Port 113 "nur" closed, nicht stealthed

#16 Ich rede hier nicht von dem Windows-Kasperletheater, sondern von etwas anderen Größenordnungen, die Du mit Deiner grenzenlosen Erfahrung doch sicherlich auch schon gesehen hast.

Du hattest das Thema doch ohnehin eigenmächtig für Beendet erklärt, deshalb bin ich etwas vom eigentlichen Hintergrund des Threads abgewichen.

Und in den Umgebungen, in denen ich legal unterwegs war (und bin) ist ein "Angreifer" keine unbekannte Macht, sondern Realität.
__________
the power to serve

#17

Zitat

Ich rede hier nicht von dem Windows-Kasperletheater, sondern von etwas anderen Größenordnungen, die Du mit Deiner grenzenlosen Erfahrung doch sicherlich auch schon gesehen hast.

Naja dann trifft das nicht mehr auf Desktop/Personal FW's zu.
Wozu ich mehr tendiere als alles blockieren was geht ist, Zeit & Connection Limit für einzusetzen und optional blocking.

Zitat

Du hattest das Thema doch ohnehin eigenmächtig für Beendet erklärt,

Naja so wie der Themenstarter sich verhält naja, dass ist ja eh kein
(Diskussions-)Forum.
Die meisten Leute glauben das wär hier ne Tankstelle,
da muss ich mich aber leider von entziehen...

Zitat

Und in den Umgebungen, in denen ich legal unterwegs war (und bin) ist ein "Angreifer" keine unbekannte Macht, sondern Realität.

Es gab ja vor einiger Zeit diesen "Womit schützt ihr euren PC" Thread, dass was ich da gepostet hatte ist sogar ernst gemeint.
Ich hab keine Firewall, keinen Router und auch sons nix gedöhns und mir geht's blendend.
Das beste was man machen kann ist sichere und gut gecodede Software einzusetzen alles andere befreit dich nicht.
MIt Angreifer weiß ich nicht was du meinst, die Scriptkiddies die nix besseres zu tuen haben und 24/7 das Netz absuchen?
Davon fühle ich mich persönlich nicht sonderlich gestört, wir waren alle mal jung

Es ist mir schrecklich egal - falls du was ernsteres meinst wie gesagt dann entziehen wir uns dem Gebiet Personal Firewall, eine Konfiguration sollte intelligent angelegt sein und das wichtigste ist die Software - in jedem Fall.
Ich denke immernoch nicht das es nützlich ist jeden Port zu blocken, vor allem auch nicht immer Sinnvoll zb. für einem FTP Server Konfiguration störend etc.
(Kommt natürlich auf den Service an der angeboten wird).

Für mich ist Windows keine profesionelle Angelegenheit egal wie sehr das irgendjemand anpreisen wird.
Ich weiß zwar das MS versucht was zu bewegen (siehe .NET, C++/CLI etc.) aber MS ist da nicht unbedingt an allem Schuld das sind die dummen Homos die wollen am liebsten sich in gar keine Richtung bewegen - im Grunde haben sich die Leute ihre Welt ja selbst erschaffen dazu gehört auch das Windows/Viren/Malware fiasco.

Bis aus Windows nen richtiges OS wird, werden noch mal 30 Jahre vergehen (ja vielleicht weniger?).
In jedem Fall liegt der Hauptgrund für Sicherheit nicht bei dem "Wir blocken alles und fühlen uns sicher" - nein nein dadurch ensteht gar keine Sicherheit.

Verdammt der Post ist leider länger geworden als ich wollte, aber naja Ausführlichkeit kann ja mal nicht schaden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#18 Dash, bevor ich näher auf deine Argumentation eingehe, stelle ich die Frage aller Fragen...Was für einen Sicher-
heitsgewinn erhoffst du dir konkret durch ein misskonfiguriertes ICMP (aka "Stealth-Mode")?
Abwehr von Fingerprinting? Prävention eines "Ping of Death"? Weniger Last auf dem Kabel?

Zitat

Das machen nicht nur Desktop Firewalls so.

Mag sein. Aber überwiegend machen es Desktop Firewalls im SoHo-Bereich. Und falls keine PF an diesem Umstand
Schuld sein sollte, hat der User selbst Hand anglegt und seinen implementierten Paketfilter verge-
waltigt (ebenfalls SoHo Fraktion).

Zitat

Warum sollte ich einem Angreifer denn auch noch erzählen, dass mein Port "closed" ist? Das kann er ja auch selbst herausfinden.

Zum einen wird er das auch, zum anderen schießt du dir -je nach Request-selbst ins Knie. Bekommt dein Gegenüber
auf eine reguläre Anfrage kein Echo, wiederholt er diese einfach. Und nochmal...und nochmal...und nochmal.
Die Latenz steigt, der Datendurchsatz verzögert sich. Anderes Beispiel: Du surfst eine stark frequentierte Domain
an. Diese unterhält mehrere Server und benutzt Load Balancing um den User (dich!) mit dem derzeit schnellsten
zu verbinden. Ein in der Praxis eingesetztes Mittel zur Feststellung des schnellsten Server für den Anfragenden
(dich!) kann ein simpler "Ping" an den Absender (dich!) sein. Man wird garantiert nicht automatisiert auf einen
Highspeed Server geleitet, wenn der eigene Host ICMP Pakete dropt und der Load Balancer o.g. Überprüfung durch-
führt.

Zitat

Ich rede hier nicht von dem Windows-Kasperletheater, sondern von etwas anderen Größenordnungen[..]

Ich auch. Schätzungsweise 95% aller Webserver im Internet antworten auf einen Ping. Ein Server bietet per Definition
"etwas an", hat demnach also schützenswerte Inhalte und auf irgendeinen Port (bspw. 80/TCP HTTP) wartet er auf
ein 3 Way Handshake. Trotzdem gibt er ein Reply auf einen initiierten Ping Befehl. Sind alle Hoster/Webmaster/ISPs
also schwachsinnig? Warum blocken sie derartige Abfragen nicht und lassen sie ins Leere laufen? Fehlendes Sicher-
heitsdenken? (Rhetorische Fragen).

Der ONU mit seinem Home-PC glaubt jedoch anscheinend, dass auf seinem PC, von dem eh´ niemand "etwas will",
ein sog. "Stealth Modus" das Gelbe vom Ei ist, um irgendwelche ernstzunehmenden Gefahren, welche
angeblich durch das Beantworten eines Pings entstehen, abwenden
zu können. Sorry, für mich weder technisch noch argumentativ nachzuvollziehen.

Die Zeiten, wo fragmentierte oder korrupte Ping Pakete "Schäden" am entfernten Host anrichten können,
sind bei Nutzung eines halbwegs aktuellem OS lange (sehr lange) vorbei.


Gruß,

Sepia

#19

Zitat

Sepia postete
Dash, bevor ich näher auf deine Argumentation eingehe, stelle ich die Frage aller Fragen...Was für einen Sicher-
heitsgewinn erhoffst du dir konkret durch ein misskonfiguriertes ICMP (aka "Stealth-Mode")?
Abwehr von Fingerprinting? Prävention eines "Ping of Death"? Weniger Last auf dem Kabel?

Fingerprinting. Wir reden hier übrigens nicht von UDP, womit Du Deine ICMP-Argumentation getrost vergessen kannst. Geschlossene TCP-Ports senden RST-Pakete. Und 113/auth ist TCP.

Zitat

Anderes Beispiel: Du surfst eine stark frequentierte Domain
an. Diese unterhält mehrere Server und benutzt Load Balancing um den User (dich!) mit dem derzeit schnellsten
zu verbinden. Ein in der Praxis eingesetztes Mittel zur Feststellung des schnellsten Server für den Anfragenden
(dich!) kann ein simpler "Ping" an den Absender (dich!) sein. Man wird garantiert nicht automatisiert auf einen
Highspeed Server geleitet, wenn der eigene Host ICMP Pakete dropt und der Load Balancer o.g. Überprüfung durch-
führt.

ICMP Echo Requests für Load Balancing zum Client? Gewagte These, darüber würde ich gerne mehr technische Details haben

Zitat

Ich auch. Schätzungsweise 95% aller Webserver im Internet antworten auf einen Ping. Ein Server bietet per Definition
"etwas an", hat demnach also schützenswerte Inhalte und auf irgendeinen Port (bspw. 80/TCP HTTP) wartet er auf
ein 3 Way Handshake.

Schön abgelesen!

Meine Webserver antworten btw. nicht jedem auf ICMP Echo Requests und laufen trotzdem zufriedenstellend

Zitat

Trotzdem gibt er ein Reply auf einen initiierten Ping Befehl. Sind alle Hoster/Webmaster/ISPs
also schwachsinnig? Warum blocken sie derartige Abfragen nicht und lassen sie ins Leere laufen? Fehlendes Sicher-
heitsdenken? (Rhetorische Fragen).

Keine Ahnung, frag die Admins.

Zitat

Die Zeiten, wo fragmentierte oder korrupte Ping Pakete "Schäden" am entfernten Host anrichten können,
sind bei Nutzung eines halbwegs aktuellem OS lange (sehr lange) vorbei.

Das dachte ich früher auch mal...

Hatte letztens erst den Fall, dass während eines Tests ein NAS regelmäßig abgeraucht ist, wenn ein SYN-Scan drüber lief.
Erbärmlich implementiertes Linux-System in der Kiste, aber das kam so vom Hersteller und war keine selbstgebastelte Lösung...

Wie auch immer, schönes Wochenende wünsche ich

Gruss,

der dash
__________
the power to serve

#20

Zitat

Fingerprinting.

SoHo: Und der "Stealth-Mode" trägt wesentlich zur Sicherheit eines privaten PCs bei, indem er das Fingerprinting
verhindert?

Ping, gerade eben ausgeführt (21:04 Uhr, zufällige T-Online Range):

>Ping wird ausgeführt für 217.255.112.111 mit 32 Bytes Daten:

>Antwort von 217.255.112.111: Bytes=32 Zeit=48ms TTL=62
>Antwort von 217.255.112.111: Bytes=32 Zeit=48ms TTL=62
>Antwort von 217.255.112.111: Bytes=32 Zeit=47ms TTL=62
>Antwort von 217.255.112.111: Bytes=32 Zeit=47ms TTL=62

(Anm.: Host ist up. OS durch "reinen Ping" nicht erkennbar)

>Ping wird ausgeführt für 217.255.112.112 mit 32 Bytes Daten:

>Antwort von 217.0.116.167: Zielnetz nicht erreichbar.
>Antwort von 217.0.116.167: Zielnetz nicht erreichbar.
>Antwort von 217.0.116.167: Zielnetz nicht erreichbar.
>Antwort von 217.0.116.167: Zielnetz nicht erreichbar.

(Anm.: IP nicht vergeben, kein Ziel. Gleiches gilt bis einschl. 217.255.112.116)

>Ping wird ausgeführt für 217.255.112.117 mit 32 Bytes Daten:

>Zeitüberschreitung der Anforderung.
>Zeitüberschreitung der Anforderung.
>Zeitüberschreitung der Anforderung.
>Zeitüberschreitung der Anforderung.

Ich verwette meinen Popo, dass hier eine Windows-Box[1] ist, die im "Stealth-Modus" läuft! Gründe:
"Zeitüberschreitung der Anforderung" statt "Zielnetz nicht erreichbar" im WAN, hohe Zeitspanne, bis Ping-Befehl
auf diese IP durchgelaufen ist.
Wenn ich demnach recht haben sollte, hat sein "Stealth-Modus" gegenteiliges bewirkt und wurde durch einen simplen
Ping in bezug auf Fingerprinting ausgehebelt.

[1] *nix Heimanwender sind meist schlauer und technisch versierter. Weiterhin gibt es für diese OSe soweit ich weiss keine
kaputte Personal-Firewall Software. Ergo: Mit hoher Wahrscheinlichkeit eine Windows-Box.

Zitat

Wir reden hier übrigens nicht von UDP, womit Du Deine ICMP-Argumentation getrost vergessen kannst. Geschlossene TCP-Ports senden RST-Pakete. Und 113/auth ist TCP.

Gut, reden wir halt über das Droppen von Anfragen im Allgemeinen. Aber was ändert das?

Zitat

Ich auch. Schätzungsweise 95% aller Webserver im Internet antworten auf einen Ping. Ein Server bietet per Definition
"etwas an", hat demnach also schützenswerte Inhalte und auf irgendeinen Port (bspw. 80/TCP HTTP) wartet er auf
ein 3 Way Handshake.

Zitat

Schön abgelesen!

Abgelesen? Nein, was sollte ich deiner Meinung nach wo abgelesen haben? Beziehst du dich auf die "95%"?
Das war aus dem Bauch raus geschätzt. Sollte irgendeine Quelle diesen zufällig geschätzten Wert bestätigen,
wäre das fein. Solltest du hingegen meinen anschließenden Satz meinen: Auch hier ein "Nein". Wie TCP/IP und die
anderen Protokolle funktionieren, weiss ich. Generell: Wenn ich "ablese" (im Sinne von "abschreiben") würde ich die
Quelle posten. Ich schmücke mich nicht stillschweigend mit fremden Federn. Trotzdem interessiert es mich, wie du
darauf kommst. Existiert also eine Quelle, die meine Ausführungen nahezu identisch veröffentlicht hat?

Zitat

Meine Webserver antworten btw. nicht jedem auf ICMP Echo Requests und laufen trotzdem zufriedenstellend

Das bezweifel ich nicht. Ich bin jedoch der überzeugt, dass sie das auch tun, wenn sie einen Pong auf einen Ping
senden.

Zitat

Die Zeiten, wo fragmentierte oder korrupte Ping Pakete "Schäden" am entfernten Host anrichten können,
sind bei Nutzung eines halbwegs aktuellem OS lange (sehr lange) vorbei.

Zitat

Das dachte ich früher auch mal...

Hatte letztens erst den Fall, dass während eines Tests ein NAS regelmäßig abgeraucht ist, wenn ein SYN-Scan drüber lief.
Erbärmlich implementiertes Linux-System in der Kiste, aber das kam so vom Hersteller und war keine selbstgebastelte Lösung...

Autsch. Das so etwas heutzutage noch passiert, hätte ich nicht für möglich gehalten. Teeren und Federn...!
Ich gehe aber davon aus, dass dies ein Einzelfall ist, der leider immer wieder vorkommen kann.

Zitat

Wie auch immer, schönes Wochenende wünsche ich

Dito!


Gruß,

Sepia