Fritz Box fon WLAN "default: alle UDP Ports offen" ?

#1 Hallo,

brauche mal Eure Hilfe zu der FRITZ!Box Fon WLAN (UI) mit neuester Firmware-Version 08.03.29 und integrierter FW

Hänge mit nur einem Client über ne LAN-Verbindung dahinter.

Gerade installiert, neues Firmware update drauf und stelle bei den Sicherheitsüberprüfungen durch Scan von außen folgendes fest:

Alle TCP-Ports: Stealth
Alle UDP-Ports: Closed oder Open (fileshare, snmp, etc.)

Auf dem PC hatte ich zusätzlich ne ZoneLabs und jetzt aktuell ne Sygate FW die gar nichts registrieren. Wie kann das ?

AVM schreibt was von integrierter TÜV geprüfter FW:
Selbst wenn es die nicht gibt für UDP-Ports müsste doch die PFW auf dem PC was blocken, oder ?

Danke und Gruß

der michi

#2 Evtl. AOL als Provider? Dann scannst du nicht tatsächlich dich, sondern den AOL-Proxy. Falls du die Möglichkeit hast mal über t-online oder andere Provider online zu gehen, wirst du sehen, dass deine Ports geschlossen sind.
__________
Gruß BugFix

#3 Hallo BugFix,

ist GMX, nicht AOL.

Was gegen den Proxy spricht:

Die angezeigte Public-IP die gescannt wird ist die mir per PPP zugeteilte.
Auf der PFW Sygate im Traffic_Filter kann ich eine Kommunikation von 0.0.0.0 nach 0.0.0.0 sehen die angeblich blockiert wird. Die (mehrere, unabhängige) Scanner melden trotzdem Port nur closed oder open. Also scheint es das Pakete bis zu meinem PC durchzukommen. Wenn ich die Fritz gegen einen Netgear-Router 834 WLAN austausche ist alles UDP-stealth und ich registriere die Kommunikation auch nicht in der Sygate.

Ob die Fritz-Box selber die Ports von außen offen hat (111, 135,137,138,snmp) und der Scan hier endet ohne wirklich zum PC zu gelangen ? oder führt der Scanner gar keinen vollständigen Conncet auf den UDP-Port durch und es der Sygate somit gar nicht ermöglicht die Kommunikation zu unterbinden ?

hast du noch ne Idee BugFix ?

thx in advance

der michi

#4 Ne richtige Idee noch nicht, eher so ein flüchtiger Gedanke, von dem ich nicht weiß ob er realisierbar ist. Vielleicht kannst du die Box nur innerhalb des LAN scannen. Also über den WAN-Port im LAN einbinden und dann scannen. Wie gesagt, ist nur eine Idee.
__________
Gruß BugFix

#5 Hähä...hab´s endlich gefunden:
http://board.protecus.de/t6596.htm?highlight=udp+icmp#133225
Hier steht´vermutlioch die Erklärung.
Kurz gesagt, sollte deine Firewall ICMP-Antworten deines Rechners blocken, werden UDP-Ports möglicherweise als offen gewertet, obwohl dies nicht der Fall ist.
Einfacher Test, alle komplett Firewalls abschalten und den UDP-Scan nochmal durchführen. bin gespannt...
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 Hallo BugFix, hallo joschi

nette idee ich wollt schon die Klamotten umpatchen da ist mir eingefallen, das ist doch ein DSL-Port weil Modem integriert und ich hab leider keinen DSLAM-Simulator *g* oder ein anderes DSL-Modem/Router (Rücken/Rücken) zum testen, also funktioniert leider nicht.

Dann hab ich den Tipp von joschi mal nachvollzogen und nen Hotline-Typen von AVM genervt, der hatte zwar keinen Plan aber von der Sache schon mal gehört und mir ne Antwort von AVM geschickt, hängt auszugweise unten dran.

Die Sachen habe ich dann mal mit der Portfreigabe getestet und siehe da: Licht im Tunnel:
Mit Portfreigabe auf UDP 1900 in der fritzBox sehe ich die Pakete an der PFW weil sie durch die fritzBox kommen und werden auch schön an der PFW geblockt, ein ICMP (3) geht nicht raus, der Scanner meldet offener Port.

Ohne Portfreigabe auf UDP 1900 in der fritzBox sehe ich ich die Pakete an der PFW nicht, bleiben an der fritzbox hängen, die sendet jetzt ICMP (3) und der doofe Scanner meldet closed Port

Kurz und gut:

Die Scanner versuchen nen UDP Port aufzumachen und analysieren "offen" oder "closed, gefiltert" nur anhand der eintreffenden ICMP Destination unreachable Message und da die fritzbox diese teilweise raussendet kommen die False Positives zustande.

Damit ist die fritzbox dann rehabilitiert und ich schlafe wieder ruhiger.

Ich danke Euch, BugFix und joschi für die Hilfe, lebet lang und zufrieden

der michi


wens interessiert
AVM-Antort auszugweise:
Tatsächlich werden Datenpakete, die an einen in der Portfreigabe eines AVM-Gerätes nicht freigegebenen UDP-Port gesendet werden, vom AVM-Gerät niemals in das lokale Netzwerk weitergeleitet.Wie kann es zu falschen Meldungen von Portscannern kommen? UDP-Datenpakete, die ein Portscanner an einen in der Firewall eines AVM-Gerätes gesperrten Port sendet, werden von der Firewall in den allermeisten Fällen negativ beantwortet. Der Absender erhält die Antwort "ICMP Protocol unreachable" oder "ICMP Port unreachable".
Würden immer alle nicht weitergeleiteten UDP-Datenpakete negativ beantwortet, könnte es jedoch passieren, dass die Antworten den DSL-Upstream vollständig auslasteten. Daher verfügt die Firewall des AVM-Gerätes über eine so genannte Limiter-Funktion. Wenn soviele UDP-Pakete ankommen, dass die negativen Antworten den DSL-Upstream vollständig auslasten würden, werden einige der UDP-Pakete verworfen und nicht beantwortet. Die
Limiter-Funktion verhindert so, dass Ihr AVM-Gerät bei einer Flut ankommender
UDP-Pakete arbeitsunfähig wird (z.B. bei Denial-of-Service-Angriffen).
Einige Portscanner interpretieren das Ausbleiben einer negativen Antwort jedoch falsch, und melden die entsprechenden UDP-Ports als "offen". Portscanner dagegen, die aus dem Ausbleiben negativer Antworten nicht fälschlich auf offene Ports schließen, melden die entsprechenden Ports auch nicht als offen.