LANconfig: Gerät "Prüfen" und Firewall?

Anmeldungsdatum: 30.11.2007 Beiträge: 13 Wohnort: München

Seit einiger Zeit bemerke ich, dass die LANconfig Software zum prüfen des Gerätes nicht nur den Port 69 nutzt und das macht irgendwie probleme mit der Firewall (IPFW) meines Rechners. Und zwar ist der 1811n über DynDNSin LANconfig eingetragen, wenn ich nun auf Prüfen gehe, dann versucht LANconfig über einer der UDP Ports 10000-65000 das Gerät zu finden. Das heißt für meine Rechner Firewall, dass ich nun den kompletten Bereich öffnen muss, andernfalls schaffe ich es nicht mit dem Gerät über DynDNS zu kommunizieren! Was irgendwie die Firewall meines Rechners total unbrauchbar macht. Unter den Geräte Optionen in LANconfig habe ich auf TFTP gestellt, ohne Erfolg. Ich hatte diese Probleme vorher nie, ich glaube seit 8.0? Geräte im lokalem Netz werden über Port 69 geprüft. Hat jemand eine Idee, ob das irgendwas im Lancom falsch eingetragen habe, oder ist das jetzt normal?

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi robertmk,

LANconfig nutzt zum Prüfen schon immer TFTP, d.h. es hat sich weder am LANCOM noch an LANconfig etwas geändert.

Bei TFTP stellt LANconfig eine Anfrage an den UDP-Port 69 und verwendet dafür als Quellport einen zufälligen Port oberhalb von 1000. Der TFTP-Server im LANCOM schickt die Daten dann an eben diesen zufälligen Port zurück und verwendet dabei selbst als eigenen Absenderport wiederum einen zufälligen Port oberhalb von 1000. Leider können die meisten Desktop-Firewalls nicht damit umgehen und sehen die Antwort ale seine neue einkommende UDP-Verbindung an, weshalb du in diesen LANconfig die Annahme von UDP-Verbindungen erlauben mußt. Wenn du die windowseigene Firewal nutzt, dann erledigt das Setup-Programm von LANconfig das für dich, bei anderen Firewalls mußt du das manuell nachtragen.

Eine andere Möglichkeit wäre, einfach auf TFTP zu verzichten und die Geräte immer über HTTP oder besser noch HTTPS zu prüfen, denn das ist nur eine abgehende TCP-Verbindung, die alle Firewalls problemlos durchlassen.

Gruß
Backslash

Anmeldungsdatum: 30.11.2007 Beiträge: 13 Wohnort: München

Hi Backslash,

herzlichen Dank für die Erläuterungen, dass wußte ich nicht. Es handelt sich nicht um die Lancom interne Firewall, sondern um die OS X Firewall bzw. um IPFW (Unix). LANconfig läuft unter Win7 in VMware.

Werde wohl erst mal auf HTTPS umstellen, aber mich wundert halt, dass es erst seit einiger Zeit das Problem bei mir auftritt. Ich habe die IPFW Firewall schon viele Jahre und eigentlich kaum etwas geändert, aber erst jetzt blockiert IPFW das "Prüfen".

Anmeldungsdatum: 30.11.2007 Beiträge: 13 Wohnort: München

Mein Fehler Wink

Zugriffsrechte nicht für https freigegeben. Würde mich nur noch interessieren, warum das früher ging?

Anmeldungsdatum: 10.11.2004 Beiträge: 976 Wohnort: Hessen

Tach,

Zitat:

Mein Fehler Wink Zugriffsrechte nicht für https freigegeben. Würde mich nur noch interessieren, warum das früher ging?

das fiese an Firewalls ist, dass man sich schon verdammt gut auskennen muss um Fehler im Regelwerk zu vermeiden.

Erst vor ein paar Wochen hatte mich backslash auf einen ganz lausigen Denkfehler/bzw. mangelndes Wissen meinerseits bzgl. TCP/IP-Grundlagen aufmerksam gemacht. Und da ging es um das Firewallregelwerk meines Lancom Routers, was im Prinzip nur ein Paketfilter ist.

Eine Personal Firewall ist nicht nur ein Paketfilter, sondern auch ein Applikationsfilter. Damit Multiplizieren sich die Möglichkeiten für Regelfehler! Eine Personal Firewall richtig einzurichten ist extrem schwierig. Dann muß diese noch fehlerfrei arbeiten - ein Update irgendwo und ggf. erkennt die PFW ein Protokoll nicht mehr und fertig ist der Salat.

Dazu kommt dann noch folgendes: http://www.lancom-forum.de/topic,1622,-%26...ot%3B.html

Gruß
COMCARGRU

Anmeldungsdatum: 30.11.2007 Beiträge: 13 Wohnort: München

COMCARGRU hat folgendes geschrieben:

das fiese an Firewalls ist, dass man sich schon verdammt gut auskennen muss um Fehler im Regelwerk zu vermeiden.

Das Problem, das Prüfen über HTTPS nicht funktionierte war kein Regelfehler der Firewall! Sondern ich hatte den Zugriff in LANconfig (->Management->Admin->Zugriffs-Rechte) nicht erlaubt.

COMCARGRU hat folgendes geschrieben:

Und da ging es um das Firewallregelwerk meines Lancom Routers, was im Prinzip nur ein Paketfilter ist.

Genau das ist der Zweck einer Firewall, Pakete zu filtern Wink

Ganz anders machen es Hardware-Firewalls auch nicht. Der Name Hardware-Firewall ist ehh nicht ganz korrekt, da ja in einer ext. Firewall auch nur die Software für das Filter zuständig ist.

COMCARGRU hat folgendes geschrieben:

Eine Personal Firewall ist nicht nur ein Paketfilter, sondern auch ein Applikationsfilter. Damit Multiplizieren sich die Möglichkeiten für Regelfehler! Eine Personal Firewall richtig einzurichten ist extrem schwierig. Dann muß diese noch fehlerfrei arbeiten - ein Update irgendwo und ggf. erkennt die PFW ein Protokoll nicht mehr und fertig ist der Salat.

Danke für die Info. Verstehe mich nicht falsch, aber ich habe ja gar keine Problem die Firewall zu konfigurieren, sondern das Problem ist, dass seit neuem TFTP bzw. das Prüfen des Lancom Gerätes durch IPFW geblockt wird, da die Anfrage auf einem der Ports zwischen 1000-65000 kommt. Wenn ich die für alle freigebe, dann kann ich IPFW gleich abschalten!

Übrigens ist IPFW http://www.freebsd.org/cgi/man.cgi?query=ipfw&sektion=8 kein Applikationsfilter, sondern nur ein Paketfilter und ist ein Teil von UNIX.

Moderator Anmeldungsdatum: 03.01.2005 Beiträge: 1905 Wohnort: Ex-OPAL-Gebiet

Hallo robertmk,

robertmk hat folgendes geschrieben:

Der Name Hardware-Firewall ist ehh nicht ganz korrekt, da ja in einer ext. Firewall auch nur die Software für das Filter zuständig ist.

Ja, aber Du schreibst es doch selber: externe Firewall. Die muss aus Hardware sein, sonst wäre sie nicht da... Eine Software-Firewall hingegen läuft auf dem zu schützenden System selber, eben nur als Software und ist damit auch nur halb so sicher.

Viele Grüße,
Jirka

Anmeldungsdatum: 30.11.2007 Beiträge: 13 Wohnort: München

Hi Jirka,

"halb so sicher"? Keine Ahnung, soweit würde ich nicht gehen. Aber egal, eine externe Firewall ist auch nur eine Software-Firewall, die halt nicht auf dem PC, sondern auf einer extra Hardware läuft und macht doch auch nichts anderes als Pakete zu filtern? Oder wie funktioniert das?

Grüße
Robert

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4568 Wohnort: Aachen

Hi robertmk

Zitat:

Danke für die Info. Verstehe mich nicht falsch, aber ich habe ja gar keine Problem die Firewall zu konfigurieren, sondern das Problem ist, dass seit neuem TFTP bzw. das Prüfen des Lancom Gerätes durch IPFW geblockt wird, da die Anfrage auf einem der Ports zwischen 1000-65000 kommt. Wenn ich die für alle freigebe, dann kann ich IPFW gleich abschalten!

na ja, nicht ganz... Wenn du das passend beschränkst, d.h. nur von der IP des LANCOMs dürfen UDP-Sessions geöffnet werden, dann ist das schon sehr sicher (solange du dafür sorgen kannst, daß niemand in deinem LAN die IP-Adresse fälscht).

Zitat:

Übrigens ist IPFW http://www.freebsd.org/cgi/man.cgi?query=ipfw&sektion=8 kein Applikationsfilter, sondern nur ein Paketfilter und ist ein Teil von UNIX.

Das ist dann auch eine der schlechten Firewalls, die mit UDP-Sessions nicht zurechtkommen... Die Firewall im LANCOM z.B. hat überhaupt kein Problem mit TFTP und macht dafür nichtmal eine Sonderbehandlung...

Zitat:

halb so sicher"? Keine Ahnung, soweit würde ich nicht gehen.

prinzipiell kann man aber soweit gehen, denn wenn die Firewal auf dem zu schützenden System läuft, dann ist sie auch von einem Trojaner, der in einer Viagra-Mail hängt, die auf dem System geöffnet wird, problemlos zu deaktivieren

Zitat:

Aber egal, eine externe Firewall ist auch nur eine Software-Firewall, die halt nicht auf dem PC, sondern auf einer extra Hardware läuft und macht doch auch nichts anderes als Pakete zu filtern? Oder wie funktioniert das?

prinzipiell ja, aber da sie auf einem exteren Gerät läuft, kommt der oben genannte Trojaner nicht so schnell an sie ran...

Gruß
Backslash

Anmeldungsdatum: 30.11.2007 Beiträge: 13 Wohnort: München

backslash hat folgendes geschrieben:

na ja, nicht ganz... Wenn du das passend beschränkst, d.h. nur von der IP des LANCOMs dürfen UDP-Sessions geöffnet werden, dann ist das schon sehr sicher (solange du dafür sorgen kannst, daß niemand in deinem LAN die IP-Adresse fälscht).

Das ist leider nicht möglich, da der Lancom keine feste IP hat.

backslash hat folgendes geschrieben:

Das ist dann auch eine der schlechten Firewalls, die mit UDP-Sessions nicht zurechtkommen... Die Firewall im LANCOM z.B. hat überhaupt kein Problem mit TFTP und macht dafür nichtmal eine Sonderbehandlung...

Wieso sollte IPFW eine schlechte Firewall sein? Nur weil es keine externe ist? Es läuft seit vielen Jahren erfolgreich in UNIX und Linux Systemen.

backslash hat folgendes geschrieben:

prinzipiell kann man aber soweit gehen, denn wenn die Firewal auf dem zu schützenden System läuft, dann ist sie auch von einem Trojaner, der in einer Viagra-Mail hängt, die auf dem System geöffnet wird, problemlos zu deaktivieren

Naja ich weiß nicht wie das unter windows ist, aber ohne root rechte wirst du unter OS X weder IPFW deaktivieren können, noch kannst du etwas installieren ... als normaler user kann der Trojaner dann nur das home Verzeichnis killen.

backslash hat folgendes geschrieben:

prinzipiell ja, aber da sie auf einem exteren Gerät läuft, kommt der oben genannte Trojaner nicht so schnell an sie ran...

Da gebe ich dir recht. Aber wie ich schrieb, denke ich, dass das anscheinend ein Windows Problem ist. Meiner Ansicht schützt vor einem Trojaner ehh keine Firewall wirklich richtig, denn ein cleverer Trojaner würde sich seinen freien Port suchen und im Endeffekt hängt es immer am User.

Grüße
Robert