Warum sind Ports nicht stealthed

#0
22.03.2003, 15:55
...neu hier

Beiträge: 9
#1 Hi!

Ich benutze die KPF2.1.4. Ich würd hier gerne noch n Screenshot von meinem Ruleset einfügen, aber leider habe ich momentan keinen Zugriff auf meinen Webserver. Is aber auch egal, letztendlich geht es nur darum, dass ich als letztes die BLOCK ALL INCOMING - Regel da stehen hab.
Jetzt frage ich mich aber, wieso bei einem Portscan (z.B. http://grc.com/x/ne.dll?bh0bkyd2) die Ports nur "CLOSED" sind und nicht "STEAHLTH"... sollte das mit dieser Regel nicht normalerweise so sein???

Dazu sollte ich vielleicht sagen, dass ich zwecks DSL-Sharing hinter einem Router sitze. Weiß nicht genau, ob das dabei irgendwie eine Rolle spielt...

Ich habe keine Panik vor Hackerangriffen oder so, aber ich weiß, dass vor einiger Zeit alle Ports "STEALTH" waren, als ich den Portscan schonmal gemacht habe, und ich möchte das einfach gerne wieder so haben!!! Ich weiß allerdings nicht, was sich seitdem geändert haben soll... außer dass ich jetzt WinXP statt vorher Win98 benutze.

Jemand ne Idee?
Greetz,
J_Z
Seitenanfang Seitenende
22.03.2003, 16:34
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#2 Genau der Router spielt eine Rolle! Genau dieser wird dann nämlich untersucht und nicht der Rechner!

R.

PS: Bitte nochmal Regelnb zwecks Gestaltung der Überschrift lesen!
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
22.03.2003, 18:23
Member

Beiträge: 124
#3 Ergänzend zu Robert vielleicht noch: Es gibt kein STEAHLTH im Sinne von "Der Rechner/die Ports sind unsichtbar." Jeder Rechner und jeder Port, hinter dem ein Dienst steht reagiert auch dementsprechend ist in jedem Fall sichtbar, sobald er online ist. Professionelle Scaner würden daher auch bei einem Portscan kein STEAHLTH als Ergebnis bringen, sondern immer ein GESCHLOSSEN oder GEFILTERT.

Es spiel daher imo keine Rolle, ob im Ergebnis des GRC-Scans deine Ports STEAHLTH oder CLOSED sind... für einen möglichen Angreifer bedeutet das lediglich: der Host versucht sich hinter einer FW oder einem Router zu verschanzen.

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.
Seitenanfang Seitenende
22.03.2003, 21:19
Member

Beiträge: 813
#4

Zitat

Jeder Rechner und jeder Port, hinter dem ein Dienst steht reagiert auch dementsprechend ist in jedem Fall sichtbar, sobald er online ist.
Ähh, ein Dienst, der durch eine Desktop-Firewall "abgeschirmt" wird, reagiert doch überhaupt nicht, weil die FW die Anfrage einfach verwirft.
Der Scannende kann aber anhand des Ausbleibens eines abweisenden ICMP-Pakets (vom "letzten" Router) erkennen, dass dort ein Rechner online sein muss.
Vielleicht meintest du das ja auch... ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
23.03.2003, 12:47
Member

Beiträge: 124
#5

Zitat

forge77 meinte zu recht:
Der Scannende kann aber anhand des Ausbleibens eines abweisenden ICMP-Pakets (vom "letzten" Router) erkennen, dass dort ein Rechner online sein muss.

Yep... das meinte ich. Der Dienst selbst reagiert auf einen Scan nicht, aber die FW verrät uns, dass sie den Dienst abschirmt bzw. den entsprechenden Port filtert. Sorry, wenn ich mich nicht ganz klar ausgedrückt habe... irgendwie scheinen die Grippeviren mein Sprach-/Schreibzentrum okupiert zu haben... ;)

Grüße, dicon
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: