Skip to content

Hätten Sie auf einer Firewall lieber einen gefilterten oder einen geschlossenen Port?

Kurzantwort

Gefiltert. Ein gefilterter Port verwirft das Paket still, sodass der Scanner keine Antwort erhält und auf ein Timeout warten muss — er erfährt nichts darüber, ob der Host überhaupt existiert, und der Scan wird drastisch verlangsamt. Ein geschlossener Port sendet ein TCP-RST zurück, das bestätigt, dass der Host lebt und antwortet, und liefert dem Angreifer so gratis Aufklärungswert.

Der Instinkt, dass „geschlossen sicherer klingt als gefiltert“, ist die Falle. Beide blockieren die Verbindung, also nehmen Kandidaten an, sie seien gleichwertig — aber sie geben sehr unterschiedlich viel Information preis.

Was jeder Zustand einem Angreifer verrät

  • Geschlossen: Der Host hat das SYN empfangen und mit einem TCP-RST geantwortet. Der Dienst lauscht nicht, aber der Host ist nachweislich lebendig und erreichbar. Der Scanner erhält eine sofortige, definitive Antwort.
  • Gefiltert: Eine Firewall verwirft das Paket still. Der Scanner bekommt nichts zurück und muss ein Timeout abwarten, bevor er es erneut versucht, und kann dann immer noch nicht sagen, ob der Port geschlossen ist, der Host ausgefallen ist oder eine Regel blockiert. Genau diese Mehrdeutigkeit wollen Sie einem Angreifer auferlegen.

Warum gefiltert gewinnt

Zwei Gründe. Erstens Informationsentzug: Ein Verwerfen verweigert dem Angreifer die Bestätigung, dass überhaupt etwas da ist, sodass er Ihre Angriffsfläche nicht sauber kartieren kann. Zweitens Scan-Kosten: RSTs machen Scans schnell und zuverlässig, während Verwerfen den Scanner in langsame Retransmit-/Timeout-Zyklen zwingt, was die Aufklärung in die Länge zieht und sie lauter und leichter erkennbar macht. Deshalb ist eine Default-Drop-Firewall-Richtlinie die übliche Härtungsempfehlung.

Der ehrliche Kompromiss

Stilles Verwerfen kann legitime Fehlersuche erschweren und Ihre eigene Diagnose verlangsamen, da Fehler genauso aussehen wie ein toter Host. Das ist ein Preis, der sich am Perimeter zu zahlen lohnt.

Worauf Interviewer achten

Die Wahl von gefiltert plus die Begründung: RST = Bestätigung und Geschwindigkeit für den Angreifer, Verwerfen = keine Information und langsames, teures Scannen. Die offen/geschlossen/gefiltert-Taxonomie von Nmap zu kennen, besiegelt es.

Wahrscheinliche Anschlussfragen

  • Wie unterscheidet Nmap offene, geschlossene und gefilterte Ports?
  • Was ist der Nachteil einer Default-Drop-Richtlinie für legitime Fehlersuche?
  • Warum verlangsamt stilles Verwerfen einen Portscan so stark?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.