Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Peer to Peer Verbindung über Ports aufbauen, was sacht eine Fire

Aenguish am 20.11.2002, 00:00 / 4 Antworten / Baumansicht

Moin,
Also... Gegeben sei eine Server- und eine Client-Application.
Im Endeffekt soll der Client sich, über welchen Port auch immer mit
dem Server, der natürlich auf diesem Port wartet, verbinden.
Meine erste Frage: Wenn der Server hinter einem Proxy + Firewall sitzt,
welche IP Adresse führt dann durch den ganzen Schlammassel zur Workstation?
Ich meine wenn ich mich über die interne Netzwerk IP des Rechners(dem mit der Server-App)
mit diesem verbinden will dürfte doch meine Anfrage kaum ankommen oder? Wenn ich allerdings
die IP des Proxys benutze, woher weiß dann der Proxy an welche interne Netzwerk-Adresse meine Anfrage gerichtet ist??
Meine zweite Frage: Läßt sich eine Firewall einen Listenden Port der von der eigenen Maschiene
geöffnet wurde gefallen? Das ist ja Praktisch das selbe was auch ein Trojaner tut...

Vielen Dank schon mal für die Aufklärung.
MfG Aenguish

    
        XPectIT Aenguish „Peer to Peer Verbindung über Ports aufbauen, was sacht eine Fire“
      
        20.11.2002, 00:00 Optionen
      
          Der Server kann nur über die IP von aussen angesprochen werden (wenn du ausserhalb des Netzwerkes sitzt), also mit der IP die du im Internet hast.

          Allerdings erreichst du damit das Gateway nicht den Server direkt. Das Gateway ist hoffentlich die Firewall. Die Firewall muss Port-Forwarding unterstützen, das der Server praktisch einen Dienst bei sich laufen hat und bei sich einen Port dazu öffnet. Alle ankommenden Pakete an diesen Port (übers Internet) leitet die FW dann an den Server weiter. ...eigentlich ganz einfach.

          Der Proxy steht dabei eigentlich im Weg, da er ja u.a. verhindern soll, das Daten ins Netz gehen ohne über den Proxy zu laufen. Also muss dein Netzwerk auch ohne Proxy ins Internet damit das so ohne weiteres klappt.... denke ich, weiss ich aber nicht genau.

          Frage2: Das kommt auf die Firewall an. Zumindest sollte die Firewall diesen Port nicht ohne weiteres Daten senden oder empfangen lassen.

          XPectIT
        
             bei Antwort benachrichtigen
        
        xafford Aenguish „Peer to Peer Verbindung über Ports aufbauen, was sacht eine Fire“
      
        21.11.2002, 00:00 Optionen
      
          grundsätzlich mußt du unterscheiden, ob es sich um einen proxy oder eine firewall handelt. zwar ist ein proxy auch eine art firewall, aber i.a. sprachgebrauch sind firewalls statefull packet filter.

          bei einer firewall kommt es dann auch noch darauf an, ob dieser portmapping (forwarding) unterstützt und ob er mit NAT/Masquerading läuft.

          nun mal zu den einzelnen fällen:

          hast du einen proxy vorm server, so ist das unternehmen nur in zwei fällen machbar.

          1: der proxy kennt das protokoll über das die applikation arbeitert (http, ssh, telnet,..) oder 2: das protokoll kann in ein dem proxy bekanntes protokoll gekapselt (getunnelt) werden.

          jetzt zu den fällen mit firewall:

          hat der server eine öffentliche IP und die firewall arbeitet nicht mit NAT oder masquerading, so mußt du zum ansprechen des servers die IP des servers angeben um diesen zu erreichen und die ports für die verbindung müssen freigeschaltet sein.

          hat der server eine IP aus dem nichtöffentlichen pool, so geht es nur über forwarding/mapping. in diesem fall muß die ip der firewall angegeben werden, auf dieser muß eben dieser port auf den server gemappt werden.

          natürlich muß die firewallkonfig entsprechend angepasst werden. eine echte firewall interessieren auch keine listen-ports (ich hoffe wir sprechen hier nicht über desktopfirewalls). die firewall sieht den offenen port auf dem server nicht, sie sieht nur datenpakete. der verbindungsaufbau zum server läuft auch von außen, also der client kontaktiert den server. deswegen muß in der firewall der eingehende verkehr an die adresse des servers für das entsprechende protokoll freigeschaltet sein. der umgekehrte weg muß bei einer statefull packet FW nicht freigeschaltet werden, da sie erkennt, daß die antwort des servers zu einer bereits etablierten verbindung gehört, und somit eine rechtmäßige antwort ist (dies wird über die verbindungsid erkannt).

          übrigens erlauben die meisten FWs VPN-tunnel, dies wäre auch eine möglichkeit dies zu realisieren, da damit auch die verbindung abgesichert ist.
        
         Pauschalurteile sind immer falsch!!!
      
             bei Antwort benachrichtigen
        
        Aenguish Nachtrag zu: „Peer to Peer Verbindung über Ports aufbauen, was sacht eine Fire“
      
        21.11.2002, 00:00 Optionen
      
          Danke für die Antworten, es handelt sich um einen ISA-Server auf dessen Konfiguration ich keinen Einfluss habe, das Projekt ist dann wohl für mich gestorben... :(

          Ich dachte das ein Port wenn er von Innen geöffnet würde ohne Probleme von Außen kontaktiert werden könnte. Ich frage mich dann

          nur warum es überhaupt spezielle Trojaner-Abwehr-tools gibt, wenn

          doch eine Firewall ihm 0 Chancen gibt.(Jedenfalls bei korrekter config)

          Schade eigentlich, aber was solls, werde ich mich mal nach einer

          anderen Möglichkeit umschauen. Vielen Dank für die ausführlichen Antworten trotzdem.

          MfG, Aenguish.
        
             bei Antwort benachrichtigen
        
        xafford Aenguish „Danke für die Antworten, es handelt sich um einen ISA-Server auf dessen...“
      
        21.11.2002, 00:00 Optionen
      
          punkt 1: ISA-server ist eine kombi aus Proxy und statefull packet filter, das bedeutet aber nicht, daß es keine möglichkeit gibt da durch zu kommen, aber deine aussage, daß du keinen einfluß auf den ISA-server hast deutet für mich darauf hin, daß du auch keine allzu lauteren absichten hast, sorry falls ich falsch liege, aber der verdacht liegt nahe.

          deine frage bezüglich ports von innen/außen geöffnet stellt ich etwas vor rätsel. du hattest doch gesagt, daß der SERVER hinter der firewall steht, also wird der port auch von außen geöffnet, nicht von innen (server werden kontaktiert von clients, nicht die clients werden von servern kontaktiert). ein lauschender port ist kein öffnender port, eventuell solltest du dich mal über die grundlagen von tcp/ip informieren, wenn du da etwas falsch verstanden hast.

          was trojaner angeht, so kann eine firewall oder ein proxy auch kein allheilmittel sein, da es mittel und wege für einen trojaner gibt eine firewall auszutricksen. die beste firewall nutzt nichts, wenn jemand, der das netzwerk kennt es von innen kompromittiert.

          ps: ein kleiner tipp, falls ich mit meiner vermutung richtig liege, LAß ES, DU KANNST IN TEUFELS KÜCHE KOMMEN! und falls ich daneben liege mit meiner vermutung, hier schon mal ein dickes SORRY.
        
         Pauschalurteile sind immer falsch!!!
      
             bei Antwort benachrichtigen