ebenfalls offene Ports (z.B. 5353/udp open service:zeroconf)

Ich habe keine besonderen Einstellungen im Routermenü vorgenommen, nur überprüft, dass die Firewall an ist. Habe auch kaum Ahnung von Netzwerktechnik und dachte mir vielleicht deshalb, dass unsere dynamische IP, von der mein Router übers Netz ansprechbar ist, wenigstens diese Ports als gefiltert oder geschlossen anzeigt, aber dort hatte ich die gleichen Ergebnisse. Ich habe auch versucht, mich in die Thematik einzulesen, aber es gibt bzgl offener Ports so viele widersprüchliche Infos (von "Port 80 muss IMMER offen sein, sonst man nicht ins Internet" über "Port 80 darf von außen nur offen sein, wenn ein eigener Webserver betrieben wird" bishin zu "offene Ports sollte es keinen einzigen geben, sie müssen zumindest gefiltert sein"). Schwierig, sich einzulesen als Laie. Vielleicht kann mir jemand eine Seite empfehlen, auf der das wirklich gut erklärt und einfach erklärt wird, denn der technische Support von Vodafone konnte mir auch nicht helfen, sondern ist pampig und laut geworden, als ich versucht habe, mein Anliegen zu erklären.

Naja, und solange ich nicht darlegen können, warum diese offenen Ports von außen erreichbar sind.

Vielen Dank im Voraus!

spooky
Moderator
Moderator
Beiträge: 10121
Registriert: 02.06.2006, 11:20
Wohnort: Wolfsburg

Re: ArrisTG3442de offene Ports

Beitrag von spooky »

Der tcp Port 80 muß schon offen sein, sonst kann man nicht surfen.
Und Port 53 ist zur Namensauflösung zuständig.

Also alles im grünen Bereich, meiner Meinung nach

Edit: und warum musst du deinem Arbeitgeber darlegen warum diese beiden Ports offen sind?
Die IT sollte schon erkennen, dass diese beiden Ports nötig sind
GigaTV 4K
TV Vielfalt HD
TV Vielfalt HD extra
Sky Komplett
Internet & Phone 1000/50
FritzBox 6660 cable

hanneswilke
Newbie
Beiträge: 4
Registriert: 21.10.2019, 11:15

Re: ArrisTG3442de offene Ports

Beitrag von hanneswilke »

Danke, das ging fix.

Über Port 80 lese ich leider nur widersprüchliches und dachte ich hätte die Nmap-Anweisungen soweit verstanden, dass der Port im Scanergebnis zumindest als "gefiltert" angezeigt werden sollte:

https://nmap.org/man/de/man-port-scanning-basics.html

und dass jeder "offene" Port bei NMAP ein Sicherheitsrisiko darstellt, dass es zu vermeiden gilt. Deine Einschätzung habe ich allerdings auch schon oft gelesen und sie erscheint mir auch logisch. Zumindest wenn ich eine http-seite aufrufe, müsste der Port kurz von beiden Seiten offen sein. Aber beim Arris und der dynamischen IP sind diese beiden Ports IMMER offen. Noch schlimmer sieht es bei den UDP-Portscans aus. Auf meinen Linux-Engeräten sind diese Ports hingegenen alle gefiltert oder geschlossen.

Der technische Support ist deswegen richtig böse geworden und wollte mir unterstellen, dass ich gar nicht den Arris-Router benutze, sondern einen eigenen.

spooky
Moderator
Moderator
Beiträge: 10121
Registriert: 02.06.2006, 11:20
Wohnort: Wolfsburg

Re: ArrisTG3442de offene Ports

Beitrag von spooky »

Bzw. Hier gibt es einen Online Check von Heise:
https://www.heise.de/security/dienste/N ... -2114.html

Da steht bei mir in der Tabelle dann, das Port 80 gefiltert ist und die 53 auch
GigaTV 4K
TV Vielfalt HD
TV Vielfalt HD extra
Sky Komplett
Internet & Phone 1000/50
FritzBox 6660 cable

Flole
Kabelfreak
Beiträge: 1945
Registriert: 31.12.2015, 01:11

Re: ArrisTG3442de offene Ports

Beitrag von Flole »

spooky hat geschrieben:
21.10.2019, 12:11
Der tcp Port 80 muß schon offen sein, sonst kann man nicht surfen.
Leider völliger Blödsinn was du hier schreibst, zumindest in diesem Zusammenhang.....

Es wurde ja ein Portscan auf den Router selbst aufgeführt, der hat Port 80 offen für sein Webinterface und Port 53 für seinen DNS Server. Die müssen für das normale surfen aber nicht offen sein sondern nur für das Webinterface bzw. den lokalen DNS. Von extern muss die Ports auch nicht offen sein, wie du schon korrekt erkannt hast sind sie das auch nicht denn sie sind filtered (heißt so viel wie geschlossen bzw. macht keinen Unterschied dazu, der Unterschied ist für jemanden der behauptet keine Ahnung davon zu haben zumindest egal).

Die Ports müssen nach außen "offen" sein, also es muss Traffic der in Richtung Internet zu diesem Ports geht durchgeleitet werden (und das sind bei jedem normalen, nicht verkonfiguriertem Router immer alle Ports ohne Ausnahme), aber das kann man mit nmap (zumindest so wie hier versucht) gar nicht überprüfen, rein theoretisch würde man also mit 0 offenen Ports in nmap bei Scan der Router IP hinkommen und trotzdem würde alles funktionieren.

hanneswilke
Newbie
Beiträge: 4
Registriert: 21.10.2019, 11:15

Re: ArrisTG3442de offene Ports

Beitrag von hanneswilke »

Danke Spooky, den hatte ich auch schon einmal gemacht. Bei mir wird dort die dynamische IP von Vodafone gescannt und ich muss vorher bestätigen, dass ich dazu berechtigt bin. Aber ich kann dir sagen, dass meine Ergebnisse anders aussehen, als bei dir. Wenn ich unsere Dynamische IP in die URL-Adressleiste eingebe, dann komme ich auf die Login-Seite meines Router, allerding kann ich mich dort nicht anmelden. Der Anmeldename ist schon mit "mso" vorgegeben und lässt sich nicht ändern.

Diese Seite wurde mir auch noch zu Port 80 empfohlen:

https://www.grc.com/port_80.htm

Zu der Frage unten im ersten Beitrag:
Mein Arbeitgeber gehört zu einer besonderen Berufsgruppe (wie z.B. Ärzte, Anwälte...) und selbst für mich als Angestellte könnte es strafrechtliche Konsequenzen haben, wenn wegen Fahrlässigkeit meine Verschwiegenheitsverpflichtung verletzte. Für die Buchhaltung wäre es einfach super praktisch, wenn ich das auch mal von zuhause erledigen könnte.

Wir haben einen IT-Fachmann, der unser Netzwerk auf der Arbeit eingerichtet hat. Von ihm hat mein Chef die Ansage, dass ich erst mal grundlegendes bei mir zuhause abchecken soll, bevor er sich das alles nochmal anschaut. Ich möchte das alles so kostengünstig wie möglich halten und vor allen Dingen nicht wie ein Idiot darstehen, der nicht mal so grundlegende Dinge versteht, da bekäme ich gleich ein "Nö"

hanneswilke
Newbie
Beiträge: 4
Registriert: 21.10.2019, 11:15

Re: ArrisTG3442de offene Ports

Beitrag von hanneswilke »

Hallo Flole,

meinst du damit, dass ein Scan mit Nmap prinzipiell nicht funktioniert, solange ich mich in meinem lokalen Netzwerk befinde? Ich dachte, es gibt auch Befehle, mit denen ein externer Nmap-Server versucht, von außerhalb durch meinen Router in mein Heimnetz zu kommen. Ich habe dieses einfache Scanergebnis nur als Beispiel genommen, weil er schnell geht und ich die externe IP (die ich mir ja wahrscheinlich noch mit ancderen VOdafone-Kunden teile) nicht durch anspruchsvolle Scanmethoden belästigen will.

Abraxxas
Insider
Beiträge: 2002
Registriert: 24.08.2010, 21:10
Wohnort: 67117

Re: ArrisTG3442de offene Ports

Beitrag von Abraxxas »

hanneswilke hat geschrieben:
21.10.2019, 11:59
Um von zuhause aus mit sensiblen Kundendaten arbeiten zu können,...
Wie soll das vor sich gehen? Per VPN zum Arbeitgeber oder nimmst du die Daten auf einem Stick mit nach Hause?

Flole
Kabelfreak
Beiträge: 1945
Registriert: 31.12.2015, 01:11

Re: ArrisTG3442de offene Ports

Beitrag von Flole »

hanneswilke hat geschrieben:
21.10.2019, 13:41
meinst du damit, dass ein Scan mit Nmap prinzipiell nicht funktioniert, solange ich mich in meinem lokalen Netzwerk befinde?
Kommt drauf an was du scannen willst, deine externe IP kannst du nicht von intern scannen, da umgehst du einige Firewall Regeln und wirst keine richtigen Ergebnisse erhalten (siehe auch dein Test mit dem Webbrowser, mso ist übrigens der Zugang für den Kabelnetzbetreiber).

Wenn du dir die IP mit anderen Kunden teilst (Dual Stack Lite) dann würdest du mit Eingabe deiner öffentlichen IP(v4) wahrscheinlich nicht auf dem Modem landen (hab ich jetzt nicht überprüft aber wäre logisch), jedenfalls hättest du dann definitiv keine (IPv4) Ports offen.

Befehle um einen externen "nmap-server" zum scannen deines Netzes zu bringen gibt es nicht, es gibt nur diverse Portscanner die man per Webinterface benutzen kann (oder man nutzt eine Mobilfunk oder sonstige Zweitanbindung).

rv112
Fortgeschrittener
Beiträge: 120
Registriert: 01.06.2019, 21:40

Re: ArrisTG3442de offene Ports

Beitrag von rv112 »

Reines Modem und vernünftigen Router dahinter und keine Provider Wunderkiste. Natürlich müssen von außen alle Ports dicht sein, außer evtl. 1-2 für VPN.

Edit: funktioniert der heise.deTest überhaupt? Und werden ausländische IP‘s für den Test genommen bzw. nicht alle Ports gescannt?
33A297A3-D143-441C-B748-79ABDCCA2492.png
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
KabelBW Internet seit 2003

- 2 Play FLY 1000 DS / VDSL 50 DS
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112