Frage zu Ports

[Hartman]

Alle Kommunikation mit dem Browser läuft auf 80/443/8080.

Auch wenn man auf Youtube ein Video streamed oder auf einem OCH etwas runterladet? Man kann doch auch in die URI des Browsers "ftp.ngb.to oder IPaddr:21" (einfach ein Beispiel) eingegeben, dann ist es doch Port 21? Wenn ich den TOR Browser nutze, dann sind wir auf Port 9050?

Sollte man als Netzwerk Administrator alle nicht notwendigen Service Ports auf den Hosts schliessen, selbst wenn diese auf dem Router schon geschlossen sind?
Letztens konnte ich mit Erlaubnis bei jmd. das Netzwerk scannen (nmap) und habe dort gesehen, dass sein AP-Wlan-Adapter Port 80 und 21 offen hatte aber auf dem Router geschlossen waren. In wie weit ist dies sicherheitsrelevant?

Es hilft mir, wenn ich mich ab und zu mit euch austauschen kann da die Theorie auch etwas "vermenschlicht" wird und leichter zu adaptieren ist und so ist es leichter mir alles zu merken.

Ich glaube jetzt das Grundmodell OSI zu verstehen und kann es Auswendig (also die Basics/Grundfunktionen...). Jetzt momentan gerade mit den "Frames und den Feldern" als nextes im Kapitel.

Das Buch auf das ich mich beziehe ist, falls es jmd. interessiert und selbst nachlesen will:

TCP/IP Protocol Suite 4th Edition von Behrouz A. Forouzan;
https://www.amazon.com/Protocol-Suite-Mcgraw-hill-Forouzan-Networking/dp/0073376043

 

[Metal_Warrior]

Auch wenn man auf Youtube ein Video streamed oder auf einem OCH etwas runterladet?

Ja, üblicherweise ist das alles HTTP(S).

Man kann doch auch in die URI des Browsers "ftp.ngb.to oder IPaddr:21" (einfach ein Beispiel) eingegeben, dann ist es doch Port 21?

ftp.ngb.to ist nur eine Subdomain, das hat nichts mit einem Port zu tun, auch wenn sie nach einem Dienst benannt ist. IP:Port hingegen leitet dich tatsächlich auf einen bestimmten Port, der Browser kann jedoch nur in den seltensten Fällen auch das Protokoll zum entsprechenden Port. D. h. FTP wird dein Browser nur eingeschränkt nutzen können, wenn überhaupt.

Sollte man als Netzwerk Administrator alle nicht notwendigen Service Ports auf den Hosts schliessen, selbst wenn diese auf dem Router schon geschlossen sind?

Die sollten idealerweise gar nicht erst offen sein.

Letztens konnte ich mit Erlaubnis bei jmd. das Netzwerk scannen (nmap) und habe dort gesehen, dass sein AP-Wlan-Adapter Port 80 und 21 offen hatte aber auf dem Router geschlossen waren. In wie weit ist dies sicherheitsrelevant?

Gar nicht. Port 80 ist offen, weil das die Konfigurationsschnittstelle des WLAN-Routers/Hotspots ist, und die 21 kann die Schnittstelle zu z. B. einer angeschlossenen Festplatte sein. Sicherheitsrelevant ist davon eher nix, zumal das hinter dem Router ist, also vom Internet aus nicht erreichbar ist (sein sollte).

Ich glaube jetzt das Grundmodell OSI zu verstehen und kann es Auswendig (also die Basics/Grundfunktionen...).

Ich will dich wirklich nicht in deinem Eifer bremsen, aber ich glaube nicht, dass dir das viel bringt. In meiner Umgebung gibt es eigentlich keinen, der das Modell sofort auswendig irgendwohin adaptiert, da wird - wenn es überhaupt genutzt wird - meist lang überlegt, was genau auf welcher Schicht wie genau implementiert ist. In der Praxis hat das Modell nämlich wenig Nutzen.

Natürlich kannst du dir alles aus einem Buch reinpfeifen, aber ich persönlich würde dir eher empfehlen, dir für 50€ einen Raspberry Pi zu kaufen und darauf einfach ein Linux zu ziehen, um damit zu spielen. Lernt man auf Dauer mehr, denke ich. Aber wie gesagt, wenn dir dein Buch Spaß macht, bin ich der Letzte, der dich davon abhalten will.

 

[Hartman]

Sorry, meinte nicht ftp. sondern ftp://

dir für 50€ einen Raspberry Pi zu kaufen und darauf einfach ein Linux zu ziehen, um damit zu spielen.

Das hab ich schon. Ich kann schon Praktisches aber mir ist es jetzt mal wichtig zu verstehen, wie das im Detail funktioniert und was da im Hintergrund abgeht. Weil ich im Prinzip Dinge mache und machen kann, aber keine Ahnung davon habe, was da eigentlich genau passiert.

 

[sia]

In der Praxis hat das [OSI-]Modell nämlich wenig Nutzen.

Hier würde ich als professioneller Netzwerkproblemlöser aber ein "Doch!" einwerfen. Es ist nämlich oft recht schlau, sich entweder von Layer 8-1 oder 1-8 durchzuarbeiten, wenn man ein Netzwerkproblem hat. Das bringt etwas Systematik in die Problemlöserei.

In der Regel sollte man bei Layer 8 anfangen. Ich vergesse das sehr oft

Sorry, meinte nicht ftp. sondern ftp://

Damit teilst du dem Browser das Protokoll mit. Wenn er das nicht spricht, passiert da auch nichts. Protokolle und Ports sind voneinander unabhängig, es gibt nur Standardports für die allermeisten Protokolle, die dann genutzt werden, wenn nicht explizit ein anderer Port angegeben ist.

[Einen Raspberry Pi] hab ich schon. Ich kann schon Praktisches aber mir ist es jetzt mal wichtig zu verstehen, wie das im Detail funktioniert

Hm, irgendwie nehme ich dir das nicht ab. Welche Distribution hast du denn drauf (vermutlich Raspbian? Nimm Arch Linux ARM oder Fedora zum Lernen)? Welche Dienste hast du denn eingerichtet?

 

[Metal_Warrior]

Das bringt etwas Systematik in die Problemlöserei.

Wir beide wissen, dass das nicht wirklich am OSI-Modell erfolgt. Wenn uns jemand anruft, sein Internet ginge nicht, werden wir beide erstmal automatisch ping www.google.de auf die Kommandozeile hacken. Genau genommen prüfen wir hier gleich 5 Layer auf Funktion ab. Funktioniert das nicht, pingen wir das Gateway und schließen damit 2 weitere Probleme aus (Routing und DNS). Also ja, wir gehen beide systematisch vor, aber nicht am OSI-Modell. Sich erst vom Kunden anlügen lassen, danach den Browser prüfen etc. machen wir beide nicht, und das weißt du auch. Wir wollen ja schließlich fertig werden.

Nimm Arch Linux ARM oder Fedora zum Lernen)?

Fedora? Du schreibst doch selber, dass das Kacke ist...
@Hartman
Das ist ein alter Streitpunkt zwischen mir und phre4k, die richtige Lern-Distro. Ich persönlich empfehle Debian (das wäre Raspbian), weil man schnell Erfolge sieht (innerhalb von 5 Minuten), und nicht alles selbst machen muss (aber auf Wunsch natürlich kann), phre4k sieht gern von vornherein was Sache ist (daher Arch), kommt aber ewig nicht auf ein Erfolgserlebnis damit (bzw. erst nach 2 Wochen). Nachdem du aber schon so wahnsinnig bist und dich in Bücher vergräbst, bin ich sogar ausnahmsweise phre4ks Meinung, du könntest Arch ausprobieren. Erwarte nur keine schnellen Erfolge. Hoffentlich steigt ihm das jetzt nicht zu Kopf

 

[Hartman]

Mir hilft momentan das OSI Modell zur Orientierung. Ich muss auch sagen, ich bin gerne Detail versessen momentan weil ich das iwie im Grundprinzip alles fassen will.

Raspbian, Noobs, Windows 10 auf dem Rpi. Services? Webapps & co, postresql, mysql, Apache (LAMP halt..), Wordpress, OpenVPN, Proxy-chains dynamic und strict, Tor, Virutelle Machines mit VNC, DNSserver. Websites aber immer als prebuilds und nie selber geschrieben und selbst keine Ahnung wie man eine von 0 auf gleich Designed und nur im eigenen Netz geschalten.

Debian (unstable) nutze ich schon seit einem Jahr besonders weil es von allen opensources die gr'sste Community hat sagt es mir zu (by the way..gnome).
Jedem das seine denke ich...

Habe mir jetzt mal auf dem Rpi allg. LAMP Default Website eingerichtet. Werde mal SSH anschauen und mit Putty ranwagen, da habe ich mich noch nicht rangewagt aber eig. kann ich ja auf dem RPi das ausprobieren, sollte ja nichts grosses passieren, wenn nur im Subnet. Dann kann ich da auch ein wenig den Traffic mit Wireshark/netstat und co. anschauen und gleich mit der Theorie verbinden.

Aber eigentlich jetzt ein wenig am Hauptthema vorbei.

 

[musv]

phre4k sieht gern von vornherein was Sache ist (daher Arch), kommt aber ewig nicht auf ein Erfolgserlebnis

Öhm, Arch nehm ich eigentlich dann, wenn ich schnell Ergebnisse brauch. Ansonsten verwende ich eigentlich immer Gentoo, da man da tatsächlich sieht, was Sache ist.

Aber gut, für eine PI-Installation mit Gentoo müsste man wohl erstmal eine Cross-Compile-Umgebung aufsetzen, sonst könnte das in der Tat etwas länger dauern.

 

[sia]

@Hartman: wie hast du denn den Raspi bisher administriert, wenn nicht über SSH?

Nimm übrigens lieber msys2 mit SSH als PuTTY/KiTTY, denn an Standards halten sich letztere überhaupt nicht. Msys2 kannst du auch über Chocolatey installieren.

Fedora hatte ich vorgeschlagen, weil da SELinux und firewalld standardmäßig aktiviert sind und man da automatisch was über's Netzwerken lernt. Arch hatte ich vorgeschlagen, weil man damit sehr schnell die inneren Machenschaften von Linux lernt (quasi ins kalte Wasser geworfen wird) und das OS einen nicht an der Hand hält. Arch ist sehr nah am Upstream, Fedora nicht ganz so nah und debianoide Distributionen nehmen einem doch schon einiges ab.

Was vielleicht noch ganz nützlich sein könnte, um Linux/Netzwerke zu lernen: Setz' mal ein Samba4 Active Directory auf und lass' deine Windows-Maschinen dagegen authentifizieren.
Auch einen VoIP-Server mit Asterisk oder einen Access Point könnte man aus dem Raspi machen.

Im Linux Networking Cookbook (PDF) von O'Reilly sind diese Laboranwendungen inkl. Anleitung zum Aufsetzen beschrieben. Auch in /r/homelab könnte dir Inspiration verschaffen. Du könntest auch Monitoring mit uchiwa, Zabbix oder Icinga aufsetzen.

EDIT: Stimme zu, dass das OT ist, daher vielleicht ausgliedern in Thread "Wie Linux/Netzwerk lernen?"

 

[musv]

Nimm übrigens lieber msys2 mit SSH als PuTTY/KiTTY, denn an Standards halten sich letztere überhaupt nicht. Msys2 kannst du auch über Chocolatey installieren.

Warum nicht WSL? Verwende ich auf Arbeit und bin davon eigentlich begeistert. Damit gibt's endlich mal eine brauchbare Arbeitsumgebung unter Windows.

 

[sia]

Warum nicht WSL? Verwende ich auf Arbeit und bin davon eigentlich begeistert. Damit gibt's endlich mal eine brauchbare Arbeitsumgebung unter Windows.

WSL ist immer noch Beta, msys2 funktioniert einwandfrei

Aber ja, du hast Recht, tendenziell könnte man auch WSL nutzen.

 

[Hartman]

wie hast du denn den Raspi bisher administriert, wenn nicht über SSH?

HDMI in den Screen (TV) und fertig. Hab PC und TV screen im selben Raum, also direkt halt bedient. Hab mir auch einen mini Touch-Screen auf den RPi geschraubt und nutze diesen sonst aus Faulheit (Anschluss auch HDMI ) mit einem gummi-einroll-keyboard, den ich dabei habe wenn ich unterwegs bin. Sehr praktisch, wenn man mal Zeitvertreib braucht und solange die USB-Powerbank nicht gerade leer ist.

Wie schauts mit OpenSSH/OpenBSD aus?

Virtual Labs hab ich eigentlich schon einige eingerichtet (OWASP BWA, DVWA etc um Sicherheitsrisiken zu verstehen und dann normal default Apache). Muss nur noch damit anfangen zu spielen, habe mich aber bis dato immer etwas geweigert weil ich zuerst verstehen wollte, was ich mache, bevor ich es mache. Aber jetzt mal treu nach dem Motto: "Learning by doing". Manchmal habe ich auch etwas Respekt davor etwas zu machen, dass evtl in. meinem Netzwerk oder ungewollt jmd. ausserhalb meines Netzwerkes etwas kaputt mache...

Ich muss etwas aufpassen, dass ich nicht in zu viele Themengebiete querrutsche weil sich doch viele schneiden und sonst etwas an Transparenz verliert.

Als Firewall (Wie soll man sagen, GUI?) habe ich gufw. Schnell und einfach, was da aber genau im Hintergrund abgeht, will ich noch genauer lernen. Wie gesagt, erst mal OSI und die Protokolle, jetzt die vers. Frames und deren Aufbau, dann mal Firewalling anpeilen.

Wenn Metal_Warrior einverstanden ist, kann ich den Thread in "TCP/IP Allg. Netzwerk Fragen" oder der gleichen wandeln. Stelle ich mir vor, dass jedes Themengebiet einen eigenen Thread braucht kann ich gleich 40 stk. erstellen.

 

[Metal_Warrior]

Wenn Metal_Warrior einverstanden ist, kann ich den Thread in "TCP/IP Allg. Netzwerk Fragen" oder der gleichen wandeln. Stelle ich mir vor, dass jedes Themengebiet einen eigenen Thread braucht kann ich gleich 40 stk. erstellen.

Das wäre aber sinnvoll, wenn du das tun würdest. Threads sind ja nicht nur dazu da, sich im Moment zu unterhalten, sondern auch später, um nachzulesen, wie gewisse Probleme von anderen mal gelöst wurden...

 

[Hartman]

@Metal_Warrior:

Wie es beliebt.

 

[eraser]

Es hat mal gar nix damit zu tun, ob man das OSI-Modell zum lösen eines Problems nutzt oder nicht. Den Sinn der einzelnen Layer zu verstehen und deren Zusammenspiel, bringen Licht in die Sache. Wer die einzelnen Schichten nicht kapiert, hat einfach mal keine Ahnung. Es ist also sehr wohl wichtig, aber da hat sich M_W ja eh schon selbst widersprochen. Außerdem halte ich es für wenig sinnvoll Layer 8 zu erwähnen nur um 1337 zu sein in nem Anfängerthread - zumindest ohne Auflösung (Layer 8 -> Dummer User vor dem Rechner).

 

[Metal_Warrior]

@eraser: Also ich behaupte jetzt mal, dass ich das Zusammenspiel der Komponenten schneller kapiert hatte als das OSI-Modell. Das Problem ist nämlich, dass die Schichten statisch sind, Netzwerkprotokolle mitunter aber nicht exakt die Schemata einhalten, die das Modell vorgibt. Das Problem ist aber bekannt; nicht umsonst gibt es zwei Sublayer auf Ebene 2 - diesen Widerspruch von Modell und Realität konnte man scheinbar nicht anders lösen als das Modell anzupassen. Daher halte ich es mit dem Modell wie mit anderen Modellen der Wissenschaft: Nett, aber nicht der Weisheit letzter Schluss.

 

[eraser]

Klar, darf ja jeder seine Meinung dazu haben.
Meiner Ansicht eben doch eine der wichtigsten Grundlagen und findet sich auch immer wieder. Erleichtert mir persönlich zumindest auch oftmals die Gespräche, wenn ich direkt fragen kann zb auf welchen Layern der Switch arbeitet.

Machst du nur InHouse IT?

 

[sia]

Wie schauts mit OpenSSH/OpenBSD aus?

Also ich glaube, beide Projekte sind relativ beliebt und werden auch weiterentwickelt.

Virtual Labs hab ich eigentlich schon einige eingerichtet (OWASP BWA, DVWA etc um Sicherheitsrisiken zu verstehen und dann normal default Apache).

Ist ja anscheinend nicht viel bei rumgekommen; es sieht so aus, als ob das Einrichten eines Labs noch nicht viel bringt – eventuell sollte man damit auch mal was machen?

Allgemein stellt es sich für mich so dar, dass du die Theorie noch nicht viel mit der Praxis verbunden hast. Ich selbst lerne eher umgekehrt – mit der Theorie die Praxis erklären, statt eine Praxis aus der Theorie zu machen. Mit letzterer Vorgehensweise rutscht man doch relativ leicht in die akademische Richtung ab, die mit der Praxis der Netzwerkadministration nur noch bedingt zu tun hat.

Falls du statt Netzwerkadministration allerdings eher in die Programmierung von Netzwerkkomponenten einsteigen möchtest, kann ich dir wärmstens den Python Web Programming Workshop ans Herz legen. Der ist sowohl theoretisch ausreichend tiefgründig als auch mit praktischen Anwendungsfällen versehen.

Außerdem halte ich es für wenig sinnvoll Layer 8 zu erwähnen nur um 1337 zu sein in nem Anfängerthread - zumindest ohne Auflösung (Layer 8 -> Dummer User vor dem Rechner).

Abgesehen dass der User nicht dumm sein muss, ist es lächerlich, nicht auf die menschliche Komponente einzugehen. Dass du mit Layer 8 nichts anfangen kannst, wissen wir mittlerweile. Vielleicht hilft dir RFC2321 weiter.

 

[eraser]

Ist halt blöd, wenn jemand gerade 7 Layer lernt und dann jemand etwas von einem 8. erzählt, der in der offiziellen Doku nicht steht. Aber sicher hast du als "professioneller Netzwerkproblemlöser ()" oder wie du dich sonst beweihräucherst recht.
Der Layer 8 wurde übrigens aus großen Teilen deswegen erfunden, um den User dumm anzumachen ohne dass er es mitbekommt. Wusstest du aber sicher auch schon.

Aber hey.. gleich wieder persönlich werden. Das ist halt dein Niveau hier anscheinend, gelle?

P.S. Reporte doch am besten auch wieder direkt meinen bösen, bösen Beitrag.

 

[sia]

Ist halt blöd, wenn jemand gerade 7 Layer lernt und dann jemand etwas von einem 8. erzählt, der in der offiziellen Doku nicht steht.

Google "Layer 8" → 9/10 Suchergebnissen auf der ersten Seite führen zum richtigen Ergebnis. So viel traue ich Hartman und eigentlich jedem, der sich im ngb anmelden konnte, durchaus zu.

 

[Metal_Warrior]

Erleichtert mir persönlich zumindest auch oftmals die Gespräche, wenn ich direkt fragen kann zb auf welchen Layern der Switch arbeitet.

Gut möglich, dass dir das hilft, ich persönlich hab gegenteilige Erfahrung gemacht. Allerdings bin ich tatsächlich mehr für Server zuständig als für Netzwerk, auch wenn ich teilweise welche verwalte.

Machst du nur InHouse IT?

Nö, mehr Hansdampf in allen Gassen. Hab auch ziemlich viel mit Endusern zu tun, bei denen du mit OSI sicher nicht anfangen brauchst - die sind teils froh, wenn sie verstehen, dass ihr Desktop ohne Netzwerkkabel nicht ins Internet kommt, obwohl doch ihr Handy direkt nebendran WLAN hat... Und unter Kollegen gehts meist direkt in die Feinheiten, da halten wir uns selten lang mit Modellen auf.

Vielleicht hilft dir RFC2321 weiter.

Reporte doch am besten auch wieder direkt meinen bösen, bösen Beitrag.

Ach Kinners, nehmt euch nen Zimmer!

Grundlegend ist Layer 8 als Problemursache nicht irrelevant, da hat er schon recht, auch wenn der nicht im Modell steht - wo wir wieder bei der Praxis wären. Kam schon oft genug vor, dass bei uns eine Einrichtung kein Netzwerk mehr hatte, weil ein paar Leute meinten, sie müssten mit Desktop-Switches und langen Kabeln eigene Netzwerke zwischen ihren Büros aufbauen, und ach, wär doch praktisch, wenn der andere Switch auch noch mit einer Dose in der Wand verbunden wäre, um den Flaschenhals irgendwo zwischendrin nicht zu haben. Und just in dem Moment schreit dann unten einer unserer cleveren Procurves "SCHLEIFE!!!" und schaltet beide Ports offline (an denen je ne Unterverteilung von 48 oder mehr Anschlüssen hängt). Wenn du da nicht sofort Layer 8 abprüfst, suchst du dir nen Wolf.