Ich sitze gerade in einer netten Kneipe die den Besuchern kostenloses WLAN anbietet. Allerdings ist der Zugang wirklich komplett offen. Da ich mich mit dem Wirt allerdings sehr gut verstehe und ihn schon mal auf das Problem der offenen Ports hingewiesen habe habe ich ihm nun versprochen mal eine Liste mit Ports zu geben die wohl eher gesperrt gehören.

Tja, sicher, ich werde meine eigenen Ideen schon runterschreiben. Nur da ich nicht ständig uptodate bin was für Ports gerade für welches Filesharing genutzt werden wollte ich euch mal bitten die meist genutzten Ports hier aufzuzählen die man eher, bei einem öffentlichen Zugang, sperren sollte.

Dankeschön.

PS: toll wäre natürlich eine nette Liste mit verdächtigen Ports.

Wäre es nicht einfacher, alles bis auf HTTP, HTTPS, POP3, IMAP zu sperren? Filesharing geht zwar auch über Port 80, aber dann könnte man alles deaktivieren, was ja nicht wirklcih im Sinne eines WLAN wäre...

warum nicht einfach alles außer 80 sperren?

ICQ, MSN, Skype, VPN oder sowas sollten noch nutzbar sein. Mir ist schon bewusst das es keinen wirklich Schutz bietet. Aber für unerfahrene Nutzer sollte das schon eine Hürde darstellen.

Was soll das Sperren denn sicherer machen? Wenn man mit irgendwas richtig "Scheisse bauen" kann, dann mit Port 80.

Das Sniffen untereinander dürfte ein ähnlich großes Problem (für die Gäste) darstellen.

ICQ: Messaging sollte über alle Ports laufen, der Server lauscht jedenfalls an allen Ports, einzig für Filetransfer muss wohl 5190 offen sein

MSN: 1863

Skype: imo keine festen Ports

VPN: keine Ahnung...

Grundsätzlich ist es aber so, dass eigentlich alles über Port 80 möglich ist... also werden reine Portsperren nicht viel bringen.

Wichtiger ists, die Leute, die das wlan benutzen, auf das Risiko aufmerksam zu machen. Das also nicht gerade jemand Online Banking betreibt.

Onlinebanking ist SSL Verschlüsselt und gilt als sicher. Es ist der Reintext, der aufgefangen werden kann oder Lamerdienste wie GMX Freemail, die standardmäßig kein SSL über Webgui anbieten.

Viele benutzen SMB (Windows Netzwerk) mit uneingeschränkten Gastrechten im eigenen Heim für ihr Laptop oder WLan Gerät. Das macht sich bei öffentlichen Hotspots dann natürlich besonders gut.

Skype macht Firewall-Puncturing. Da ist die Firewall eigentlich egal bzw. nutzlos.

eMule:
4661, 4662 (TCP)
4665, 4672 (UDP)

Onlinebanking ist SSL Verschlüsselt und gilt als sicher. Es ist der Reintext, der aufgefangen werden kann oder Lamerdienste wie GMX Freemail, die standardmäßig kein SSL über Webgui anbieten.

...

Wuz? Lamerdienste ohne SSL? Take this:

https://www.gmx.net

Richtig, aber wer weiß das schon. Normalsterbliche gehen mit www.gmx.de auf die Seite und das ist nicht verschlüsselt.

Wimre sind die Ports der (aktuellen) Filesharing-Clients frei konfigurierbar. Hinter einem NAT-Router ohne Portforwarding ist dies aber auch egal, da es sich um listening Ports handelt.
Augehende Verbindungen lassen sich m.E. nur sinnvoll durch Whitelisting der Zielports einschränken, auch wenn man Software, welche über Port 80 geht, nicht in den Griff bekommen wird. Dafür bräuchte man eine Firewall auf Application-Ebene.

Wimre sind die Ports der (aktuellen) Filesharing-Clients frei konfigurierbar. Hinter einem NAT-Router ohne Portforwarding ist dies aber auch egal, da es sich um listening Ports handelt.
Augehende Verbindungen lassen sich m.E. nur sinnvoll durch Whitelisting der Zielports einschränken, auch wenn man Software, welche über Port 80 geht, nicht in den Griff bekommen wird. Dafür bräuchte man eine Firewall auf Application-Ebene.

Das ist mir klar. Nur eine Level-7 FW ist nicht drinn.
Es geht ja auch nur Prinzipiell darum den Versuch etwas einzudämmen. Jeder versierte Anwender wird das umgehen können. Doch der einfache Gast der sich denkt, oh hier kann ich ja mal schnell meinen Film zu Ende laden wird wenigstens etwas ausgebremst. Und mir ist auch klar das der Esel oder Bittorent auch mit gesperrten Ports laufen werden. Nur ist der Speed ja dann in der Regel so klein das es sich einfach nicht mehr lohnt großartig dort Filesharing zu betreiben. Zumindest ist das meine Erfahrung.

Dann sollte doch NAT und deaktiviertes UPnP reichen.

eMule:
4661, 4662 (TCP)
4665, 4672 (UDP)
die ports sind aber nur fürs port-forwarding im router wichtig, um eine "high-id" zu bekommen. das filesharing ansich geht aber auch über beliebige andere ports, man bekommt dann einfach eine "low-id" und muß auf ein paar download-quellen verzichten (man kann sich nicht mit anderen verbinden, die ebenfalls eine "low-id" haben).

wirklich sperren kann man das filesharing wohl nur, wenn man für die gewünschten dienste einen proxy dazwischenschaltet und jede direkte kommunikation sperrt (aber auch da gibt es ein paar filesharing-tools, die durch nen web-proxy durchkommen).