Kerio 2.1.5: Ports auf "CLOSED" setzen

#0
02.06.2004, 16:04
Member

Beiträge: 30
#1 Servus,

ich hab gerade einen älteren Artikel gelesen, in dem empfohlen wird, Ports nicht auf "STEALTH", sondern auf "CLOSED" zu setzen.

Frage 1: Wie mache ich das in Kerio 2.1.5? Indem ich z.B. Port 135 blocke, bin ich dann schon "stealth" oder "closed" unterwegs? Oder muss als letzte Zeile das "Block All Incoming/Outgoing" weg?

Frage 2: Trifft das auch auf ICMP zu? Ist es also schlimm, wenn ich beispielsweise anpingbar bin und Daten zurückliefere? Momentan habe ich dies geblockt und kann nur selber pingen.

Frage 3: Welcher Online Scanner zeigt mir genau an, ob meine Ports closed oder stealth sind? Ich habe gelesen, dass diese Angaben bei manchen Scannern nicht ganz stimmen?

Frage 4: Was muss ich sonst noch tun/einstellen, um "closed" zu sein?

Gruß
Franklin
Seitenanfang Seitenende
02.06.2004, 17:04
Member

Beiträge: 141
#2 Hi,
1. nicht deny sondern reject in den regeln
2. http://board.protecus.de/t907.htm?highlight=stealth

nutze die suchfunktion ist nen "glaubenskrieg" ;)
3. k.a.
4. nichts
Seitenanfang Seitenende
02.06.2004, 19:28
Moderator
Avatar joschi

Beiträge: 6466
#3 In diesm Fall bist Du bezgl des "Glaubenskriegs" außen vor ;).
Unter Kerio gibt es "allow" oder "deny". Ist die Friewall an und blockt einen Port gibt es nur "stealth".
Ein "Closed" würde das System von sich aus versenden, wenn der Port nicht ansprechbar, also geschlossen ist. Macht auch Sinn, wie sich aus der Diskussion unter obigem Link ergibt.
Soweit ich weiß ist es bei der Desktop-Firewall Outpost möglich ein "Reject" einzustellen, das wohl einer "Closed"-Antwort entspricht.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
03.06.2004, 22:08
Member

Themenstarter

Beiträge: 30
#4 Das heisst also, dass ich mit der Kerio 2.1.5 den Zustand "closed" nicht erreichen kann, sondern nur "stealth", richtig?

Gruß
Franklin
Seitenanfang Seitenende
04.06.2004, 07:17
Moderator
Avatar joschi

Beiträge: 6466
#5 Den Zustand "closed" hattest Du bereits "erreicht". Es ist die normale Antwort des Systems auf Anfragen auf ohnehin geschlossene Ports.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
04.06.2004, 09:18
Member

Beiträge: 26
#6 Okay, soweit so gut, dann hab ich ja fast alles zu. ;))

An dieser Stelle al eine ergänzende Frage...

Wenn ich den Port 445 schließe, welcher laut "Kerio PF 2.1.5" noch horcht, dann kann sich meine Firewall jeden zweiten Start nicht mehr zum TCP/IP-Stack von Windows verbinden? Oder liegt es an der deaktivierung vom DCOM? Andere Fehlerquellen fallen mir nicht ein?!

Noch ein nicht wünschenswertes Resultat ist, das es keine lokalen Verbindungen mehr gibt - soll heißen, mein Mailprogramm The Bat kann sich zum Beispiel nicht mehr zum Spamprogramm K9 weiterverbinden.

Nachdem ich dann die PFW beende und neustarte scheinen die Regeln zu funktionieren, jedoch ist ein Mailempfang nicht möglich. Ohne Modifikationen schaut es so aus. Die markierten Verbindungen sind nach dem schließen nicht mehr da.

Vielleicht weiß ja jemand eine Antwort? Oder hat einen Denkanstoß.

MfG
Dieser Beitrag wurde am 04.06.2004 um 09:20 Uhr von eCerberus editiert.
Seitenanfang Seitenende
04.06.2004, 10:23
Member

Beiträge: 3306
#7 1. Port 445 und Kerio ist ein altes Problem. Siehe http://board.protecus.de/t1657.htm

2. Wenn du lokale Verbindungen erlaubst funktionieren sie auch. Musst halt für jedes Loopback eine Regel erstellen oder allgemein erlauben, was aber nicht zu empfehlen ist.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
04.06.2004, 17:32
Member

Beiträge: 26
#8 Nothing you can do about 445.

Hmm okay, danke Dir asdrubael. Ich lasse meine Firewall so wie sie ist, der Port wird halt von außen deny'ed. Dementsprechend lasse ich meine lokalen Verbindungen selektiv so wie sie sind. Passt ja alles, und dieser eine Port macht den Braten auch nicht mehr fett. ;)

Grüße,
eCerberus
Seitenanfang Seitenende
04.06.2004, 18:59
Member

Themenstarter

Beiträge: 30
#9 Ich hatte die letzten Tage viele Scans auf Port 445, hab deshalb eine extra Regel gebastelt, in der nichts mehr geloggt wird. Gleiches habe ich für die Ports 135,137,139,5000 und 1025 gemacht.

Gruß
Franklin
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: