Jump to content
Sign in to follow this  
Muelli

Remote Desktop über Port 3389 kommt durch Firewall nach außen durch

Recommended Posts

Hallo Community,

 

haben hier in der Firma einen Draytek Router Vigor 2900G mit Firmware 2.5.6 stehen. Die interne Firewall des Routers ist so konfiguriert, dass alle Outgoing Ports bis auf einige wenige zugelassene wie z.B. Port 80, 53, 110, ... gesperrt sind. Also quasi Withlist Betrieb.

Um so mehr verwunderte es mich, dass ein Rechner aus unserem LAN (Win 2000 Pro) der eine Windows Remote Desktop Verbindng über Port 3389 nach außen herstellen wollte, auch sauber nach draußen durchgekommen ist. Auch der "Active Session Table" im Router zeigte eine aufgebaute Verbindung über Port 3389 an. Nutzt der Remote Desktop irgendwelche anderen speziellen Protokollmechanismen als TCP oder ist dies ein Bug in der Router Firmware?

 

Gruß

Jörg

Share this post


Link to post
Share on other sites

hm komisch, also ich hatte bislang damit keine Problem..

 

Was is wenn du ne Firewall Regel erstellst und Testweise explizit 3389 sperrst?

Share this post


Link to post
Share on other sites

Hi tpk,

 

Was is wenn du ne Firewall Regel erstellst und Testweise explizit 3389 sperrst?

 

ja, nur womit soll das anfangen und womit aufhören. Gibt es vielleicht einen einfachen Portscanner, den ich mal von innen aus dem LAN auf den Router ansetzen kann? Ansonsten habe ich eigentlich auch keine Probleme und der Router hält eigentlich auch gut dicht.

 

Gruß

 

Jörg

Share this post


Link to post
Share on other sites

Hast Du am Ende der Filterliste ein "Deny All" ? Ich hab auch nen 2900er, solche Probleme kenne ich nicht, eher andersrum, wenn was raus soll, aber nicht geht :D

Share this post


Link to post
Share on other sites

Hi ITHome,

 

Hast Du am Ende der Filterliste ein "Deny All" ?

 

Genau, im letzten Filterset gibt es eine Rule, welche alle ausgehenden Ports sperrt und eine Rule, welche alle eingehenden Ports sperrt. Die Rule für ausgehenden Verkehr lautet:

 

Block immediately

Direction: OUT

Protocol: ANY

Source und Destination IP: ANY

Start und Endport bleiben frei.

 

Ansonsten auch eher Erfahrungen damit, dass bestimmte Sachen nicht raus gehen. Daher war ich um so verwunderter, dass Port 3389 nach außen durchlässig ist.

 

Gruß

Jörg

Share this post


Link to post
Share on other sites

Jo, sieht richtig aus, wenn der Filter enabled ist und die Verzweigungen der Filtersätze (Next Filter Set) richtig sind ...

Share this post


Link to post
Share on other sites

Hi ITHome,

 

wenn der Filter enabled ist und die Verzweigungen der Filtersätze (Next Filter Set) richtig sind

 

da gehe ich mal von aus - na gut, ich check lieber noch mal ;-)

 

Vielleicht hast Du ja mal die Chance 'ne Remote Desktop Verbindung zu irgendeinem Rechner außerhalb Deines LANs aufzubauen, um die Sache mal zu checken.

 

 

Gruß und schönen Feierabend

 

Jörg

Share this post


Link to post
Share on other sites

Mach ich gleich mal, baue aber einen einfachen Regelsatz DNS-Allow, HTTP-Allow, DENY ALL ...

edit: nein, klappt wie erwartet nicht ...

Share this post


Link to post
Share on other sites

na, dann muss der Bug ja in meinem Regelwerk liegen. Aber eigentlich habe ich solch einen Port nicht geöffnet.

 

Bei mir ist offen:

ICMP

DNS

HTTP

HTTPS

POP3

SNTP

SMTP

IMAP

Real Player 554

Passiv FTP Command

Passiv FTP Data

News 119

SSH

 

That's it. Und danach ist der Sack zu. Na, ich check noch mal.

 

Gruß und Dank

 

Jörg

 

edit: Welche FW hast Du drauf?

Share this post


Link to post
Share on other sites

Moin ITHome,

 

hattest den richtigen Riecher. Ich hatte gestern abend zu Hause dann auch 'ne Eingebung, da der Datenkanal für passives FTP ja immer auf verschiedenen Ports laufen kann. Gerade eben gecheckt und tatsächlich:

 

Source: "any", Operator: ">", Start Port: "1024",

Destination: "any", Operator: ">", Start Port: "1024",

 

Da habe ich mir schön selber einen gemacht. Allerdings haben wir halt täglich Downloads zu machen und viele Websites bieten das nur über FTP. Jedes Mal die Sache Ein- und dann wieder Abzuschalten ist zu lästig.

Bin mir auch nicht so sicher, ob dies ein akzeptables Risiko ist, da ja von außen alles dicht ist.

 

Gruß und Dank für Deine Hilfe. Nun weiß ich zumindest, dass der Bug bei mir lag und nicht in der Firmware.

 

Jörg

Share this post


Link to post
Share on other sites

Tja, das passive FTP ist bei dem Vigor schlecht einstellbar, aktives FTP dagegen erfordert nur Outgoing TCP 21, der erkennt den Rest am Status der Verbindung ... Risiko, naja, sämtliche TCP-Anwendungen können raus ... Da würde ich aktives FTP bevorzugen, auch wenn eine Verbindung von aussen initiiert wird ... :)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...