Fiber Internet/VPN/Bridge Modus/DMZ

Manitu · 2024-12-14T19:37:10+00:00

Sunrise community - customers help other customers with topics related to television, Internet, telephone and mobile. Register now!

Xydocq

Manitu
Ein externer Port-Scan zeigt nun dass die Ports UDP 500, UDP4500 und alle anderen Ports die weiter geleitet werden offen sind. Unter Verwendung der DMZ würde der Portscan kein Resultat zeigen.

VPN funktioniert bei mir auch im DMZ Betrieb problemlos. Kann aber sein, dass dies Protokoll-abhängig ist.

Manitu

Hi Xydocq

danke, interessanter Punkt. Worin unterscheidet sich denn nun der DMZ Modus wirklich gegenüber einer Portweiterleitung von 0-65′535?
Und warum ist ein Portscan nicht erfolgreich beim DMZ Modus? Im Endeffekt lauscht ja auch ein Gerät (nämlich mein interner Router) auf diesen zwei Ports und reagiert darauf.

pato

Manitu Sollte eigentlich keinen Unterschied ausmachen, ob du händisch alle Ports weiterleitest oder dem DMZ Modus verwendest.
Ein Unterschied ist jedoch, im DMZ Modus kann nur noch dieses eine eigene Gerät mit dem Internet kommunizieren.

Xydocq

hallo Manitu
ich habe keine Ahnung worin der Unterschied besteht und weshalb der Port Scan bei DMZ nicht erfolgreich ist. Ich weiss nur das es so ist.

Was du mit der Portweiterleitung machst nennt sich Router-Kaskade. Hatte ich so auch einmal in Betrieb, war aber unglücklich weil der VPN-Router die Port-Weiterleitungen benötigte.

Ich habe hier von Bridge Modus zurück auf DMZ gewechselt. Dies weil gewisse Dinge auf der Connect Box 3 nur im Router Modus erreichbar sind. Im Router Modus kann ich auch direkt an der Connect Box 3 testen wenn mal was sein sollte.

Des Weiteren kann ich so auf meinem Router auch die eigenen DNS Server eintragen, da jetzt eine Statische Verbindung aufgebaut wird. Bei Bridge Mode ging nur die Option DHCP und da bezieht mein Router die DNS von Sunrise. Die DNS Server für die Clients wurden in den VLAN Einstellungen angepasst, und waren davon nicht betroffen.

Was die Download und Upload-Geschwindigkeit betrifft, es ist kein nennenswerter Unterschied festzustellen. Auf Grund von UTM-Einstellungen schaffe ich auf meinem Router nur so um die 850 - 900Mbit/s. Zudem ist mein LAN auf 1Gbit/s ausgelegt.

Manitu

Danke pato Xydocq

ist daher der DMZ-Modus zu bevorzugen gegenüber den Port-Forwarding?

Die von dir genannten Themen (Geschwindigkeit, DNS, DHCP) sehe ich als unbedeutend, den Bridge Modus gibts ohnehin nicht.

Es stellt sich daher hauptsächlich die Frage der Sicherheit. Also ob arme interne Router lediglich den Traffic von 2 Ports abkriegt, oder dann alle (DMZ-Modus) aber dafür aus unbekanntem Grund die offenen Ports “versteckt” werden können…

Xydocq

Manitu wenn ich etwas ohne Port-Forwarding lösen kann bevorzuge ich das.

Die einzigen Ports welche ich nicht wegbekomme vom Forwarding sind die 80 und die 443 für meinen eigenen Web-Server. Trotz Port Forwarding werden diese von meiner Firewall überwacht und suspekter Traffic wird dann geblockt.

Angriffe auf die VPN Ports waren mit den offenen Ports deutlich höher. Es gab da so um die 10 Alarme am Tag. Seit dem Abschied von der Router Kaskade sind die jetzt runter auf 2 - 3 Alarme die Woche.

Manitu

Ich stimme dir zu, nur verstehe ich das ganze halt nicht. Der DMZ Modus klingt auch nach Port-Forwarding, und zwar aller Ports. Vielleicht hat da ja jemand noch eine Erklärung und eine Empfehlung?

Manitu

Hmm, habe auf den DMZ Modus gewechselt. VPN funktioniert weiterhin (keine Überraschung).

pentest-tools.com meldet jedoch weiterhin die zwei offenen Ports. Die Sache mit dem Portscan kann ich somit nicht bestätigen.

Xydocq

Manitu danke für die Info.

bei mir hat pentest-tools.com nur bei UDP 500 einen offenen Port angezeigt. Andere Ports die auch für VPN verwendet werden, erscheinen als geschlossen.

dsbg

Wäre sehr interessant zu erfahren was die Firewall, im DMZ Modus, genau macht. Ich bin im Bridge Modus selber verantwortlich, unerwünschte Subjekte abzuhalten. Aber mein Server hinter der Router Firewall, ob nun ein- oder ausgeschaltet, kann bestimmte Funktionen nicht erfüllen.

Leider finde keinerlei Informationen zur Firewall der Connect Box 3.

Gruss Dani

Xydocq

hallo dsbg

Die Firewall macht auch bei DMZ genau das, was sie im Router Modus macht.

DMZ auf der Connect Box 3 und manch anderen Routern bezeichnet mit DMZ einen einzelnen Host. Streng genommen ist das keine DMZ. Bei der Connect Box 3 werden an diesen Host alle UPD- und TCP-Ports weitergeleitet sofern sie nicht separat einem anderen Host zugewiesen werden. Oftmals wird DMZ als einfach einzurichtende Weiterleitung zur eigenen Firewall/Router benutzt.

Eine wahre DMZ wäre vom Ursprungsnetzwerk getrennt. Dies ist bei der Connect Box 3 nicht der Fall.

dsbg Aber mein Server hinter der Router Firewall, ob nun ein- oder ausgeschaltet, kann bestimmte Funktionen nicht erfüllen.

Was für Funktionen sind dass denn?

dsbg

Ich habe seit einigen Jahren ein DNS am laufen auf meinem Server. Dieser ist als Master eingetragen, da ich aber Dynamische IPv4 habe, ist der nur als IPv6 ersichtlich. Meine Secondaries machen den Zonendownload über v6.

Ebenso die Mails, annehmen geht über DynIP, aber nicht versenden. Darum geht das via ein Gateway auf den Server eines Freundes mit Fixer IP.

Den IPv6 Traffic habe ich bis anhin über tunnelbroker.net betrieben. Dieser bietet aber nur 6to4 an, dies bedingt, dass Protokoll 41 übertragen und nicht gefiltert wird.

Mit der Box in Bidged Mode hat das immer funktioniert, nur jetzt mit der Umstellung auf Fibre gibts das nicht mehr und das NAT, bzw die Firewall oder was auch immer da filtert, blockiert meinen Tunnel.

inzwischen habe ich einen neuen Tunnelbroker gefunden der ein anderes Protokoll verwendet, somit hat sich die Lage entschärft, DNS tut wieder und auch die Mailbrücke tut wieder.

Mir stinkts einfach, nicht zu wissen warum und wozu.

Gruss Dani

GrandDixence

Port-Scan zeigt nun dass die Ports UDP 500, UDP4500

Ein klassischer Portscan auf UDP-Serverports funktioniert nicht. Mit einem klassischen Portscan können nur offene TCP-Serverports zuverlässig erkannt werden. UDP fehlt schlicht der Handschlag (Handshake) beim Verbindungsaufbau.
https://de.wikipedia.org/wiki/Transmission_Control_Protocol#Verbindungsaufbau

Wenn ein Portscan auf UDP-Serverports funktionieren soll, muss die Portscan-Anwendung Kenntnisse von dem an diesem UDP-Serverport laufenden Serverdienst haben und diesen Serverdienst auf Anwendungsebene mit der korrekten Anwendungssprache ansprechen (application layer). Wenn dieser Serverdienst nicht mit der richtigen “Anwendersprache” angesprochen wird, antwortet dieser Serverdienst nicht.

Nur über die TCP-/UDP- oder ICMP-Antwort vom Server kann die Portscan-Anwendung sicher feststellen, ob hinter diesem Serverport eine Serveranwendung auf ankommende Datenpakete horcht.

Alternativ kann die Portscan-Anwendung über das unterschiedliche Verhalten bei geschlossenen zu offenen Serverport vermuten, hinter welchem Serverport sich eine aktive Serveranwendung sich versteckt. Dies ist der Fall, wenn die Firewall auf Anfragen an geschlossene Serverports mit einer ICMP-Mitteilung “Destination Unreachable” mit dem Code “Ziel-Port nicht erreichbar” antwortet.
https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol

Und die mit einer DROP-Richtlinie konfigurierte Firewall antwortet nicht auf alle ungültigen IP- und UDP-Datenpakete mit einer passenden ICMP-Mitteilung. Die mit DROP-Richtlinie konfigurierte Firewall verwirft einfach stillschweigend alle ungültigen und nicht gestatteten IP-Datenpakete.

Angriffe auf die VPN Ports waren mit den offenen Ports deutlich höher.

Mit IKEv2 realisierte VPN-Tunnellösungen sind serverseitig mit dem sogenannten “IKE Cookie” vor Überlastungsangriffe (DoS) zu schützen. Siehe RFC 8019, Kapitel 4.3:
https://datatracker.ietf.org/doc/html/rfc8019#page-8

Auf TCP-basierende Serverdienste können von der SPI-Firewall mit dem “SYN Cookie” vor Überlastungsangriffe (DoS) geschützt werden:
https://de.wikipedia.org/wiki/SYN-Cookies

Aber mein Server hinter der Router Firewall

Da öffentlich nicht bekannt ist, ob das Kabelmodem über eine korrekt konfigurierte und sicher funktionierende SPI-Firewall verfügt, empfiehlt es sich aus Sicherheitsgründen, auf allen aus dem Internet erreichbaren Servern eine SPI-Firewall zu betreiben. Alle modernen Server-Betriebssysteme (Windows, Linux, BSD) enthalten eine gute SPI-Firewall.
https://www.security-insider.de/was-ist-stateful-packet-inspection-a-960046/