Kerio unsicher?: Portscan |
||
---|---|---|
#0
| ||
07.06.2002, 15:26
Member
Beiträge: 1516 |
||
|
||
07.06.2002, 16:43
Moderator
Beiträge: 6466 |
#17
es macht einen grossen Unterschied. ob ich einen rechner lokal abscanne, auch, ob ich die loopback-Adresse, oder div Netzwerkadapter scanne. Je nach einstellung bekomme ich schon lokal unterschiedlich Ergebnisse. Hier kann ich u.U natürlich offene Ports sehen, denn schliesslich sind diese Dienste ja auch aktiv.
On remote siehts dann nochmal anders aus: hier sollten ja nur Dienste sichtbar sein, die wirklich von einer Gegenstelle benötigt werden, bzw. bei einem Client-PC kann auch alles stealth sein, obwohl ich (lokal gescannt) einiges an offenen Ports vorfinde. Es gibt viele Möglichkeiten, weshalb Rayden dieses Ergebnis bekommt. Es könnte sein, dass eine Firewall schlecht deinstalliert ist. An den "Schieberegler" glaub ich auch nicht, hatte auch auf "permit unknown" alles stealth. vielleicht doch der Scanner? könnt den hier mal versuchen... http://www.networkingfiles.com/PingFinger/SuperScan.htm Bedienung und Funktionalität sind hier erste Sahne!. Hätte Kerio wirklich so gravierende nd offensichtliche Bugs, man würde sie nicht mal als freeware unter die Leute bekommen) Grüsse, Josch __________ Durchsuchen --> Aussuchen --> Untersuchen Dieser Beitrag wurde am 07.06.2002 um 16:50 Uhr von joschi editiert.
|
|
|
||
07.06.2002, 20:22
Member
Beiträge: 1516 |
#18
nein das ist damit nicht gemeint gewesen dieser scanner ist irgendwie so bescheuert das wenn man von 2 verschiedenen pc einen anderen scannt ganz ander ports offen sind der ist irgendwie falsch programmiert
__________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
07.06.2002, 23:18
zu Gast
|
#19
Hallo,
@Rayden: Versuchen wir´s systematisch. Regel 1: TCP? UDP? TCP and UDP? Any? ICMP? Other? Da es Ports nur bei TCP (and) UDP gibt, hast Du da was eingestellt - was denn? Regel 2: Gleiche Frage (bitte genau). @spunki: Der Scanner startet den Verbindungsaufbau (SYN), der "Server" ohne FW baut auf (SYN, ACK), der Client antwortet (ACK) oder bricht ab (RST) oder beendet mit korrektem FIN-Gerödel (je nach Scanner). Wenn Kerio lief, war nix mit Connect; alle Pakete gedroppt (IMO auch Blödsinn, Reject wäre besser aber was solls). @joschi: Wie hast Du bei "permit unknown" "stealth" hinbekommen? Das wäre offensichtlich Keks... Zu den Logs: Die Kerio hat kein IDS an Bord (bietet dafür aber recht sinnig die MD5-Geschichte) und verhält sich somit korrekt, wenn sie Portscans nicht loggt. Im Log steht nur, wenn eine Regel greift, bei der auch das "Log"-Häkchen gesetzt ist. Ansonsten landet im Log nur nach Aktivierung das, was durch "Log Packets addressed to unopened ports" und "Log suspicious packets" erfasst wird. Martin |
|
|
||
11.06.2002, 18:15
Member
Themenstarter Beiträge: 15 |
#20
... dass der "billige" port-scanner randommäßig programmiert ist, glaube ich nun auch wieder nicht
das problem hatte ich nicht nur beim local-scannen, sondern auch remote... und wieso sollte mir ein portscanner beim local-scannen bei folgender regelkombination überhaupt offene ports zeigen - der scanner macht schlicht und ergreifend ein verbindungsaufbau! @mdiederich: nochmal zum mitmeißeln: 1. Regel: portscanner.exe -> TCP out, any port, any adress (anm.: nur outgoing, nur tcp) 2. Regel: "alle anwendungen" <-> alles geblockt tcp, udp, icmp, other (in und out!) bei der block all regel hatte ich zusätzlich den "log" hacken drin. => beim scan: wird weder log gefüllt, noch hat kerio irgendwas geblockt @spunki: --- cut --- nein das ist damit nicht gemeint gewesen dieser scanner ist irgendwie so bescheuert das wenn man von 2 verschiedenen pc einen anderen scannt ganz ander ports offen sind der ist irgendwie falsch programmiert ---------- mir auch schon aufgefallen: das der port-scanner überhaupt nicht funzt glaub ich aber auch nicht, komischerweise ist das bei mir bisher nur bei der kerio aufgetreten. andere firewalls haben bisher entweder alles geblockt und keine offenen ports gezeigt bzw. wenn ich es erlaubt habe wurden die offenen ports richtig angezeigt. ich denke eher kerio ist besoffen programmiert wurden (siehe z.b. verschwinden von regeln) cu lr |
|
|
||
11.06.2002, 21:29
...neu hier
Beiträge: 3 |
#21
Hiho,
Zitat Rayden postete *seuftz* - das Mitmeißeln kann man sich sparen, wenn derjenige Fragesteller welcher einfach das zum Meißeln diktieren würde, was er auf seinem Monitor sieht (oder hast Du tatsächlich eine Spezialversion, bei der man "alles geblockt ..." auswählen kann?). Zitat
Wenn Du den Haken gesetzt hattest *und* er nichts geloggt hat, ist das in der Tat komisch. Ich habe mich mal drangesetzt und das ganze ausprobiert - mit dem Ergebnis, dass die Kiste "dicht" (wenn man das so nennen kann...) war. Hast Du das Ding irgendwie als "Hauptbenutzer" und nicht als "Administrator" oder so installiert? Martin __________ Martin Diedrich - "Das LAN am Netz" ----> http://www.mdiedrich.de <---- |
|
|
||
11.06.2002, 21:55
zu Gast
|
#22
Hi mdietrich,
es bedarf keiner Spezialversion von KPF um mit einer einzigen Regel alles zu blocken.Bei Protocol "Any" auswählen und das wars.Diese Regel ist übrigens insofern sinnvoll da es das Mitloggen ermöglicht.Ansonsten wird per default alles geblockt wofür es keine erlaube-Regel gibt. Gruß Ajax |
|
|
||
11.06.2002, 22:10
Member
Themenstarter Beiträge: 15 |
#23
@martin:
--- cut --- *seuftz* - das Mitmeißeln kann man sich sparen ... ----------- sorry, war nicht so gemeint, wie du es vielleicht verstanden hast: hatte die regeln aber schon mehrmals gepostet (vielleicht auch etwas unverständlich). bin adimin auf meinen pc und habe es als dieser installiert. cu lr Dieser Beitrag wurde am 11.06.2002 um 22:10 Uhr von Rayden editiert.
|
|
|
||
11.06.2002, 22:15
Moderator
Beiträge: 6466 |
#24
ich glaub nicht, dass wir hier weiterkommen !
@mdietrich Zitat Wie hast Du bei "permit unknown" "stealth" hinbekommen? Das wäre offensichtlich Keks... Die "block any"-Regel war gesetzt. Selbst wenn dieser Schieberegler auf "Permit unknown" das Deny-All-Prinzip von Kerio gewollt aushebelt, greift eben diese "deny all"-regel im ruleset immer noch. Das wirds gewesen sein. Besteht hier noch Klärungsbedarf zu der von Rayden geäusserten Sache? __________ Durchsuchen --> Aussuchen --> Untersuchen Dieser Beitrag wurde am 11.06.2002 um 22:16 Uhr von joschi editiert.
|
|
|
||
11.06.2002, 23:02
Member
Themenstarter Beiträge: 15 |
#25
Zitat joschi postete ist recht - kann abgeschlossen werden. thx @ all. fazit: kerio funtz bei mir nicht, trotz richtiger regel - wird wohl ein geheimnis bleiben. nochmal bei jemand anders getestet: gleiche regel mit gleichem portscanner => es wird ordentlich geblockt, hoffentlich immer und nicht nur das eine mal... wer weiß. cu rayden Dieser Beitrag wurde am 11.06.2002 um 23:02 Uhr von Rayden editiert.
|
|
|
||
11.06.2002, 23:14
...neu hier
Beiträge: 3 |
#26
Hiho,
@Rayden: Mein Beitrag klang auch böser als gewollt; nichts für Ungut und EOD . Das Problem finde ich dennoch recht interessant, weil das Verhalten bei mir dem erwarteten entsprach. @Ajax: Es gibt definitiv keine Möglichkeit, innerhalb der Kerio-FW ein "alles blockieren..." wie oben geschrieben anzugeben. Dass man natürlich eine Block-All-Regel einbauen kann und das auch nicht ganz unsinnig ist, ist eine andere Sache, die ich nicht in Frage gestellt habe. Da Rayden aber mal von Ports und mal von "alles geblockt" sprach, habe ich nachgehakt - denn bei "Protocol -> any" gibt es keine Ports anzugeben (und das hätte ja das Problem auch sein können - wenn nur UDP geblockt wird, kommt TCP eben durch). @Joschi: Zu der von Rayden geschilderten Sache würden mich nur die Umstände interessieren, aber da das wohl der Suche nach einer Nadel im Heuhaufen gleicht... beenden wir das . Ansonsten ist die Erklärung mit der Deny-All-Regel natürlich relativ einleuchtend, was das "permit unknown" angeht. CU Martin __________ Martin Diedrich - "Das LAN am Netz" ----> http://www.mdiedrich.de <---- |
|
|
||
20.09.2002, 22:41
klooser
zu Gast
|
#27
ich will auch mal kurz meine Senf dazu geben.
Als Firewallsystem ist Windows in meinen Augen leider ungeeignet. Als Portscanner würde ich Nmap nehmen, gibts auch seit einiger Zeit für Windows. Viel Spaß noch Klooser |
|
|
||
Unter 98 funzt er schonmal garnet da wird zumindestens alles als closed angezeigt auch wenn es es von xp aus zu ist
dann werden teilweise offene ports gezeigt die das nächste mal zu sind
kann vieleicht mal jemand der sich mit ein sniffer auskennt das teil mal richtig testen ob der pc der gescannt wird wirklich mit syn und ack antwortet obwohl eine firewall drauf läuft
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}