Kerio unsicher?: Portscan

#16 der funzt echt nicht oder nur ganz schlecht

Unter 98 funzt er schonmal garnet da wird zumindestens alles als closed angezeigt auch wenn es es von xp aus zu ist

dann werden teilweise offene ports gezeigt die das nächste mal zu sind

kann vieleicht mal jemand der sich mit ein sniffer auskennt das teil mal richtig testen ob der pc der gescannt wird wirklich mit syn und ack antwortet obwohl eine firewall drauf läuft
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#17 es macht einen grossen Unterschied. ob ich einen rechner lokal abscanne, auch, ob ich die loopback-Adresse, oder div Netzwerkadapter scanne. Je nach einstellung bekomme ich schon lokal unterschiedlich Ergebnisse. Hier kann ich u.U natürlich offene Ports sehen, denn schliesslich sind diese Dienste ja auch aktiv.
On remote siehts dann nochmal anders aus: hier sollten ja nur Dienste sichtbar sein, die wirklich von einer Gegenstelle benötigt werden, bzw. bei einem Client-PC kann auch alles stealth sein, obwohl ich (lokal gescannt) einiges an offenen Ports vorfinde.

Es gibt viele Möglichkeiten, weshalb Rayden dieses Ergebnis bekommt.
Es könnte sein, dass eine Firewall schlecht deinstalliert ist. An den "Schieberegler" glaub ich auch nicht, hatte auch auf "permit unknown" alles stealth.
vielleicht doch der Scanner? könnt den hier mal versuchen...
http://www.networkingfiles.com/PingFinger/SuperScan.htm
Bedienung und Funktionalität sind hier erste Sahne!.
Hätte Kerio wirklich so gravierende nd offensichtliche Bugs, man würde sie nicht mal als freeware unter die Leute bekommen)
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#18 nein das ist damit nicht gemeint gewesen dieser scanner ist irgendwie so bescheuert das wenn man von 2 verschiedenen pc einen anderen scannt ganz ander ports offen sind der ist irgendwie falsch programmiert
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#19 Hallo,

@Rayden:
Versuchen wir´s systematisch.
Regel 1: TCP? UDP? TCP and UDP? Any? ICMP? Other?
Da es Ports nur bei TCP (and) UDP gibt, hast Du da was eingestellt - was denn?
Regel 2: Gleiche Frage (bitte genau).

@spunki:
Der Scanner startet den Verbindungsaufbau (SYN), der "Server" ohne FW baut auf (SYN, ACK), der Client antwortet (ACK) oder bricht ab (RST) oder beendet mit korrektem FIN-Gerödel (je nach Scanner). Wenn Kerio lief, war nix mit Connect; alle Pakete gedroppt (IMO auch Blödsinn, Reject wäre besser aber was solls).

@joschi:
Wie hast Du bei "permit unknown" "stealth" hinbekommen? Das wäre offensichtlich Keks...

Zu den Logs: Die Kerio hat kein IDS an Bord (bietet dafür aber recht sinnig die MD5-Geschichte) und verhält sich somit korrekt, wenn sie Portscans nicht loggt. Im Log steht nur, wenn eine Regel greift, bei der auch das "Log"-Häkchen gesetzt ist. Ansonsten landet im Log nur nach Aktivierung das, was durch "Log Packets addressed to unopened ports" und "Log suspicious packets" erfasst wird.

Martin

#20 ... dass der "billige" port-scanner randommäßig programmiert ist, glaube ich nun auch wieder nicht

das problem hatte ich nicht nur beim local-scannen, sondern auch remote...
und wieso sollte mir ein portscanner beim local-scannen bei folgender regelkombination überhaupt offene ports zeigen - der scanner macht schlicht und ergreifend ein verbindungsaufbau!

@mdiederich:
nochmal zum mitmeißeln:
1. Regel:
portscanner.exe -> TCP out, any port, any adress
(anm.: nur outgoing, nur tcp)
2. Regel:
"alle anwendungen" <-> alles geblockt tcp, udp, icmp, other (in und out!)

bei der block all regel hatte ich zusätzlich den "log" hacken drin.

=> beim scan: wird weder log gefüllt, noch hat kerio irgendwas geblockt


@spunki:
--- cut ---
nein das ist damit nicht gemeint gewesen dieser scanner ist irgendwie so bescheuert das wenn man von 2 verschiedenen pc einen anderen scannt ganz ander ports offen sind der ist irgendwie falsch programmiert
----------
mir auch schon aufgefallen: das der port-scanner überhaupt nicht funzt glaub ich aber auch nicht, komischerweise ist das bei mir bisher nur bei der kerio aufgetreten.

andere firewalls haben bisher entweder alles geblockt und keine offenen ports gezeigt bzw. wenn ich es erlaubt habe wurden die offenen ports richtig angezeigt. ich denke eher kerio ist besoffen programmiert wurden (siehe z.b. verschwinden von regeln)

cu
lr

#21 Hiho,

Zitat

Rayden postete
@mdiederich:
nochmal zum mitmeißeln:
1. Regel:
portscanner.exe -> TCP out, any port, any adress
(anm.: nur outgoing, nur tcp)
2. Regel:
"alle anwendungen" <-> alles geblockt tcp, udp, icmp, other (in und out!)

*seuftz* - das Mitmeißeln kann man sich sparen, wenn derjenige Fragesteller welcher einfach das zum Meißeln diktieren würde, was er auf seinem Monitor sieht (oder hast Du tatsächlich eine Spezialversion, bei der man "alles geblockt ..." auswählen kann?).

Zitat

bei der block all regel hatte ich zusätzlich den "log" hacken drin.

=> beim scan: wird weder log gefüllt, noch hat kerio irgendwas geblockt

Wenn Du den Haken gesetzt hattest *und* er nichts geloggt hat, ist das in der Tat komisch. Ich habe mich mal drangesetzt und das ganze ausprobiert - mit dem Ergebnis, dass die Kiste "dicht" (wenn man das so nennen kann...) war. Hast Du das Ding irgendwie als "Hauptbenutzer" und nicht als "Administrator" oder so installiert?

Martin
__________
Martin Diedrich - "Das LAN am Netz"
----> http://www.mdiedrich.de <----

#22 Hi mdietrich,

es bedarf keiner Spezialversion von KPF um mit einer einzigen Regel alles zu blocken.Bei Protocol "Any" auswählen und das wars.Diese Regel ist übrigens
insofern sinnvoll da es das Mitloggen ermöglicht.Ansonsten wird per default
alles geblockt wofür es keine erlaube-Regel gibt.

Gruß
Ajax

#23 @martin:
--- cut ---
*seuftz* - das Mitmeißeln kann man sich sparen ...
-----------

sorry, war nicht so gemeint, wie du es vielleicht verstanden hast: hatte die regeln aber schon mehrmals gepostet (vielleicht auch etwas unverständlich).

bin adimin auf meinen pc und habe es als dieser installiert.



cu
lr

#24 ich glaub nicht, dass wir hier weiterkommen !
@mdietrich

Zitat

Wie hast Du bei "permit unknown" "stealth" hinbekommen? Das wäre offensichtlich Keks...

Die "block any"-Regel war gesetzt. Selbst wenn dieser Schieberegler auf
"Permit unknown" das Deny-All-Prinzip von Kerio gewollt aushebelt, greift eben diese "deny all"-regel im ruleset immer noch. Das wirds gewesen sein.
Besteht hier noch Klärungsbedarf zu der von Rayden geäusserten Sache?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#25

Zitat

joschi postete
ich glaub nicht, dass wir hier weiterkommen !

ist recht - kann abgeschlossen werden. thx @ all.

fazit:
kerio funtz bei mir nicht, trotz richtiger regel - wird wohl ein geheimnis bleiben. nochmal bei jemand anders getestet: gleiche regel mit gleichem portscanner => es wird ordentlich geblockt, hoffentlich immer und nicht nur das eine mal... wer weiß.

cu
rayden

#26 Hiho,

@Rayden: Mein Beitrag klang auch böser als gewollt; nichts für Ungut und EOD . Das Problem finde ich dennoch recht interessant, weil das Verhalten bei mir dem erwarteten entsprach.

@Ajax: Es gibt definitiv keine Möglichkeit, innerhalb der Kerio-FW ein "alles blockieren..." wie oben geschrieben anzugeben. Dass man natürlich eine Block-All-Regel einbauen kann und das auch nicht ganz unsinnig ist, ist eine andere Sache, die ich nicht in Frage gestellt habe. Da Rayden aber mal von Ports und mal von "alles geblockt" sprach, habe ich nachgehakt - denn bei "Protocol -> any" gibt es keine Ports anzugeben (und das hätte ja das Problem auch sein können - wenn nur UDP geblockt wird, kommt TCP eben durch).

@Joschi: Zu der von Rayden geschilderten Sache würden mich nur die Umstände interessieren, aber da das wohl der Suche nach einer Nadel im Heuhaufen gleicht... beenden wir das .
Ansonsten ist die Erklärung mit der Deny-All-Regel natürlich relativ einleuchtend, was das "permit unknown" angeht.

CU
Martin
__________
Martin Diedrich - "Das LAN am Netz"
----> http://www.mdiedrich.de <----

#27 ich will auch mal kurz meine Senf dazu geben.
Als Firewallsystem ist Windows in meinen Augen leider ungeeignet.

Als Portscanner würde ich Nmap nehmen, gibts auch seit einiger Zeit für Windows.

Viel Spaß noch
Klooser