Discussion:
port 8080 und 3128 durch Firewall erlauben ??
(zu alt für eine Antwort)
christoph hanle
2004-11-04 19:19:56 UTC
Permalink
Hallo,
ich hatte heute eine etwas unangenehme Diskussion mit dem zuständigen
Herren eines Schwesterunternehmens von uns, weil wir Ihre Webseiten
nicht erreichen können; die Firma leitet wohl die Anfragen auf Ihren
Webserver über einen Proxy auf einen anderen Server um, und verwendet
dazu den Port 8080; zum Ausprobieren http://www.oekodata.de .
Auf meinen Hinweis, daß wir da Probleme haben, und wahrscheinlich nicht
die einzigen sind, bekam ich nur zur Antwort, Port 8080, 3128 und
442(??) durch die Firewall zu erlauben wäre Standard.

Bis jetzt stelle ich im groben jeden Router/ Firewall folgendermaßen ein:
erlaubte PCs oder interner Proxy -> tcp 80 +443 -> 0.0.0.0 allow (HTTP +
HTTPS)
alle PCs oder interner DNS -> tcp/udp 53 -> DNS Provider allow (DNS)
erlaubte PCs oder interner proxy -> tcp 21 -> 0.0.0.0 allow (passive FTP)
alle PCs oder interner Zeitserver -> tcp/udp 123 -> x.x.x.x (Time)

ohne eigenen Mailserver:
erlaubte PCs -> tcp 25 + 110 (+143) -> Mailserver (pop3/smtp/ imap

mit eigenem Mailserver + DNS-Eintrag
interner Mailserver -> tcp 110 -> 0.0.0.0 (smtp)

damit ist für mich der Weg von trusted nach untrusted erstmal
abgeschlossen, und Port 8080 und 3128 gehören für mich auf alle Fälle
nicht zum Standard dazu, vor allem nicht nach 0.0.0.0 .
Wie ist eure Meinung
Jens Bothe
2004-11-04 19:37:29 UTC
Permalink
Hallo,
Post by christoph hanle
ich hatte heute eine etwas unangenehme Diskussion mit dem zuständigen
Herren eines Schwesterunternehmens von uns, weil wir Ihre Webseiten
nicht erreichen können; die Firma leitet wohl die Anfragen auf Ihren
Webserver über einen Proxy auf einen anderen Server um, und verwendet
dazu den Port 8080; zum Ausprobieren http://www.oekodata.de .
hmm, wenn sie so nen Blödsinn machen dann möglichst transparent. 8080
ist zwar Webchache aber nicht bei jedem Setup erlaubt. (Bei mir laufen
80 und 8080 über nen den Zwangsproxy.
Post by christoph hanle
Auf meinen Hinweis, daß wir da Probleme haben, und wahrscheinlich nicht
die einzigen sind, bekam ich nur zur Antwort, Port 8080,
siehe oben
Post by christoph hanle
3128
typischerweise nen Squid, warum sollte man den von extern erreichen
Post by christoph hanle
442(??)
hmm, ganz ungewöhnlich
Post by christoph hanle
Wie ist eure Meinung
Proxy der 8080 darf, direkt sowieso nicht.

Grüße

Jens
Sascha Lebeda
2004-11-04 21:00:54 UTC
Permalink
Post by christoph hanle
Auf meinen Hinweis, daß wir da Probleme haben, und wahrscheinlich nicht
die einzigen sind, bekam ich nur zur Antwort, Port 8080, 3128 und
442(??) durch die Firewall zu erlauben wäre Standard.
Also als Standard würde ich das nicht sehen. Port 8080 ist noch vertretbar,
da ich auch einige Server kenne, die diverse Anwendungen an diesen Port
binden.

3128 ist typischerweise squid Web-Cache, warum man den von aussen erreichen
sollte ist mir schleierhaft, denn der sollte doch dazu dienen lokal ein
cache-Angebot zur Verfügung zu stellen.

442 ? Ganz aussergewöhnlich! Vielleicht meinte er 443 (https) so wie du
unten schon geschrieben hast.
Post by christoph hanle
erlaubte PCs oder interner Proxy -> tcp 80 +443 -> 0.0.0.0 allow (HTTP +
HTTPS)
entspricht auch meinen Konfigurationen
Post by christoph hanle
damit ist für mich der Weg von trusted nach untrusted erstmal
abgeschlossen, und Port 8080 und 3128 gehören für mich auf alle Fälle
nicht zum Standard dazu, vor allem nicht nach 0.0.0.0 .
Wie ist eure Meinung
Also ich würde denjenigen mal fragen wieso sich sicherheitsbewusste
User/Amins an ein nicht übliches Vorgehen anpassen sollen?

Es handelt dich doch um eine Firma, oder etwa nicht? Demnach sollte man
doch von ausgehen, dass sie etwas anbieten und verkaufen wollen. Also
sollen sie gefälligst ein Internetangebot zur Verfügung stellen, das auch
von _jedem_ erreichbar und nutzbar ist!

Gruss
Sascha
--
end
Zwei Dinge sind unendlich: Das Universum und die menschliche Dummheit.
Aber beim Universum bin ich mir nicht ganz sicher. (Albert Einstein)
Heiko Schlenker
2004-11-04 21:48:04 UTC
Permalink
Port 8080, 3128 und 442(??) durch die Firewall zu erlauben wäre
Standard.
Standard fürs WWW sind die Ports 80 und 443 (für HTTPS). An den o.g.
genannten Ports lauschen üblicherweise HTTP-Proxies (z.B. squid oder
wwwoffle). Die stehen meist im LAN oder im Provider-Netz.

Gruß, Heiko
--
<URL:http://www.kirchwitz.de/~amk/dni/erst-lesen-dann-schreiben>
<URL:http://www.lugbz.org/documents/smart-questions_de.html>
<URL:http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html>
<URL:http://www.rz.tu-ilmenau.de/~traenk/dcsm.htm>
Andreas Werschlan
2004-11-04 22:56:20 UTC
Permalink
Post by christoph hanle
nicht erreichen können; die Firma leitet wohl die Anfragen auf Ihren
Webserver über einen Proxy auf einen anderen Server um, und verwendet
dazu den Port 8080; zum Ausprobieren http://www.oekodata.de .
Port 8080 ist auch der default Port des HTTP Connectors von Tomcat,
und siehe da:

$ curl -s --head http://www.oekodata.de:8080 | fgrep Server
Server: Apache Tomcat/4.0.3 (HTTP/1.1 Connector)
Post by christoph hanle
Wie ist eure Meinung
Sieht so aus als hätten sie den Tomcat nicht in ihren IIS eingebunden
bekommen:

$ curl -s --head http://www.oekodata.de | fgrep Server
Server: Microsoft-IIS/5.1

IMHO liegt hier ein fehlerhaftes Verständnis bei oekodata vor, sie sollten
entweder den HTTP Connector auf Port 80 konfigurieren, oder noch besser
stattdessen Apache und mod_jk nehmen. Das hilft dir aber nicht weiter,
du wirst wohl Port 8080 freischalten müssen wenn du diese Seite besuchen
willst.

Üblich ist so ein Verhalten allerdings nicht, bei uns[tm] geht nur
Port 80 und 443 über den Proxy und etwas anderes sollte man als
Betreiber einer Webseite auch nicht erwarten.

/aw
--
55AA
Bernd Eckenfels
2004-11-04 23:13:47 UTC
Permalink
Post by Andreas Werschlan
IMHO liegt hier ein fehlerhaftes Verständnis bei oekodata vor, sie sollten
entweder den HTTP Connector auf Port 80 konfigurieren, oder noch besser
stattdessen Apache und mod_jk nehmen.
Warum?

Gruss
Bernd
y
Andreas Werschlan
2004-11-04 23:27:21 UTC
Permalink
Post by Bernd Eckenfels
Post by Andreas Werschlan
IMHO liegt hier ein fehlerhaftes Verständnis bei oekodata vor, sie sollten
entweder den HTTP Connector auf Port 80 konfigurieren, oder noch besser
stattdessen Apache und mod_jk nehmen.
Warum?
Weil eben nicht jeder Zugriffe auf Port 8080 erlaubt?

Apache und mod_jk ist eher eine persönliche Präferenz, ich möchte
nichts mit dem IIS zu tun haben und der Tomcat Connector lässt sich
häufig nicht so konfigurieren wie ich es gerne hätte. Wenn man noch PHP
oder ähnliches braucht hat man sowieso keine andere Wahl.

/aw
--
55AA
Rainer Zocholl
2004-11-05 20:37:00 UTC
Permalink
Post by Andreas Werschlan
Post by christoph hanle
nicht erreichen können; die Firma leitet wohl die Anfragen auf Ihren
Webserver über einen Proxy auf einen anderen Server um, und
verwendet dazu den Port 8080; zum Ausprobieren
http://www.oekodata.de .
Port 8080 ist auch der default Port des HTTP Connectors von Tomcat,
$ curl -s --head http://www.oekodata.de:8080 | fgrep Server
Server: Apache Tomcat/4.0.3 (HTTP/1.1 Connector)
Post by christoph hanle
Wie ist eure Meinung
Sieht so aus als hätten sie den Tomcat nicht in ihren IIS eingebunden
$ curl -s --head http://www.oekodata.de | fgrep Server
Server: Microsoft-IIS/5.1
IMHO liegt hier ein fehlerhaftes Verständnis bei oekodata vor, sie
sollten entweder den HTTP Connector auf Port 80 konfigurieren,
Das geht doch nicht, da liegt doch der IIS! :->

Und bekomm mal ohne jede Ahnung einen IIS -dauerhaft- tot
oder auch nur auf einen anderen Port geschoben.
Post by Andreas Werschlan
oder noch besser stattdessen Apache und mod_jk nehmen.
Sie sollten eine sog. Firewall einsetzen, und
extrene anfragen Port 80 entsprechend forwarden.


Oder einen revers proxy auf dem Server (port 80) laufen lassen,
der das ganze Chaos komplett verstecken kann.
Post by Andreas Werschlan
Das hilft dir aber nicht weiter, du wirst wohl Port 8080 freischalten
müssen wenn du diese Seite besuchen willst.
Üblich ist so ein Verhalten allerdings nicht, bei uns[tm] geht nur
Port 80 und 443 über den Proxy und etwas anderes sollte man als
Betreiber einer Webseite auch nicht erwarten.
Das tun viele nicht
"81"
"88"
"8000"

sind auch "üblich".
Nicht nur für "Grauserver"...
Andreas Werschlan
2004-11-07 11:21:02 UTC
Permalink
Post by Rainer Zocholl
Post by Andreas Werschlan
IMHO liegt hier ein fehlerhaftes Verständnis bei oekodata vor, sie
sollten entweder den HTTP Connector auf Port 80 konfigurieren,
Das geht doch nicht, da liegt doch der IIS! :->
Und bekomm mal ohne jede Ahnung einen IIS -dauerhaft- tot
oder auch nur auf einen anderen Port geschoben.
Kann ich nicht beurteilen, habe mit dem IIS nichts zu tun.
Post by Rainer Zocholl
Post by Andreas Werschlan
oder noch besser stattdessen Apache und mod_jk nehmen.
Sie sollten eine sog. Firewall einsetzen, und
extrene anfragen Port 80 entsprechend forwarden.
Wäre eine Möglichkeit.
Post by Rainer Zocholl
Oder einen revers proxy auf dem Server (port 80) laufen lassen,
der das ganze Chaos komplett verstecken kann.
Aber statt eines Reverse Proxy könnten sie ja gleich einen Apache mit
mod_jk nehmen.
Post by Rainer Zocholl
Post by Andreas Werschlan
Üblich ist so ein Verhalten allerdings nicht, bei uns[tm] geht nur
Port 80 und 443 über den Proxy und etwas anderes sollte man als
Betreiber einer Webseite auch nicht erwarten.
Das tun viele nicht
"81"
"88"
"8000"
sind auch "üblich".
Nicht nur für "Grauserver"...
Ich kenne das Problem, natürlich wäre es in gewissen Situationen
verlockend einfach einen anderen Port für HTTP zu verwenden, aber das
macht man einfach nicht wenn man will das seine Seiten auch problemlos
besucht werden können.

/aw
--
55AA
christoph hanle
2004-11-06 09:50:17 UTC
Permalink
Thx erstmal für die Antworten, und sorry, daß ich so verkehrt antworte,
aber der Newsserver meines Providers spinnt rum, und ich kann einige
Antworten nur bei Google sehen.

Um nochmal auf den Kern meiner Frage zurückzukommen,
für mich ist Port 80 und 443 der Standard für http(s) und die
Möglichkeit noch andere Ports zu verwenden ist mir auch bekannt, aber
ich erkenne nicht die Notwendigkeit auf einer Firewall noch prinzipiell
zusätliche Ports nach 0.0.0.0 zu öffnen, weil da könnte ja auch noch was
sein, und gerade der Zugriff auf "Grauserver" ist ja gerade nicht
erwünscht bzw. durch die Einstellungen der Firewall (access-deny) verboten.
Natürlich kann ich auch Zeichen der Zeit übersehen, und innerhalb
unseres Securitykonzepts Fehler haben, die behoben werden müssen.
Schade wäre ja wirklich, wenn Firewalls und Securitykonzepte und
-maßnahmen für alle Zeiten 100% sicher wären, dann wäre ich nämlich mit
meinem Job fertig und könnte mir einen neuen Arbeitgeber suchen.

und tschüß
Bernd Eckenfels
2004-11-06 10:03:38 UTC
Permalink
Post by christoph hanle
Um nochmal auf den Kern meiner Frage zurückzukommen,
für mich ist Port 80 und 443 der Standard für http(s) und die
Möglichkeit noch andere Ports zu verwenden ist mir auch bekannt, aber
ich erkenne nicht die Notwendigkeit auf einer Firewall noch prinzipiell
zusätliche Ports nach 0.0.0.0 zu öffnen, weil da könnte ja auch noch was
sein
Und wieso sollte auf 443 und 80 nicht auch was anderes sein?

Es ist eigentlich ganz einfach, wenn du die ports sperrst musst du den usern
erklaeren warum du das gemacht hast. Idealerweise legst du das vorher
schriftlich nieder. Und wenn dann ein user eine wichtige site nicht
erreicht, dann wird sich es zeigen wer den laengeren atem hat, deine
security policy oder der user. Da gibts keine allgemeingültige Antwort :)

Wenn du Grauserver einigermassen umgehen willst hilft dir nur das
whitelisten oder eine komplette sperre.

Gruss
Bernd
Kristian Koehntopp
2004-11-06 11:12:50 UTC
Permalink
Post by christoph hanle
Um nochmal auf den Kern meiner Frage zurückzukommen,
für mich ist Port 80 und 443 der Standard für http(s) und die
Möglichkeit noch andere Ports zu verwenden ist mir auch bekannt, aber
ich erkenne nicht die Notwendigkeit auf einer Firewall noch prinzipiell
zusätliche Ports nach 0.0.0.0 zu öffnen, weil da könnte ja auch noch was
sein, und gerade der Zugriff auf "Grauserver" ist ja gerade nicht
erwünscht bzw. durch die Einstellungen der Firewall (access-deny) verboten.
Du solltest nicht nach Ports gehen, sondern nach dem Inhalt der
Verbindungen.

Eine Firma, in der ich gearbeitet habe, hat zum Beispiel damals wie heute
einen Rechner betrieben, auf dem ssh auf den Ports 22 und 443 lief. Dadurch
war es den Consultants dieser Firma möglich, auch aus den Netzen nach Hause
zu connecten, in denen nur die Ports 80 und 443 beim Kunden freigeschaltet
waren. Mit der SSL-Proxy-Bridge von putty und anderen SSH-Clients war es
sogar dann möglich, wenn gar kein direkter Connect nach draußen möglich
war, sondern nur ein Proxy-Server für Webzugriff beim Kunden vorhanden war.

Mit ssh-Tunneln hat man so beim Kunden sogar gewohnt rdesktop und imap nach
Hause machen können. Sehr bequem.

Kristian
Oliver Schad
2004-11-06 22:30:35 UTC
Permalink
Post by Kristian Koehntopp
Eine Firma, in der ich gearbeitet habe, hat zum Beispiel damals wie
heute einen Rechner betrieben, auf dem ssh auf den Ports 22 und 443
lief. Dadurch war es den Consultants dieser Firma möglich, auch aus
den Netzen nach Hause zu connecten, in denen nur die Ports 80 und
443 beim Kunden freigeschaltet waren.
Ist das von den Kunden so gewollt?

mfg
Oli
--
Man darf ruhig intelligent sein, man muss sich nur zu helfen wissen.
Kristian Koehntopp
2004-11-07 08:54:16 UTC
Permalink
Post by Oliver Schad
Post by Kristian Koehntopp
Eine Firma, in der ich gearbeitet habe, hat zum Beispiel damals wie
heute einen Rechner betrieben, auf dem ssh auf den Ports 22 und 443
lief. Dadurch war es den Consultants dieser Firma möglich, auch aus
den Netzen nach Hause zu connecten, in denen nur die Ports 80 und
443 beim Kunden freigeschaltet waren.
Ist das von den Kunden so gewollt?
Wie immer ist die Situation komplizierter.

Das kommt darauf an, mit wem beim Kunden Du da redest. Der Mensch beim
Kunden, der Dich als Consultant bezahlt, will es so - er möchte den
Consultant für eine bestimmte Aufgabe haben, und wenn der Consultant dann
mal schnell einige Patches ziehen, Mail daheim durchsuchen oder andere
Dinge bei seiner Mutterfirma tun muß, um seinem Auftrag beim Kunden gerecht
zu werden, dann will er das sehr dringend.

Der Mensch beim Kunden, der das Netz und die Security-Richtlinie gemacht
hat, will es gewiß nicht - sonst hätte er das Netz anders konstruiert. Aber
von dem bekommt der Consultant seine Kohle nicht.

Und so geht es wie es immer geht: Die eine machen die Löcher kleiner, um
unterschiedliche Dinge durch unterschiedliche Löcher zu führen und so
Rechte getrennt einstellen zu können. Die anderen führen deswegen noch eine
weitere Ebene der Encapsulation und des Multiplexen ein, um durch das Loch
trotzdem wieder mehrere Dinge gleichzeitig machen zu können, und so jede
Menge Bürokratur zu entgehen und schnell und flexibel reagieren zu können.

Weitere Beispiele für solche Konstrukte sind SOAP, DCE-over-SMB und ähnliche
Protokollmonster.

Kristian
Rainer Zocholl
2004-11-06 18:58:00 UTC
Permalink
Post by christoph hanle
Thx erstmal für die Antworten, und sorry, daß ich so verkehrt
antworte, aber der Newsserver meines Providers spinnt rum, und ich
kann einige Antworten nur bei Google sehen.
Um nochmal auf den Kern meiner Frage zurückzukommen,
für mich ist Port 80 und 443 der Standard für http(s) und die
Möglichkeit noch andere Ports zu verwenden ist mir auch bekannt, aber
ich erkenne nicht die Notwendigkeit auf einer Firewall noch
prinzipiell zusätliche Ports nach 0.0.0.0 zu öffnen,
Das verlangt ja niemand.
Listigerweise sperrt z.B. Mozilla selbst Zugriff auf "untypische"
ports, z.B. den systat port 11.
Es ist dort auch genau beschrieben warum sie das machen.
Der inherent hochsicherer IE blockt jedoch nicht.
Mich nervt es, weil ich hinter dem "systat" oft
die Statusinformation eines Servers als HTTP kompatiblen plain text ablege.
Man muss ja für eine "statische" Seite nicht gleich einen HTTP Server
installieren...
Post by christoph hanle
weil da könnte ja auch noch was sein,
und gerade der Zugriff auf "Grauserver" ist ja
gerade nicht erwünscht bzw. durch die Einstellungen der Firewall
(access-deny) verboten.
Ich weiss nicht ob es bei euch in der Firma Minderjährige gibt,
für die Du der Erziehnungsberechtigte bist, und somit
dir erlaubt ist zu bestimmen was sie lesen und was nicht...

Mit "Grauserver" meine ich server auf den Hintergrund infos
abgeboten werden, die für einfach Konsumenten uninterssant sind und
aus technischen Gründen separat gehostste werden, wie z.B.
die Doku von SCO.

Ich weiss aus eigener Erfahrung wie ungemein frustierend es ist,
bei Google eine (mögliche) Antwort zu einer Frage zu finden und
dann aus fadenscheinigen, dummen Gründen diese nicht sehen zu dürfen.
Tenor: "Brauche Sie die Info UNBEDINGT(!) für ihre Arbeit?"
Noe, natürlich nicht, ich erfinde immer wieder gerne das Rad neu
und schicke die Daten dann halt als 300 emails zu 1MB dem Kunden
anstatt sie auf seinen ftp server zu schienben.
Das macht ungemein erfinderisch doch an die Infos zu kommen.
Nur: Ich könnte meine Zeit bessser nutzen als den Admin
austricksen zu müssen. (Oder bis zum abend zu warten ind
von zuhause nachsehen.)
Post by christoph hanle
Natürlich kann ich auch Zeichen der Zeit übersehen,
und innerhalb unseres Securitykonzepts Fehler haben,
die behoben werden müssen.
Du solltest schon sagen können warum Du die Ports zuhälst,
hinter denen ganz offensichtlich nüttzlich Infos für die Mitarbeiter
sein können.

Natürlich hat auch der Serverbetreiber "Schuld" wenn er
Infos die allgemein verfügbar sein sollen, hinter einem
"ungewöhnlichen" Port versteckt.
Ich weiss jetzt auch nicht wie Google&Co. auf sowas reagiert ;-)
Post by christoph hanle
Schade wäre ja wirklich, wenn Firewalls und Securitykonzepte
und -maßnahmen für alle Zeiten 100% sicher wären,
dann wäre ich nämlich mit meinem Job fertig und könnte mir einen neuen
Arbeitgeber suchen.
Das kannst Du auch, wenn Du die Leute in ihrer Arbeit behinderst...

(Im obigen Fall wurde die unsinnige Firewall nach 6 Wochen dort hin
gestellt wo sie her kam: Auf den Müllhaufen. Die Admins hatten
allerdings Erfahrung und hatten schon voher alles -bis auf's Detail-
von aller höchster Stelle absegen lassen (Diese absurde Filterungsidee
kam auch aus der völlig abgehobenen Führungsebene, nicht von den Admins).
Die kam z.B. auf die Idee das "Gaming" ganz böse sei und
das man bei google ja seiten übersetzen lassen könnte, auf die
man sonst nicht zugreifen dürfte.
"Leider" übersahen sie dabei, das sie eng mit diesen "dubiosen" Spiele-
Hersteller Sony eng zusammen arbeiten... (Da wurde
wohl denen selbst klar, das sie von Hersteller des Filter verarscht
worden simd. Der behauptete verhement, das sämtliche sperrten Seiten
manuell überwacht würden, und daher der Regelupdate so teuer war.
Warum man dann nach Aktivierung von "no gaming" nicht mehr auf die
Datenblatt-Seiten von Sony kommen konnte war dann schon sehr seltsam...)

Die einzige(?) sichere(?) Konfig kenne von einen grossen Deutschen
Hersteller von Elektrogeräteen und prof. TV-Equipment:
Die geben nur "Telefonbuch.de" und "GelbeSeiten.de"
explizit frei. Der Rest des Internets exisiert nicht.
Das reicht ja auch, oder?
Rainer Zocholl
2004-11-07 22:37:00 UTC
Permalink
Post by christoph hanle
Hallo,
ich hatte heute eine etwas unangenehme Diskussion mit dem zuständigen
Herren eines Schwesterunternehmens von uns, weil wir Ihre Webseiten
nicht erreichen können; die Firma leitet wohl die Anfragen auf Ihren
Webserver über einen Proxy auf einen anderen Server um, und verwendet
dazu den Port 8080; zum Ausprobieren http://www.oekodata.de .
Auf meinen Hinweis, daß wir da Probleme haben, und wahrscheinlich
nicht die einzigen sind, bekam ich nur zur Antwort, Port 8080, 3128
und 443 durch die Firewall zu erlauben wäre Standard.
Also ich hab mal die Seite aufgerufen...
So als "leicht paranoider Anwender" kommt mir das ":8080"
ganz schön suspekt/unseriös vor. Ist das ein privates Projekt? ;-)

Das sollten die wirklich ändern, zumal auf port 80 ja nix
sinnvolles ist!

Naja, auf jeden Fall besser als www.oeko-test.de:
Von da bekomme ich nicht mal ne seite...

Loading...