Ports von ICQ Lite: Ein Staatsgeheimnis?

[Velox]

So, auch auf die Gefahr hin, dass ich mich mit einer "schon tausendmal durchgekauten" Frage unbeliebt mache, das Risiko gehe ich ein .

Egal auf welcher Seite ich bislang gesucht habe, es gab NIRGENDS eine befriedigende und vor allem AUSREICHENDE Antwort auf eine einfache Frage:

Welche Ports sowie welche Protokolle (TCP, UDP) müssen für ICQLite unter Local bzw. Remote eingestellt werden, um das Programm ohne Probleme laufen zu lassen? Meine Firewall ist die Kerio 2.1.5.

Bislang habe ich nur Antworten wie "probier doch einfach mal" oder "laut ICQ müsste das" etc. lesen können, "lass doch einfach mal ein Log mitlaufen". Leider waren diese Hinweise nicht sonderlich hilfreich, sonst würde ich ja jetzt nicht nachfragen. Langweilig ist mir nämlich nicht . Aber wenn ich z.B. mit Logs überprüfe, was notwendig ist, dann taucht spätestens beim nächsten Neustart eine neue IP oder ein neuer Port auf, welche ich vorher noch gar nicht eingetragen bzw. nicht freigegeben habe und dann läuft es nur langsam bzw. gar nicht. Die Angaben vom Hersteller Port 80 freizugeben, sind zwar schön und gut. Aber: Port 80 unter TCP? Unter UDP? Auf dem Local oder Remote Port?

Es scheint mir fast so, dass a) entweder alle, welche ICQLite benützen ausschliesslich hinter einem Router arbeiten (obwohl auch hier die Ports etc. meiner Meinung nach nicht anders eingestellt werden müssen), b) keiner eine andere Firewall als ZoneAlarmFree benützt und da einfach alles erlaubt, was sich meldet (wenns vorher bei blockieren nicht geklappt hat), c) die Antworten zwar gegeben wurden, ich diese aber aufgrund einer mir bis heute nicht bekannten "Zwischen-den-Zeilen-Versteckten-Verschlüsselungs-Antwort" einfach nicht erkannt habe oder d) es ist tatsächlich ein Staatsgeheimnis.

Falls es noch andere gibt, die ähnliche Erfahrungen haben, so wäre es schön, dies mal zu erfahren. Hinweise, wie "googeln" etc. sind zwar nett, aber nachdem ich trotz googeln und Forendurchforsten in den letzten 2 Monaten nichts finden konnte, sinnlos.

Ist es bei (und das betrifft nicht nur ICQ Lite, sondern z.B. auch Skype, UT2004 usw.) einfach nicht möglich, eine einfache Antwort zu geben, die da z.B. lauten würde:

"Für das Programm XY Local: TCP Ausgehend alle Ports sperren, UDP Ausgehend Port 5550 freigeben, TCP Remote IP 232.943.usw. mit Port 5600 freigeben, UDP auf gleicher IP ein- und ausgehend freigeben.
Damit läuft das Programm mit allen Funktionen, ohne das zuviel freigegeben wurde."

[Mordekay]

Als erstes: auch ich habe noch nirgneds eine ershöpfende Antowrt auf diese Frage bekommen. Meines wissens nach sucht sich ICQ, egal welche Version, bei jedem neustart des Progs einen zufälligen Port aus. Das wurde deswegen gemacht weil ein fester Port nahezu jeden User sehr leicht angreifbar machen würde. Also kannst du, da du ja nicht hinter einem Router zu sitzen scheisnt nur eines machen: gebe bei deiner Firewall ICQ alles frei was es machen möhte, also Alles erlauben. Keine Port´s angeben, das bringt meines wissens auch nicht viel, da du eine Portrange (also nen ganzen Bereich an port´s) freigeben müßtest, welches dazu führen würde das diese port´s für alles andere unbrauchbar sind, da ein port nur einmal vergeben werden kann.
Falls die Kerio (ich kenne sie leider nicht) auf ne portnummer bestehen sollte kan ich dir nur anraten diese zu wechseln. Von Agnitum gibt´s die Outpost, eine sehr Leistungsfähige Firewall die auch bei einigen Test´s als Sieger hervorging (c´t zum Beispiel)

[HarryHorstmann]

Hi Velox!

Ist ja schön und gut, dass du soviel geschrieben hast, aber hättest auch schreiben können, was du denn machen willst, bzw. was bisher funktioniert und was nicht
Vorweg erstmal: Ich kenne deine Firewall auch nicht.
Mir ist jedoch auch keine Firewall bekannt, in der man den Port 80 (bekanntlicher Weise der Webmanagement Port) extra freigeben muss.

Also, poste zunächst mal bitte, was bei deinem ICQ nicht funzt.

Gruß Harry

[Velox]

Erst mal Danke für die Hinweise .

Vielleicht ist meine Firewall besser unter dem Namen Tiny bekannt. Wie auch immer. Bei dieser Firewall ist Anfangs nichts vorgeben, bzw. kann einfach abgeändert werden. Da muss man dann jede Regel erstellen, welche man benötigt. Zumindest übernehme ich nicht einfach von vorn herein die bereits bestehenden Regeln.

Was nun nicht richtig läuft, ist ein Thema für sich. Das grundsätzliche Problem ist, das im Grunde für jedes Programm "eigentlich" auf jedem PC die gleichen Regeln gelten sollten, wenn man dieses Programm mittels Firewall so konfigurieren will, dass es ohne Mucken läuft, ABER nicht mehr kann, als notwendig. Und so eine STANDARDREGEL für ICQLite hatte ich gesucht. Also die einfache Antwort auf die Frage, was MUSS ich für ICQLite freigeben, damit es OHNE Abstriche läuft UND was KANN ich blockieren, damit nicht zuviel freigegeben wird. Das war mein eigentliches Anliegen!

Als Beispiel nenne ich z.B. mal Skype (ein Programm um kostenlos zu telefonieren): für seinen Betrieb wird hier vom Hersteller genannt, man soll das Protokoll UDP auf einem bestimmten Port freigeben. Als "Alternative" kann man dann noch den Port 80 (HTTP) freigeben. Wenn ich nun diesen vorgegebenen Port OHNE Port 80 einstelle, dann geht aber gar nichts. Sprich, es kann keine Verbindung aufgebaut werden. Also muss ich auch Port 80 freigeben UND auch noch TCP, aber welche Ports da, das wiederrum steht in den Sternen. Also bleibt einem nichts anderes übrig, als alle Zugriffe des Programms mitloggen zu lassen, um daraus dann Rückschlüsse zu ziehen.

Zum Thema Port 80 noch was: Die Firewall Kerio sperrt (was auch gut so ist, erst mal alles, was nicht mittels Regel nach und nach freigegeben wird (einige "Sperren" muss man natürlich gleich Anfangs von selbst einbauen z.B. Ping-Antworten etc.). Natürlich wird hier im Grunde nicht speziell der Port 80 gesperrt, aber darüber will ich auch nur die Anwendungen "rauslassen", welche den Port unbedingt brauchen und den Port nicht einfach grundsätzlich offen lassen.

Im Outlook Express z.B. kann OHNE Freigabe auf Port 80 keine HTML Mail MIT Bild geöffnet werden. Dann erscheinen nur rote Kreuze anstelle von Bildern. Ob HTML Mails nun sinnvoll oder Sicherheitslücken sind, ist ein Thema für sich. Ich z.B. lasse Bilder in Emails von Amazon, Ebay, Aldi-Newsletter zu. Weil diese Mails OHNE Bilder drin einfach nichtssagend sind (ob nun Aldi MIT Bilder wiederrum mehr Aussage hat, ist ein weiteres Thema für sich ). Alle mir nicht so wichtigen Emails haben für Port 80 auch keine Freigabe und können deshalb nicht als HTML Mail geöffnet werden. Dies alles lässt sich mit Kerio ohne Probleme (ok, dafür mit mehr Arbeit als mit dem stupiden ja/nein Auswählen von ZoneAlarm) bewerkstelligen.

Auch in ähnlicher Form war/ist eben auch bei ICQLite 4.1 (deutsch) das gleiche Problem aufgetaucht. Hier soll man einen Port (auswendig glaube ich es war der) 5190 freigeben. Aber dieser Port alleine reicht eben nicht aus. Weil in der neuen Version z.B. auch WebCam-Unterstützung etc. integriert wurde, geht jetzt fast nichts mehr, bzw. das Einloggen dauert Ewigkeiten. Also auch hier wieder das gleiche Spielchen: Erst alles verbieten, mitloggen und dann daraus in mühseliger und langwieriger Arbeit die Regeln erstellen.

Und da dachte ich halt, wenn schon SO viele Leute ICQ benützen, dann kann es doch nicht sein, dass all die Leute NUR mit ZoneAlarm oder Outpost arbeiten. Schliesslich ist Kerio (früher Tiny) eine der besten (laut vieler Test und Bestätigungen in diversen Foren) der Freeware-Firewalls. Wie auch immer:

Inzwischen habe ich auf einer Outpost-Seite etliche vorgefertigte Rulesets gefunden. Und da ich mit Kerio - genau wie mit Outpost - ALLES vorgeben kann, was ich will, brauch ich mich nun nur noch hinhocken und diese Regeln übernehmen.

Weshalb ich im übrigen zuerst von ZoneAlarm über Outpost auf Kerio (ältere aber wie viele schreiben beste Version) gekommen bin, hat folgenden Grund:

Bislang hatte ich ZoneAlarm, aber nachdem man in der Freeware-Version im Grunde nur Ja oder Nein sagen kann, war mir das zu unsicher. Auslöser war auch, dass ich erfahren hatte, dass z.B. Skype dutzende IP´s aufruft, obwohl die für einen reibungslosen Betrieb gar nicht notwendig wäre. Bei ZoneAlarm Freewar aber kann ich hier nicht einschränken, sondern nur "entweder" "oder" zulassen.

Nachdem ich dann erst Outpost (alte Version) ausprobiert hatte und mein PC damit enorme Probleme hatte (CPU-Auslastung bis auf´s extremste, Hänger und Bluescreens) und das neue einfach viel zu überladen und dadurch auch instabil (zumindest bei mir) lief, bin ich auf Kerio gestossen.

Wieder eine lange Mail, ich hoffe, diesesmal habe ich nicht wieder drumrum geredet.

[HarryHorstmann]

Hallo!

habe mir gerade deinen Roman durchgelesen

Tut mir Leid, aber was genau jetzt bei ICQ funktioniert und was noch nicht weiß ich leider immernoch nicht (überlesen hab ichs nicht, oder?).

Wenn ich den Abstaz, in dem du über Skype schreibst richtig verstanden habe, hast du die Problematik mit den TCP & UDP Ports nicht richtig verstanden. Die TCP-Ports sind für eingehende Signale, UDP für ausgehende! somit reicht es einem Programm wie Skype natürlich nicht, wenn es nur rausfunken kann, aber keine Antwort bei ihm ankommt!

Gruß Harry

PS: Brauchst nicht wieder nen ganzen Roman schreiben, sondern einfach was geht, und was nicht.

[Mordekay]

Es "geht" alles. Wenn ich es richtig verstanden habe will er das er selber sagen kann auf welchen port´s was läuft und alle anderen dicht machen. Oder?

[Velox]

Ok, diesesmal eine Kurzgeschichte ):

Ich habe mich inzwischen (obwohl ich darin viele Vorteile sehe) von der Kerio-Firewall getrennt und mit Zone-Alarm läuft nun wieder alles.

Meine Frage (wenns denn eine war), wäre im Grund nur folgende gewesen: Welche Einstellung in einer konfigurierbaren Firewall (nicht Zonealarm Free) muss ich für ICQLite vorgeben, dass ICQLite mit allen Optionen läuft? Da dies bei allen Rechnern die gleichen Ports, Protokolle usw. sein sollten, hätte ich gedacht, es gibt auf diese Frage eine einfache Antwort.

Aber egal wo ich gesucht habe, es wird immer nur gesagt, TCP und UDP freigeben usw. (war ja hier nicht anders ) Wenn ich da aber nicht einschränken kann (weil die diversen Programme bestimmt keinen Zugriff auf ALLE Ports, Protokolle, etc. erwarten) weil mir die notwendigen Angaben (welcher Port, Protokoll usw.) fehlen und diese anscheinend KEINEM bekannt sind oder diese eben ein Staatsgeheimnis sind, dann ist das schön ziemlich komisch.

Ups, fast wäre es doch wieder ein Roman geworden.
Merci für Eure Infos.

[HarryHorstmann]

Sag das doch ....

Also:

80 sowie 5190 in beiden Richtungen freischalten
außerdem einen ganzen Bereich (etwa 20 Ports) von TCP Ports für einkommende Signale (wie Datentransfers) z.B. 20000 ~ 20019
--> Diese Ports im Hohen Bereich werden nur von wenig anderen Programmen benutzt. Kannst natürlich aber auch jeden anderen Bereich freigeben!

Gruß Harry

[Velox]

Hallo,
hat sich wieder was geändert. Bin wieder bei Kerio und dabei bleibe ich jetzt auch. Zonealarm ist mir einfach zu lasch.

Aber es gibt halt schon wieder und noch immer oder was weiß ich "Unklarheiten". Ich verweise dazu mal kurz auf folgendes Thema, weil die gleiche Problematik - jedoch mit anderem Programm - gegeben ist.

Im Grunde läuft jedes Programm bei mir, wenn ich mich NICHT an die im Internet kursierenden Regelvorgaben halte (hört sich blöd an, ist aber so), aber dann halt mit komplett offenen Toren und das will ich nicht.

Entweder hab ich bislang nur idiotische Programme am Start, welche "besonders schwierig" sind, oder aber . Denn alleine die im Internet kursierenden Regeln zu z.B. UT2004 bringen bei mir UT2004 nicht durch die Firewall. Das gleiche betrifft ICQLite, MSN Messenger, Skype usw.

Bin mal gespannt, ob ich "verstanden" werde

[HarryHorstmann]

Hallo!

Zunächst finde ich es erstmal nicht in ordnung nach Hilfe zu Fragen, wenn man die befragten Leute zwischen den Zeilen schräg anlabert:

Original von Velox
...Und die ganzen Möchtegern-Profis geben nur das weiter, was sie auf anderer Seite gefunden haben. Selbst können sie diese Weisheiten aber niemals angewandt haben, weil sie so gar nicht funktionieren...

zu deinem Problem:
- Dein Problem hast du doch schon längst geschildert und ist somit bekannt. Du wiederholst dich ja ständig!

- Und, wie gesagt sind dir die Bedeutungen mancher grundlegender Dinge einfach nicht bekannt...

Original von HarryHorstmann
Die TCP-Ports sind für eingehende Signale, UDP für ausgehende!

...denn ansonnsten wüsstest du, dass die Angabe von Microsoft was den Datentransfer angeht gar nicht so abwegig ist!
Laut deines Lebenswerkes im MSN-Bereich sagt Microsoft folgendes:

Original von Velox ...
"Windows Messenger Microsoft TCP 6891-6900 Nur für Dateiübertragungen erforderlich."
...

...denn hier steht deutlich, dass die TCP Portrange von 6891-6900 hierfür benötigt wird!


Für ICQ hab ich dir die benötigten Daten gegeben und mit denen funktioniert es! Wenn nicht, dann kannst du evtl. keine Firewall konfigurieren, denn das Grundprinzip hast du ja durchaus richtig erkannt...

Original von Velox
Es spielt KEINERLEI Rolle, welche Firewall man benützt, wenn man obigen Punkt 3 anwenden möchte. Die benötigten Ports, Protokolle usw. sind für alle Firewalls gleich, weil sie vom Programm abhängen und nicht von der Firewall!

Leider kenne ich wie gesagt deine Firewall nicht, denn das einzige Verständnisproblem, das ich habe, ist die Sache mit den "Local" und "Remote" Ports. Allerdings würde ich sagen, dass du generell nur Remote Ports freigibst. Denn wenn man die Begriffe übersetzt, erkennt man, dass "remote" soviel heißt wie "entfernt/weit weg" (also = Internet) und "local" soviel heißt wie "lokal" (also = Heim-/Firmennetzwerk). --> Sollte ich damit falsch liegen, sag mir bitte, wofür diese Einstellung sonst ist.

Gruß Harry

[HarryHorstmann]

Hallo!

Hab mir jetzt mal die Kerio Firewall installiert. Das Ding blockiert ja wirklich alles! Das ist ja schon fast nicht mehr lustig. Das Ding ist auf jeden Fall das richtige für jeden Sicherheitsfetischisten!!! Ich check mal, wie das mit ICQ so funzt und sag dann morgen oder so mal bescheid!

Gruß Harry

[Velox]

Hallo, bin erst heute aus dem Urlaub zurück.

Bislang habe ich fast nur "Standardaussagen" zu einfachen Fragen erhalten und da "labber ich diese Leute" nicht zwischen den Zeilen schräg an, sondern direkt! Da ich aber in diesem Thread bislang noch keine solchen Antwort gefunden habe, gilt diese schräg anlabbern auch keinem aus diesem Thread. Sonst wäre es nicht nur "zwischen den Zeilen" zu lesen .

Zu den einzelnen Programmen weiter ins Detail zu gehen, hat meiner Meinung nach (was mir erst jetzt richtig bewußt wird) nur wenig Sinn. Es scheint so - wie Du auch in Deinem letzten Thread selber sagst - dass die Kerio eine ganz spezielle Firewall ist. Und da bei mir eben die besagten Programme NICHT mit einfachen Aussagen wie "Die TCP-Ports sind für eingehende Signale, UDP für ausgehende!
" zum Laufen zu bewegen sind, scheint es an Kerio zu liegen.

Z.b. gibt es bei mir diverse Anwendungen, welche mit "Halbwahrheiten" wie dieser: "Windows Messenger Microsoft TCP 6891-6900 Nur für Dateiübertragungen erforderlich" bei mir EINDEUTIG nicht laufen. Ohne zusätzliche Freigabe (ebenso auf TCP Out) von den Ports 80,1503 und 6901 läuft bei mir der Messenger eben DEUTLICH nicht!! Weshalb dies von Microsoft verschwiegen oder einfach nicht erwähnt wird, bleibt wohl für immer ein Rätsel.

Das dann von einigen Leuten eben auch nur diese Angaben (die von Microsoft als notwendig bezeichnet werden) erwähnen, aber die noch zusätzlich benötigten Ports 80, 1503 und 6901 nicht erwähnen UND trotzdem OHNE Einschränkung den Messenger laufen lassen können, ist mir auch ein Rätsel.

Weshalb zu guter Letzt von Microsoft die weiteren notwendigen Ports und Protokolle (z.B. benötige zumindest ich eine EIN-UND AUSGEHENDES!! UPD Protokoll für die Ports 6901,5004-65535, sonst geht nämlich gar nichts) nicht erwähnt werden, ist das letzte Rätsel, welches wohl nur von Kerio selber gelüftet werden kann. Oder auch nicht....

ICQ habe ich nun nicht mehr drauf, weil ich damit am meisten Probleme hatte. Der Messenger läuft bei mir nun auch, allerdings nicht mit den notwendigen (laut MS) Ports, sondern mit wesentlich mehr.

[HarryHorstmann]

Hallo!

Und wie erklärst du dir das dann, dass mein ICQ einwandfrei funktioniert? Ich sitze hinter einem Router (somit also eine zusätzliche firewall) und dieser lässt definitiv nur auf den freigegebenen Ports einen Datenfluss zu. Ich habe nichts anderes als die besagten Ports freigegeben.
Zu MSN kann ich leider nichts sagen, da ich dieses Programm nicht mag und daher auch nicht benutze

Gruß Harry


PS: Da mich diese Sache nun aber mitlerweise interessiert, werde ich mir einen Rechner einrichten, mit dem ich diese firewall mal ausgiebig teste. Vielleicht überzeugt sie mich ja und ich werde auch noch zu sonem "Sicherheitsfetischisten"

[Velox]

Original von HarryHorstmann
Zu MSN kann ich leider nichts sagen, da ich dieses Programm nicht mag und daher auch nicht benutze

Weshalb ICQ bei mir mit den "nur notwendigen" Portfreigaben nicht lief, kann ich mir leider auch nicht erklären und nichts mehr dazu sagen, da ich dieses Programm (ICQ) nun auch nicht mehr mag und daher nicht mehr nutze

Irgendeinen Fetisch braucht der Mensch....

[HarryHorstmann]

Hi Velox!

Ich wollte nur nochmal wissen, bevor ich da dann mal rumprobiere, ob ich mit meinen thesen zum Thema "remote" und "local" richtig lag, also ob du diese Frage gelöst hast?

Gruß Harry