Offene Ports einer Firewall finden

Dinh

Well-Known Member
Hallo zusammen

Ich weiss, dass meine Frage hier dem einen oder anderen wohl nicht gefallen wird.
Eigentlich interessiert mich der technische Aspekt - was ist möglich und was nicht. Fachleute hat es hier ja sicher genug. :)
Das ganze soll wirklich mehr eine Machbarkeitsstudie und theoretische Diskussion werden.
Ein praktischer Einsatz ist nicht vorgesehen!

Anmerkung an die Moderatoren:
Wenn dies Diskussion gegen die Forenregeln verstossen sollte, bitte löschen!

Folgendes Szenario:
In einem Unternehmen wird ein Web-Content-Filter eingesetzt. Es wird mit einer White-Liste an erlaubten Seiten gearbeitet. Darunter auch externe Internetseiten - eine Verbindung zum Internet besteht also.
Ich vermute, hier werkelt ein Proxy, der alle Verbindungen filtert.

Meine Idee:
Wenn ich einen offenen Port finden könnte, wäre es möglich eine Verbindung per ssh zu tunnel-en. Gibt es eine möglichkeit die offenen Ports auf einer Firewall herauszufinden? Oder gibt es evt. sogar Ports, die immer offen sein müssen?
Wenn ja (z.B. Mail) und ich baue eine SSH-Tunnel durch diesen Port, ist er dann für weitere Verbindungen - also den Mailverkehr - blockiert?
Ein Portscanner kommt nicht wirklich in Frage, da ich ja sonst ein Server bräuchte, der auf jede Anfrage, die druch die Firewall kommt, auch eine Antwort zurückschickt...

Zusätzliches Problem: ich weiss ja nicht, ob der Proxyserver auch der Gateway ist.

Arbeitet evt. sogar schon jemand mit einem SSH-Tunnel und privatem Proxy zu Hause? :rolleyes:

Ich freue mich schon auf das Fachwissen der "Gurus"! :D

-- Dinh --
 
Die offenen Ports werden normalerweise direkt per Redirect irgendwo hingeleitet. Wenn du also tunneln willst, musst du das durch das Protokoll des entsprechenden Dienstes tun (z.B. htttp).
 
Danke für den Link, zuglufttier!

@Kamikaze: kann ich denn ssh durch http tunneln, wenn da ein Proxy läuft und nur Verbindungen auf gewisse Sites erlaubt?
 
u.U. ist openvpn eine Möglichkeit für dich. Es bietet die Möglichkeit seinen Transfer auch über http Proxy zu führen.
Es ist nur fraglich ob du einen OpenVPN Server auf einem Server außerhalb benutzen kannst, denn wie du geschrieben hast gibt es Whitelisten auf dem Proxy.
 
An einer Whitelist komme ich also nicht vorbei...
Dann wäre die einzige Möglichkeit mit einem Portscanner zu schauen, ob die Firewall evt. etwas offen hat... ?
Muss ich dafür mit nmap die IP der Firewall angeben, oder einen beliebigen Internet-Host?
Und - wenn ein Port offen ist - blockiert mein ssh-Tunnel dann alle anderen Verbindungen auf dem Port? Wenn ich z.B. den SMTP-Port nehme, kommen dann noch Mails durch? :)
 
Hallo!

Muss ich dafür mit nmap die IP der Firewall angeben, oder einen beliebigen Internet-Host?
Natürlich einen Internet-Host auf dem der Dienst/Port, den du versuchst zu kontaktieren auch wirklich Verbindungen annimmt. Wundere dich nicht, wenn dich 10 Minuten nach deinem Versuch dein Chef zu sich zitiert (das Netzwerk wird wohl überwacht werden).

Und - wenn ein Port offen ist - blockiert mein ssh-Tunnel dann alle anderen Verbindungen auf dem Port? Wenn ich z.B. den SMTP-Port nehme, kommen dann noch Mails durch? :)
Ja.

Du solltest dringend Netzwerk-Grundlagen pauken, wenn du sowas vorhast.

Ciao.
Markus Mann
];-)
 
Natürlich einen Internet-Host auf dem der Dienst/Port, den du versuchst zu kontaktieren auch wirklich Verbindungen annimmt. Wundere dich nicht, wenn dich 10 Minuten nach deinem Versuch dein Chef zu sich zitiert (das Netzwerk wird wohl überwacht werden).
Dann bräuchte ich demfall ein Internetserver, der alle Ports offen hat, damit ich das vernünftig testen könnte.
Wenn überwacht, könnte man ja einen Port auf's Mal ausprobieren...
Ja, der Port ist blockert oder ja, Mails kommen noch durch?
Du solltest dringend Netzwerk-Grundlagen pauken, wenn du sowas vorhast.

Ja, Netzwerkgrundlagen wären schon was... leider sind gute Informationen oft verteilt und es ist schwierig, sich wirklich tiefe Informationen zu beschaffen.
Oder kenn jeman 'nen Link?


EDIT: ps: macht denn das niemand? Haltet ihr Netzwerk-Profis euch etwa einfach so an all die Surf-Bestimmungen eures Unternehmens ;)
(das soll keine Unterstellung sein *g*)
 
@Dinh: Da ist auch genau eine Beschreibung, wie du dein ssh über den Proxy-Server tunneln kannst, auch wenn nur der eine Port offen ist.
 
@Dinh: Da ist auch genau eine Beschreibung, wie du dein ssh über den Proxy-Server tunneln kannst, auch wenn nur der eine Port offen ist.
Ja, aber das funktioniert doch nicht, bei einem White-List-Filer... oder doch? :confused:
Mein SSH-Server, zu dem ich tunneln will, wird ja dann vom Proxy geblockt!
Sorry, falls das blödsinn ist. Kenn micht nicht so gut aus!
 
also das hängt stark von der art bzw. dem umfang der whitelist ab. wenn du auf suchmaschinen oder ähnliches kommst, kannst du vielleicht die weiterleitungsfunktion von denen nehmen.
oder von irgendwelchen anderen seiten...
blockt er auch allen traffic außer http? oder ist anderer tcp/udp traffic zu den maschinen auf der whitelist erlaubt?
 
Hallo!

Ja, der Port ist blockert oder ja, Mails kommen noch durch?
Sorry, ich habe das "oder" überlesen. Natürlich letzteres. Du darfst dir das nicht wirklich wie eine Tür vorstellen, die zu ist sobald ein einziger in der Tür steht.

EDIT: ps: macht denn das niemand? Haltet ihr Netzwerk-Profis euch etwa einfach so an all die Surf-Bestimmungen eures Unternehmens
Ja, weil ich meinen Job nicht riskieren will. Aber ich habs einfach, weil ich der Admin bin und das Unternehmen eine übersichtliche Größe hat. ];-)

Ciao.
Markus Mann
];-)
 
also das hängt stark von der art bzw. dem umfang der whitelist ab. wenn du auf suchmaschinen oder ähnliches kommst, kannst du vielleicht die weiterleitungsfunktion von denen nehmen.
oder von irgendwelchen anderen seiten...
blockt er auch allen traffic außer http? oder ist anderer tcp/udp traffic zu den maschinen auf der whitelist erlaubt?
Die Whitelist ist extrem eingeschränkt. Es funktionieren nur das Intranet und eine Handvoll als sinnvoll eingestufte Seiten (z.B. Online-Fahrpläne).

Ob anderer Traffic erlaubt ist, weiss ich nicht... ist auch schwer das rauszufinden auf den Windowskisten.
(das ganze ist auch nicht bei mir, sondern bei einem Kollegen im Geschäft)
 
naja kannst du z.b. eine erreichbare seite pingen? geht ftp?
welche seiten gehen? kannst du google benutzen?
 
Hallo!


Sorry, ich habe das "oder" überlesen. Natürlich letzteres. Du darfst dir das nicht wirklich wie eine Tür vorstellen, die zu ist sobald ein einziger in der Tür steht.


Ja, weil ich meinen Job nicht riskieren will. Aber ich habs einfach, weil ich der Admin bin und das Unternehmen eine übersichtliche Größe hat. ];-)

Ciao.
Markus Mann
];-)
Achso, danke.
Dann gibt es ja aber praktisch keinen sicheren Schutz dagegen!
Der eine oder andere Port ist ja auf jeden Fall offen!! Welche Firma kommt denn schon ohne z.B. smtp aus?
Da muss es doch für Firmen nen wirksameren Schutz geben... ?


EDIT:
@soul_rebel
Google geht nicht. FTP bin ich noch am Abklären.
Eine Seite, von der ich weiss, dass sie funktioniert ist www.zvv.ch.
Ping geht m.E. nicht. Frag ich aber auch nochmals nach.
(könnte man über den Ping-Port nen Tunnel öffnen?)
 
Achso, danke.
Dann gibt es ja aber praktisch keinen sicheren Schutz dagegen!
Der eine oder andere Port ist ja auf jeden Fall offen!! Welche Firma kommt denn schon ohne z.B. smtp aus?
Da muss es doch für Firmen nen wirksameren Schutz geben... ?

Man erlaubt einfach NUR den Rechnern, die es brauchen, den Zugang zu den jeweiligen Ports ... also z.B. dem Mailserver (ihr werdet ja vermutlich so etwas haben) z.B. SMTP, dem Webproxy HTTP und FTP, dem DNS-Server DNS ... das alles kann auch z.B. auf einem Server laufen. Und dem rest verbietet man z.B. einfach jegliche direkte Kommunikation mit dem Internet.
Sollte das bei dir so sein (du könntest einfach mal versuchen direkt einen webserver nach port 80 zu scannen) bleibt dir, je nach Konfiguration der Umweg über den (überwachten) Proxy. Ganz generell sollte es übrigens IMHO niemand versuchen die Firewall seines unternehmes zu umgehen, ausser natürlich er ist Admin und will sie auf Sicherheit überprüfen.
Wenn es wirklich nur um dein privatvergnügen geht: Frag den Admin, und begründe es, ob du "Sonderrechte" kriegst, oder kauf dir Notebook + UMTS-Karte.
 
Hallo!

Dann gibt es ja aber praktisch keinen sicheren Schutz dagegen!
Eigentlich nicht, sobald von innen irgendwas ohne Proxy raus darf.

Der eine oder andere Port ist ja auf jeden Fall offen!! Welche Firma kommt denn schon ohne z.B. smtp aus?
Ich komme ohne SMTP aus dem internen Netz nach draussen aus. Deswegen ist ja auch noch ein SMTP-Proxy dazwischen, nur der darf SMTP nach draussen. Genauso ist es beim Web. Kein PC darf selbst Kontakt nach draussen herstellen, alles muss über einen Proxy laufen und dort kann ich einschränken.

Da muss es doch für Firmen nen wirksameren Schutz geben... ?
Kein direkter Traffic von drinnen nach draussen ist der einzige wirksame Schutz gegen Tunnel.

Ping geht m.E. nicht. Frag ich aber auch nochmals nach.
(könnte man über den Ping-Port nen Tunnel öffnen?)
Ping läuft über ICMP und das kennt keine Ports.

Alles im allem würde ich meinen, dass deinem Kumpel nicht zu helfen ist (wie auch, denn offensichtlich ist das, was er vorhat schlichtweg nicht erlaubt/erwünscht, vermutlich aus gutem Grund). Offenbar ist kein direkter Traffic von drinnen nach draussen erlaubt und der Proxy ist durch die Whitelist arg eingeschränkt. Er muss sich wohl doch DSL nach Hause legen lassen oder während der Arbeitszeit arbeiten ];-)

Ciao.
Markus Mann
];-)
 
Danke euch für eure ausführlichen Antworten, da hab ich mal wieder was gelernt. :)
Wie gesagt will ich das praktisch auch gar nicht ausprobieren... ich will ja nicht, dass mein Kollege wegen mir am Ende noch den Job verliert!
Trotzdem danke für das super Fachwissen! :)
 
Zurück
Oben