offene UDP Ports bei Fritzbox

Georg Schwarz

unread,

Nov 21, 2020, 12:19:41 PM11/21/20

to

Habe mal eine FB7530 mit aktuellem 07.20 per nmap auf dem LAN nach
UDP-Ports gescannt. Hier das Ergebnis:

PORT STATE SERVICE
53/udp open|filtered domain
67/udp open|filtered dhcps
1900/udp open|filtered upnp
5060/udp open|filtered sip
5351/udp open nat-pmp
5353/udp open|filtered zeroconf
5355/udp open|filtered llmnr
55544/udp open|filtered unknown

DNS, DHCP und SIP sind jetzt keine Überraschung.
Aber wieso sind upnp, nat-pmp. zeroconf offen?
Wie bekommt man das weg?
Wie bekommt man llmnr weg?
Und was ist los auf 55544/udp?

In der Fritzbox sind "Zugriff für Anwendungen zulassen" und "Statusinfo
über UPnP übertragen" deaktiviert.

Marc Haber

unread,

Nov 22, 2020, 5:35:27 AM11/22/20

to

georg....@freenet.de (Georg Schwarz) wrote:
>Habe mal eine FB7530 mit aktuellem 07.20 per nmap auf dem LAN nach
>UDP-Ports gescannt. Hier das Ergebnis:
>
>PORT STATE SERVICE
>53/udp open|filtered domain
>67/udp open|filtered dhcps
>1900/udp open|filtered upnp
>5060/udp open|filtered sip
>5351/udp open nat-pmp
>5353/udp open|filtered zeroconf
>5355/udp open|filtered llmnr
>55544/udp open|filtered unknown
>
>DNS, DHCP und SIP sind jetzt keine Überraschung.
>Aber wieso sind upnp, nat-pmp. zeroconf offen?

Weil die Fritzbox UPNP, PMP und mDNS anbietet.

Das ist ein auf Funktionalität, nicht auf höchste Sicherheit
optimiertes Gerät.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Marc Haber

unread,

Nov 22, 2020, 10:01:32 AM11/22/20

to

Beate Goebel <boe...@spamfence.net> wrote:
>Marc Haber schrieb am 22 Nov 2020

>
>> georg....@freenet.de (Georg Schwarz) wrote:
>>>
>>> DNS, DHCP und SIP sind jetzt keine Überraschung.
>>> Aber wieso sind upnp, nat-pmp. zeroconf offen?
>>
>> Weil die Fritzbox UPNP, PMP und mDNS anbietet.
>

>Was ist "PMP und mDNS"?

PMP ist das Port Mapping Protocol nach RFC Sechstausendirgendwas. mDNS
ist das mit foo.local, das Dir erlaubt, Deinen Drucker zu finden.

Georg Schwarz

unread,

Nov 22, 2020, 12:11:50 PM11/22/20

to

Marc Haber <mh+usene...@zugschl.us> wrote:

> >DNS, DHCP und SIP sind jetzt keine Überraschung.

> >Aber wieso sind upnp, nat-pmp. zeroconf offen?
>
> Weil die Fritzbox UPNP, PMP und mDNS anbietet.

äh, ja, die Aussage ist korrekt.

>
> Das ist ein auf Funktionalität, nicht auf höchste Sicherheit
> optimiertes Gerät.

vielleicht hätte ich meine Frage gleich präzisieren sollen:

was ist der Mehrwert, diese Dienste anzubieten?
Oder noch einfacher gefragt: was ist der empfohlene Weg, sie
abzuschalten?

Und weiß jemand, wieso Port 55544 offen ist?

Marc Haber

unread,

Nov 22, 2020, 12:29:15 PM11/22/20

to

Beate Goebel <boe...@spamfence.net> wrote:
>Andersrum: Port intern offen muss ja nicht heißen, dass von _aussen_
>ansprechbar. Oder?

Genau. AVM macht das schon richtiger als der Großteil der Mitbewerber.
Für jemanden, der für jeden offenen Port ein Faß aufmacht und jeden
Portscan an den Provider meldet, ist das Produkt halt nix.

Georg Schwarz

unread,

Nov 22, 2020, 3:50:52 PM11/22/20

to

Beate Goebel <boe...@spamfence.net> wrote:

> Georg Schwarz schrieb am 22 Nov 2020

>
> > Und weiß jemand, wieso Port 55544 offen ist?
>

> Schau mal in der Fritz unter: Internet/Freigaben, ob Du irgendeinem
> Programm Freigaben erteilt hast.
> Und unter: Internet/Freigaben/FB-Dienste, ob Deine Box von aussen über
> HTTP oder FTP erreichbar ist. Welcher Port, und besser auf HTTPS und
> FTPS umstellen, wenn nötig.

hatte ich bereits alles überprüft; alles ist ausgeschaltet, ebenso
USB/Speicher NAS-Funktion, USB-Fernanschluss, Mediaserver,

>
> Ansonsten sind Deine Fragen auch meine Fragen.

sehe gerade, dass man unter Diagnose/Sichereheit eine Liste der offenen
Ports im Heimnetz bekommen kann.

Port 55544 ist heute übrigens nicht mehr offen. Keine Ahnung, was da
gestern geantwortet hat.

Thomas Einzel

unread,

Nov 22, 2020, 4:07:18 PM11/22/20

to

Am 22.11.2020 um 18:29 schrieb Marc Haber:
...
> ... und jeden

> Portscan an den Provider meldet, ist das Produkt halt nix.

Das wäre eine Tagesfüllende Beschäftigung. Ok, fast, je nach Schwere des
Traumatas.
--
Thomas

Georg Schwarz

unread,

Nov 22, 2020, 4:51:36 PM11/22/20

to

Marc Haber <mh+usene...@zugschl.us> wrote:

> >Andersrum: Port intern offen muss ja nicht heißen, dass von _aussen_
> >ansprechbar. Oder?
>
> Genau. AVM macht das schon richtiger als der Großteil der Mitbewerber.

bei welchen Mitbewerbern (der Formulierung nach sollten es ja etliche
sein) sind denn Ports über das WAN ansprechbar?

Marc Haber

unread,

Nov 23, 2020, 2:07:35 AM11/23/20

to

Ich meite mit "das" die grundsätzliche Security-Awareness und auch die
Updates der Geräte nach Auslieferung.

Ein SIP-Router wird zum Beispiel Port 5060 nach außen offen haben.
TR-069 ist ein Pull-Schema, richtig?

Bastian Blank

unread,

Nov 23, 2020, 2:12:57 AM11/23/20

to

Georg Schwarz wrote:
> Port 55544 ist heute übrigens nicht mehr offen. Keine Ahnung, was da
> gestern geantwortet hat.

Weil du falsch gemessen hast. nmap sagte "open|filtered". Da UDP keine
Verbindungen kennt, gibt es kein Offen. Sondern es gibt drei Zustände

- es kam ein Antwort,
- es kam eine Fehlermeldung und
- es kam nichts.

Bastian

Arno Welzel

unread,

Nov 23, 2020, 11:31:37 AM11/23/20

to

Beate Goebel:

> Marc Haber schrieb am 22 Nov 2020

>
>> georg....@freenet.de (Georg Schwarz) wrote:
>>>
>>> DNS, DHCP und SIP sind jetzt keine Überraschung.
>>> Aber wieso sind upnp, nat-pmp. zeroconf offen?
>>
>> Weil die Fritzbox UPNP, PMP und mDNS anbietet.
>

> Was ist "PMP und mDNS"?

PMP - Port Mapping Protocol

Eine Alternative zu UPnP von Apple, mit der Geräte im LAN Portfreigaben
anfordern können.

mDNS - Multicast DNS

Damit können Geräte ihre Hostnamen per Multicast im LAN bekannt geben.
Wird auch gerne im Apple-Umfeld genutzt und verwendet die TLD ".local",
die deshalb auch nicht für andere Zwecke genutzt werden sollte, wenn
Apple-Geräte im LAN im Einsatz sind.

--
Arno Welzel
https://arnowelzel.de

Arno Welzel

unread,

Nov 23, 2020, 11:39:37 AM11/23/20

to

Georg Schwarz:

> Marc Haber <mh+usene...@zugschl.us> wrote:
[...]

>> Weil die Fritzbox UPNP, PMP und mDNS anbietet.

[...]

> was ist der Mehrwert, diese Dienste anzubieten?

Dass sie vorhanden sind, wenn sie benötigt werden. Die Zielgruppe der
Fritz!Box sind keine Netzwerkadmins, die sowas manuell einschalten, wenn
nötig, sondern das Ding soll einfach so funktionieren.

> Oder noch einfacher gefragt: was ist der empfohlene Weg, sie
> abzuschalten?

Mir ist keiner bekannt.

Rupert Haselbeck

unread,

Nov 23, 2020, 1:10:09 PM11/23/20

to

Arno Welzel schrieb:

> Georg Schwarz:

>> Oder noch einfacher gefragt: was ist der empfohlene Weg, sie
>> abzuschalten?
>
> Mir ist keiner bekannt.

Das ist nun aber auch nicht wirklich weltbewegend schlimm, da diese Dienste
an die internen Interfaces gebunden sind.
Gerade mal nachgesehen zeigt sich, dass meine FritzBox hier auf dem WAN-
Interface lediglich SIP- und SSH-Dienst anbietet - zum Glück...

MfG
Rupert

Arno Welzel

unread,

Nov 23, 2020, 2:31:56 PM11/23/20

to

Rupert Haselbeck:

Wieso SSH? Das macht meine Fritz!Box nicht. Da ist nur SIP, sonst nichts.

Rupert Haselbeck

unread,

Nov 23, 2020, 5:20:09 PM11/23/20

to

Arno Welzel schrieb:

> Wieso SSH? Das macht meine Fritz!Box nicht. Da ist nur SIP, sonst nichts.
>

Nu ja. Ist ja auch nur eine Portweiterleitung zwecks VPN-Verbindung ins
heimische Netz. Ich mag das FritzBox-VPN nicht recht. Das kann keine
Zertifikate

MfG
Rupert

Bonita Montero

unread,

Nov 25, 2020, 7:04:40 AM11/25/20

to

> Eine Alternative zu UPnP von Apple, mit der Geräte im LAN Portfreigaben
> anfordern können.

Und zwar eine viel bessere Alternative. Das Protokoll ist recht
schlicht und es wäre cool gewesen wenn die CGNs das als NAT-Gateway
auch unterstützen würden und eine limitierte Anzahl an Wildcard-Ports
pro Client erlauben würden. Dann wäre CGN viel gangbarer.