Kerio unsicher?: Portscan

#1 Hi Leutz,
habe mir mal die Kerio 2.1.4 (aktuelle version) installiert (auf win2k-s), weil so hoch gelobt, und ein wenig getestet - echt schwach das teil, meiner meinung nach...
(vielleicht hat sich das teil bei mir auch nicht richtig installiert (-: )

man nehme ein primitiven portscanner z.b.:
http://www.computec.ch/software/portscanning/7th_sphere_portscanner/7th_sphere_portscanner.zip
welchen man in der regel nicht nimmt, da er auffällige full-connects macht!

erstelle regel 1 (wirklich aller erste regel!):
portsanner OUT -> alle ports -> alle adressen

erstelle regel 2 (gleich danach):
block all -> alle ports -> in/out


was wird erwartet, wenn der portscanner local gestartet wird?
rauskommen sollte, der portscanner, aber er sollte keine offenen ports zeigen, da nach innen nichts drin ist.

was wird erwartet, wenn regel 1 deaktiviert wird und der portscanner remote gestartet wird?
portscanner sollte keine offenen ports zeigen.


==> pustekuchen: er zeigt fleißig alles: port 80 (webserver), 21 (ftp), 137 (netbios-ns), 139 (netbios-ss)....

-> prima, voll die funktion verfehlt das teil!

ich würde euch bitten es auch mal auszuprobieren: nicht dass ich eine "kerio-spezial-version" habe
nachher kommt was anderes drauf.......

thx,
cu
LR

#2 ...ach so nebenbei: bei block all kann man ruhig mal mitloggen

was erwartet man dann im logfile?
=> jedenfalls mehr als drin steht: NIX!

cu
LR

#3 Hi,

also bei mir ist sie eigentlich sicher.
Kommt nichts durch.
Du musst was falsch eingestellt haben.

Cu Tomy

#4 @tomy:
>eigentlich sicher
hast du das mit dem port-scan probiert?

was soll ich faslch eingestellt haben, wenn ich block all erstellt habe... :-(

=> gibt ja nur 2 regeln: und keine trusts!

#5 Hi Rayden!
hab mir mal den scanner runtergeladen.
Kerio blockt restlos jede Anfrage des scanners.
Gescannt wurde on remote von einem win98-rechner auf ein win2K mit Kerio.
Die Block any-Regel bezieht sich bei mir auf "any" Protocol.
Überprüfe mal deine Regel, ob du den radio-button wirklich auf "deny" gesetzt hast, manchmal passiern ja so kleine Leichtsinnfehler.
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 hi joschi,

bei mir ja auch: pfeile sind ja zusätzlich auch rot: bin ja nicht farbenblind

block any port: any adress, in/out, any protocoll

=> ist wohl ein spezial feature bei mir?!

was passiert bei dir, bei einem portscan, ohne block all und bei "nachfrage an"... dann müsste er doch bei jedem port eine abfrage machen
PERMIT/DENY...

kommt bei mir auch nicht! *grrrr*

hm, *ratlos*

neuinstallation, oder einfach andere firewall?

cu
lr

#7 so, nochmal alles gecheckt:
das ist kein allgemeines problem bei portscans, sondern
die "firewall" blockt bei mir schlicht und ergreifend gar nix
- außer meinen browser....

das system offen wie ein scheunentor - dank kerio.
die tiny könnte zwar funktionieren -> da wird's aber wohl
keine updates mehr geben. es gibt ja zum glück noch
andere gute progrämmchen.

ist anscheinend noch ein zusätzliches (kein bug!!! sondern ein...) feature
der kerio-pf, zusätzlich dem "delete block all".... usw.

hab auch nochmal drüber installiert, ist aber das gleiche.

thx,
lr

#8 Hallo,

hast Du den Portscanner nebst allen Tests auf demselben Rechner gemacht, den Du testest? Wenn ja könnte das der Fehler sein: Du hast Regeln von "out" nach "in" definiert - die Interfaces sind aber lokal und nicht "out".

Ich muss dazu schreiben, dass ich die Kerio nicht wirklich kenne und mir das nur spontan einfiel; vielleicht beschreibst Du nochmal eindeutiger, was Du wie getan hast und probierst es auch mal "echt von außen".

Martin
__________
Martin Diedrich - "Das LAN am Netz"
----> http://www.mdiedrich.de <----

#9 du hast sicher die Firewall nicht unter superuser mode installiert oder hast eine falsche regel vieleicht ist dieser schiebe balken ja ganz unten
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#10 Hi,

habe Kerio mit dem Scanner gecheckt.(auf dem selben Rechner,sowohl local
als auch outbound) Kerio hat alle Verbindunsversuche geblockt und geloggt.
Zwar habe ich nur auf win98 getestet aber falls das Teil funktioniert dürfte es
unter w2k auch nicht anders sein.

Gruß
Ajax

#11 nein ich habe die Lösung Rayden hatte fast recht man kann wenn man Outgoing macht und seinen PC scannt ist Netbios offen das liegt aber daran das diese Regeln nicht von den Rules sondern unter Microsoft networking gehandhabt wird wenn man ds aber ausmacht ist es vollkommen dicht
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#12 Hi spunki,

so wie ich es verstanden habe,ging es ja nicht nur um die Ports:137,138,139.

Zitat:

"==> pustekuchen: er zeigt fleißig alles: port 80 (webserver), 21 (ftp), 137 (netbios-ns), 139 (netbios-ss)....

die "firewall" blockt bei mir schlicht und ergreifend gar nix
- außer meinen browser...."

Gruß
Ajax

#13 ...musste kerio mittlerweile leider kicken:

das problem war auch wenn ich remote scanne! regelerstellungsfehler
in der firewall sind zu 99% auszuschließen.

@mdiedrich:
1. regel: portscanner out -> alle adressen, alle ports
2. regel: block_all in oder out, alle adressen, alle ports
... weitere regeln sollten nicht greifen

er hat mir immer alle offenen ports gezeigt (incl. 80, 21...)

@spunki:
wieso sollte er, selbst wenn ich local scanne, port 139, 138 anzeigen?
der portscanner macht einen tcp-verbindungsaufbau! ach so:
ich hatte keine trusts eingestellt, auch hacken bei ms-network
war nicht gesetzt - falls du das meinst.


keine ahnung was da das problem ist: die tiny hatte bei mir allerdings das gleiche feature gehabt. seid glücklich und hofft, das eure regeln immer greifen

#14 also ich glaube ehrlich das das Teil unbrauchbar ist wenn ich von einen anderen Computer scanne ist port 110 offen aber bei mir läuft nichts dahinter scanne ich mich selberau ist er closed.

Wenn ich mich anderen scannern scanne seis von PCflank oder grc.com oder anderen scanner zum runterladen scanne ist es dicht.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#15 >also ich glaube ehrlich das das Teil unbrauchbar ist
meinst du den portscanner?

ps: bisher hatte der portscanner (den ich zum testen schon öfters mal fix genommen habe) bei anderen firewalls keine chance!