Moin!

Meine Frage ist folgende: Wenn ich mit einer solchen Firewall alle unbenötigten Ports schliesse, und ein paar wenige offen lasse wie 80 und 22, warum sollte sich dadurch die Sicherheit erhöhen?

Wenn auf einem Hardware-Server nur zwei (Software-)Server für HTTP und SSH laufen, dann sind sowieso nur Port 80 und 22 offen. Da jetzt noch eine Firewall vorzupacken, die die restlichen Ports "schließt", ist vollkommener Schwachsinn und verbrät vermutlich nur unnötig CPU-Power. Denn anstelle des IP-Stacks, der Connects zu ungeöffneten Ports zurückweist, muß zusätzlich ja die Firewall installiert sein und würde zuerst mal anstelle des IP-Stacks die hereinkommenden Pakete durch die Filterregeln jagen - auch die an die geöffneten Ports. Danach kommt dann der reguläre IP-Stack dran und leitet die Datenpakete an die Serversoftware weiter.

Eine Firewall ist nur dann notwendig bzw. sinnvoll, wenn tatsächlich individueller gefiltert werden soll, als das die Konfiguration der Serversoftware erlaubt. Wenn also beispielsweise der Zugriff auf den SSH-Port nur für einen bestimmten IP-Bereich freigeschaltet wird, und das auch erst dann, nachdem die Firewall einen definierten Portscan an bestimmten anderen Ports festgestellt hat, dann ist das eine Funktion, die man vermutlich nicht im sshd vorfinden wird oder dort konfigurieren kann.

Angelehnt daran die Frage: Für den passiven FDP-Modus muss eine ganze Port-Spanne offen sein. Damit dürfte sich nach dieser Sicht die Sicherheit ja ins bodenlose verringern.

Nein. Nicht die Anzahl der offenen Ports ist relevant für die Sicherheit, sondern die Anzahl der Serversoftware, die diese Ports bedient.

Wenn du eine hackbare Version einer Serversoftware einsetzt, dann reicht schon 1 Port aus, um den Server zu knacken. Wenn du umgekehrt eine sichere Version eines FTP-Servers einsetzt, dann kann der gerne alle 65000 Ports öffnen - es wird nicht das geringste passieren.

Ein offener Port ist nicht grundsätzlich unsicher. Aber je mehr offene Ports mit dahinter lauschenden Server-Softwares man hat, desto größer wird die Wahrscheinlichkeit sein, dass man irgendwo eine Konfiguration falsch gemacht hat oder dass ein Exploit für die nicht rechtzeitig genug aktualisierte Software gefunden wird.

Die Faustregel, offene Ports unbedingt zu schließen, ist daher eigentlich für die unerfahrenen Nutzer gedacht, die z.B. auf ihren Windows-Kisten gar keinen Server drauf laufen haben wollen, aber unbemerkt aufgrund der Standardinstallation dennoch reichlich Server betreiben, über die sie grundsätzlich angreifbar wären. Ist halt ein simpler Risiko-Grundsatz: Wenn ein offener Port und der damit verbundene Server mir nicht bekannt sind, und ich dessen Funktionen auch nicht benötige, dann minimiere ich das Risiko, indem ich den Server stoppe (was den Port automatisch schließt) - oder wenn das nicht so einfach geht (wer kennt schon Windows genau?) wird der Zugriff aus dem Netz wenigstens (als Notlösung) durch eine Firewall unmöglich gemacht.

- Sven Rautenberg