FRITZ!Box - Offene Ports via nmap ermitteln und schließen

 

Die FRITZ!Box ist einer der beliebtesten Router im Heimbereich. Auch ich verwende diese seit Jahren und kann mich über die Geräte nicht beschweren. Leider sind in letzter Zeit, wie bei den meisten Routerherstellern, immer wieder Sicherheitslücken aufgetaucht.

Aus diesem Grund, schalte ich grundsätzlich alle Dienste der FRITZ!Box ab, die ich nicht unbedingt benötige.

Als erstes suche ich via „NMAP“ über die Konsole nach offenen Ports. Hierzu benötigit Ihr die öffentliche IP der FRITZ!Box.

Diese findet Ihr z.B. unter „System / Ereignisse / Internetverbindung“.

 sudo nmap -sS <öffentliche IP der FRITZ!Box>


Mit dem Operator „-sS“ wird für jeden Port eine TCP-Verbindung aufgebaut.

Die Ausgabe sieht dann folgendermaßen aus:

 sudo nmap -sS <IP-Adresse>
Starting Nmap 6.00 ( http://nmap.org ) at 2016-05-25 22:36 CEST
Nmap scan report for <IP-Adresse>
Host is up (0.084s latency).
Not shown: 996 filtered ports
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
443/tcp open https
8089/tcp open unknown

Die Ports 21 (FTP) und 8089 (Fernwartung für Hersteller) werden von mir nicht benötigt und müssen somit geschlossen werden.

Der Port 80 erscheint hier nur, weil dort eine Weiterleitung auf HTTPS (Port 443) erfolgt. Leider lässt sich dieser nicht komplett schließen.

Ein Port wird hier nicht gelistet und das ist Port 25 SMTP. Warum dieser nicht erscheint, kann ich nicht nachvollziehen.


Fernwartung (Port 8089 TCP)

Um die Fernkonfiguration zu deaktivieren, gehen wir in der Weboberfläche auf „Internet / Zugangsdaten / Anbieter-Dienste“ und deaktivieren den Punkt „Automatische Einrichtung durch den Dienstanbieter zulassen“.
Bitte beachtet, dass somit aber auch keine automatischen Updates Eures Providers mehr eingespielt werden können. Jedoch kann in diesem Falle kurzfristig die Fernkonfiguration wieder aktiviert werden.

Dies ist auch nötig, wenn Euer Provider über die IMEI auf Eure FRITZ!Box zugreifen muss (z.B. bei Problemen mit der Verbindung).



ftp (Port 21 TCP)

Um FTP erfolgreich zu deaktivieren, müssen erst etwaige FTP-Benutzer gelöscht werden. Ansonsten läuft der Dienst weiter, obwohl er in der Weboberfläche deaktiviert ist.

Hierzu wechseln wir als erstes auf „System / FRITZ!Box-Benutzer / Benutzer“ und löschen (deaktivieren) die betroffenen Benutzer.



Anschließend wechseln wir auf „Internet / Freigaben / Fritz!Box Dienste“ und deaktivieren den Punkt „Internetzugriff auf Ihre Speichermedien über FTP/FTPS aktiviert“.



Überprüfung der offenen Ports

Zum Abschluss überprüfen wir via „NMAP“ nochmals die Ports. Das Ergebnis sollte am besten wie folgt aussehen:

PORT STATE SERVICE
80/tcp open http
443/tcp open https

HTTPs ist immer aktiviert, wenn die FRITZ!Box aus dem Internet erreichbar ist. Dies benötigt Ihr z.B. für den Zugriff via VPN.

Auf diese Weise, könnt Ihr alle nicht benötigten Dienste herausfinden und deaktivieren. Diese beiden Dienste dienen nur als Beispiel, es können durchaus noch mehr Ports geöffnet sein.

Bitte beachtet, dass Ihr „NMAP“ nur gegen Geräte einsetzt, über die Ihr die Hoheit habt. Es gibt Admins, die solche Portscans als Angriff werten.


Bewertung
 stars  from 0 votes
Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen: