Lancom Router härten

[sw2090]

Hallo,

ich habe hier mal auf einem unserer R884VA einen POrtscan gemacht.
Ich war überrascht was da alles offen ist. Und für vieles finde ich keine OPtionen es zu deaktivieren:

SNMP
=====

(161 UDP)
bei mir laut Lanconfig per Admin=>Zugriffseinstellungen=>Zugriffsrechte=>von einer WAN Schnitstelle nicht erlaubt.
Laut nmap wird da trotzde auf der Wan IP am vDSL Interface des Lancom eifrig geantwortet und alle mögliche Daten geliefert.
Wozu stelle ich dann da ein dass er es da nicht erlauben soll.

SNMP komplett deaktivieren kann ich nicht weil ich es am LAN Interface brauche für unser internes Monitoring. ABer anscheinend kann man nicht verhindern dass es trotzdem auch am WAN lauscht (und sogar antwortet obwohl es nicht soll).

HTTP
=====
(80 TCP)

ist zwar umgeleitet auf https. BRauch ich aber nicht. Ebenfalls nicht deaktivierbar.

TR-064
======

Ich habe alle Cloud / Remoteconfig Services auf aus. Trotzdem sind da gleich zwei oder drei Ports ständig offen.
Auch hier finde ich nichts wo ich das deaktivieren kann.

Ich würde den Lancom gerne so härten daß nur das offen ist was nach außen wirklich gebraucht wird (also etwa 443/tcp fürs Webinterface, 4500 und 500 /UDP für IPSec).
Ist das überhauot möglich? Gibt es irgendwelche Tips hierzu?

lg
Sebastian

[sw2090]

ok ich muss mich korrigieren:

offenbar betrachtet er Lancom das als internen ZUgriff auch wenn auf die WAN IP zugegriffen wurde aber die source-ip via nat aus seinem LAN Netz kommt.

Wenn ich das bom Laptop via Mobile Hotspot mache sehe ich nur POrt 443 offen.

[backslash]

Hi sw2090

offenbar betrachtet er Lancom das als internen ZUgriff auch wenn auf die WAN IP zugegriffen wurde aber die source-ip via nat aus seinem LAN Netz kommt.

Das LANCOM schaut auch nicht auf die Adressen, sondern auf das Interface, über das ein Paket empfangen wurde...

Wenn du auf Adressen filtern willst, dann mußt du über Management -> Admin -> Zugriffseinstellungen ->Zugriffs-Stationen gehen.
Sobald dort etwas eingetragen ist, dürfen nur noch Hosts aus den anegebenen Adreßbereichen auf das LANCOM zugreifen - damit könntest du auch das Nairpin-NAT "fangen"

Gruß
Backslash

[GrandDixence]

Port-Scan auf der Webseite:
https://www.heise.de/security/dienste/p ... ?scanart=1
durchführen und dann die noch offenen Ports hier veröffentlichen.

[overcast37]

Ich möchte mich hier gerne mal einhängen. Ich habe aktuell nur die FW-Regel welche im Auslieferungszustand kommt (WINS) und zur Erreichbarkeit von Aussen noch Port 443 offen.

Ich würde gerne Regeln mit den von Lancom bereitgestellten Scripten hinzufügen, jedoch nicht mit DENY_ALL beginnen, sondern einer expliziten ”Allow-All”-Strategie. Aber ausser Deny-TELNET/SSH und Deny-RDP wären alle anderen unbrauchbar im Alltag - gibt es hier noch etwas was man unbedingt übernehmen sollte (was ggf. auch nicht in zuvor genanntem Link aufgelistet ist)?

[GrandDixence]

In der Geschichte der IT-Branche hat sich schon mehrfach bewiesen, dass man immer mit einer weissen Liste (whitelist) anstelle einer schwarzen Liste (blacklist) arbeiten soll. Zum Beispiel: Anti-Virus-Programme arbeiten mit einer schwarzen Liste. Deshalb haben heutige Anti-Virus-Programme gegen moderne Malware keine Schutzfunktion mehr und bilden nur noch ein grösseres Einfallstor für Hacker und Malware.

Wer eine Firewall nicht mit einer DENY_ALL- respektive BLOCK_ALL-Strategie konfiguriert, sollte (aus Sicherheitsgründen) besser für immer und ewig die Finger von einer Firewallkonfiguration weghalten!

https://de.wikipedia.org/wiki/Wei%C3%9Fe_Liste

https://de.wikipedia.org/wiki/Schwarze_Liste

Bei der Firewallkonfiguration diese Grundsätze einhalten:
fragen-zum-thema-firewall-f15/portscans ... ml#p104492

[DirkK]

In der Geschichte der IT-Branche hat sich schon mehrfach bewiesen, dass man immer mit einer weissen Liste (whitelist) anstelle einer schwarzen Liste (blacklist) arbeiten soll.

Dieser generellen Aussage möchte ich aber heftig widersprechen: versuche mal z.B. in einer Firma mit fünf oder gar sechsstelliger Anzahl Mitarbeiter eine Proxykonfiguration (für erlaubte Zugriffe ins Internet) über eine Whitelist zu realisieren…. Mein letzter Kunde wollte dies mit Biegen und Brechen durchsetzen und ist krachend gescheitert… Es kommt immer auf den Einzelfall an.

Beim Aufbau einer Firewallstrategie sollte man allerdings wirklich mit einer Whitelist arbeiten. (Aber auch hier können Ausnahmen gerechtfertigt sein)

VG Dirk

[plumpsack]

Hallo,
ich habe hier mal auf einem unserer R884VA einen POrtscan gemacht.
Ich war überrascht was da alles offen ist

Was sagt denn dein WebIF zum Thema Dienste?

Steht da auch was zum Thema "LL2M"?

guck mal unter "/config/2/11/50" falls der Dienst im WebIF nicht angezeigt wird kannst du ihn da deaktivieren.

Der Dienst sollte eigentlich per "default" deaktiviert sein ... aber manche mögen es halt anders ...

[rotwang]

Der Dienst sollte eigentlich per "default" deaktiviert sein ... aber manche mögen es halt anders ...

Nein, sollte er nicht - alleine schon damit Du was zum Schimpfen hast...

[GrandDixence]

Dieser generellen Aussage möchte ich aber heftig widersprechen: versuche mal z.B. in einer Firma mit fünf oder gar sechsstelliger Anzahl Mitarbeiter eine Proxykonfiguration (für erlaubte Zugriffe ins Internet) über eine Whitelist zu realisieren…. Mein letzter Kunde wollte dies mit Biegen und Brechen durchsetzen und ist krachend gescheitert… Es kommt immer auf den Einzelfall an.

Wenn der Proxy nicht mit einer Whitelist realisierbar ist, kann man den Proxy besser auch gleich weglassen. Wozu soll dieser Proxy schon gut sein?

Mein "Senf" zum Thema "Proxy" findet man unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p103924

In etwa gleich sinnvoll ist der Einsatz von "Reverse Tunnel" mit Lösungen à la RPort:
https://www.heise.de/news/FOSDEM-Clever ... 51196.html

[overcast37]

lg
Sebastian

@sw2090 Ich kann dir diesen Leitfaden empfehlen.