Generic Host for Win 32 Services und PORT 135

#0
25.07.2003, 06:57
Member

Beiträge: 48
#1 Generic Host for Win 32 Services mittels Firewall blockieren und im ShieldsUP Test der Gibson Research Corporation (www.grc.com) ist Port 135 , falls zuvor offen, geschlossen. (Stealth)

Wer den Dienst von Microsoft benötigt, kann diesen freigeben, aber dann sind Port 135 und einige andere (nicht in diesem Test enthalten) geöffnet !


Das Ergebnis ist für jedermann , der eine Firewall (m.E. ist derzeit Sygate 5.1 die Beste, da leicht konfigurierbar und lt. Tests sicher) besitzt leicht nachvollziehbar.

Die Einwendungen der Firewallexperten zu meinen Ausführungen sind mir bewußt und ich akzeptiere sie, wie gesagt es geht nur darum, dass sich Port 135 im Test nicht offen zeigt. Nicht mehr und nicht weniger !
Seitenanfang Seitenende
25.07.2003, 10:34
Member
Avatar Emba

Beiträge: 907
#2 öhm, was soll uns dieser post sagen?
der port ist nicht geschlossen (<> stealth)

der dienst (RPC) läuft somit immer noch und benötigt wird er nahezu immer, da es sonst zu netzwerkproblemen kommt

greez
Seitenanfang Seitenende
25.07.2003, 13:49
Member

Themenstarter

Beiträge: 48
#3 Nun, es ist halt doch so, dass Port 135 unsichtbar ist --- dies war nur durch Blockieren von Generic Host... möglich !


135
RPC
Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!
Seitenanfang Seitenende
25.07.2003, 14:56
Member

Beiträge: 233
#4 krlemamlaksemsaeslksadjje ?
__________
Wenn jeder an sich selbst denkt, ist an alle gedacht.
Seitenanfang Seitenende
25.07.2003, 15:49
Member
Avatar Emba

Beiträge: 907
#5 du brauchst in deiner firewall nur einstellen, dass verbindungsversuche von außen auf port 135 nicht erlaubt sind - mehr nicht

und unsichtbar ist er auch nicht, schließlich hat der portscanner erkannt, dass der port steahlthed ist, also eine firewall/paketfilter die dienste schützt ;)
ein hacker könnte nun versuchen, den filter mittels verschiedener verbindungsversuche auszutricksen, um herauszufinden, ob wirklich ein dienst auf den port läuft

greez
Seitenanfang Seitenende
25.07.2003, 18:36
Member

Themenstarter

Beiträge: 48
#6 Na sowas, diese Aufregung !

Natürlich sieht der Stealth Test den Port als Stealth, da ich ja für den Test die Freigabe erteile, aber falls ich die Freigabe (kein Test) nicht erteile............ !

Ich schlage vor, Du tätigst einen Angriff auf meinen Port 135.

Spass beiseite , eine externe Linux Firewall auf dem Zweitrechner ist schon sicherer.
Seitenanfang Seitenende
25.07.2003, 20:28
Member

Beiträge: 813
#7

Zitat

Die Einwendungen der Firewallexperten zu meinen Ausführungen sind mir bewußt und ich akzeptiere sie, wie gesagt es geht nur darum, dass sich Port 135 im Test nicht offen zeigt.
Das Problem mit Port 135 ist ja nunmal, dass man den dahinterstehenden Dienst nur in bestimmten Fällen problemlos daktivieren kann. Da sich gerade im Moment die Verwundbarkeitsmeldungen dieses Dienstes überschlagen, bleibt einem oft nix anderes übrig, als den Port per Firewall o.ä. zu blocken. ;)

Zitat

der port ist nicht geschlossen (<> stealth)
PFWs machen auch geschlossene Ports "stealth" - "stealth" kann also beides bedeuten. ;)

Zitat

und unsichtbar ist er auch nicht, schließlich hat der portscanner erkannt, dass der port steahlthed ist, also eine firewall/paketfilter die dienste schützt
Naja, ich bin mir ziemlich sicher, dass der Gibson-Portscanner nicht zwischen "stealth" und "tatsächlich nicht vorhanden" unterscheiden könnte...
Die Annahme durch den Portscanner, der Port sei durch eine FW "stealthed" kommt ja nur daher, dass der Scan von der IP angefordert wurde (was chris11, glaube ich, auch meinte... ;) )
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 25.07.2003 um 20:28 Uhr von forge77 editiert.
Seitenanfang Seitenende
26.07.2003, 20:06
Member
Avatar Emba

Beiträge: 907
#8 normalerweise, wenn keine fw den verkehr blockt und kein dienst auf einem port lauscht, wird ein tcp rst gesendet, was dem scanner sagt "closed"

wann der gibson scanner zwischen stealthed und closed unterscheidet, weiß ich nicht
evtl. schon, wenn icmp meldungen geblockt werden

greez
Seitenanfang Seitenende
26.07.2003, 22:09
Member

Beiträge: 813
#9

Zitat

normalerweise, wenn keine fw den verkehr blockt und kein dienst auf einem port lauscht, wird ein tcp rst gesendet, was dem scanner sagt "closed"
Äh, ja klar... nur wenn eine PFW läuft (=> alle Ports stealth), ist von außen nicht klar, ob 'dahinter' ein Dienst angeboten wird, oder nicht (du hattest dich diesbezgl. weiter oben nur etwas ungenau ausgedrückt... ;) )

Zitat

wann der gibson scanner zwischen stealthed und closed unterscheidet
Ich meinte zwischen "stealth" und "Rechner tatsächlich nicht vorhanden", sprich, ist man mit "stealth" (gegenüber Gibson) tatsächlich unsichtbar, oder nicht - das war doch die "Frage"...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
26.07.2003, 23:44
Member
Avatar Emba

Beiträge: 907
#10 du bist nie unsichtbar im netz!

auch wenn dein rechner auf keine pings antwortet, heißt das noch lange nicht, dass du nicht im netz registriert bist

der gibson scanner scannt auch immer nur die eigene ip, von daher ist schonmal aus prinzip klar, dass du nicht unsichtbar bist, weil du ja ein teilnehmer im netz bist und der umkehrschluss also "sichtbar" ist

es bleibt halt nur die frage offen, ob ein port (und _nicht_ der rechner selbst ) von einem dienst benutzt wird oder nicht

die meisten angreifer machen sich hier aber nicht die mühe, um noch weiter nachzuforschen, ob denn tatsächlich ein dienst dahinter läuft

greez
Seitenanfang Seitenende
27.07.2003, 00:42
Member

Beiträge: 813
#11

Zitat

der gibson scanner scannt auch immer nur die eigene ip, von daher ist schonmal aus prinzip klar, dass du nicht unsichtbar bist, weil du ja ein teilnehmer im netz bist und der umkehrschluss also "sichtbar" ist
Genau das ist ja mein Punkt: der Gibson-Scanner erkennt einen Rechner nur deshalb als "stealth" (und nicht als "down"), weil dieser Rechner/IP den Scan angefordert hat - nur, würde der Gibson-Scanner den "stealthed" Rechner auch dann als "stealth" erkennen, wenn er ihn _ohne_ dessen Aufforderung scannen würde...? (wohlgemerkt, es geht hier nur um den wahrscheinlich 'dummen' Gibson-Scanner... ;) )

Aber jetzt mal unabhängig vom Gibson-Scanner: in der Theorie ist ein "stealthed" Rechner dehalb _nicht_ wirklich unsichtbar, weil bei einem Port-Scan die obligatorische ICMP-Nachricht des letzten vorgeschalteten Routers _ausbleibt_, und man daraus auf eine FW schließen kann.
Hat jemand von euch Erfahrung, wie 'obligatorisch' diese ICMP-Nachricht wirklich ist...? Ich hab da so meine Zweifel... ;)
Kennt jemand eine gute, zuverlässige Methode, um das zu testen?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Dieser Beitrag wurde am 27.07.2003 um 00:43 Uhr von forge77 editiert.
Seitenanfang Seitenende
27.07.2003, 01:01
Member
Avatar Emba

Beiträge: 907
#12 ganz meiner meinung forge
kannst ja mal in den RFC´s stöbern ;)

oder mit einem zuverlässigen werkzeug wie nmap an die sache rangehen und verschiedene szenarien durchspielen

greez
Seitenanfang Seitenende
27.07.2003, 22:18
Member

Beiträge: 813
#13 Hehe, hab ich ja schon ein wenig... und da waren die Ergebnisse nicht gerade 'eindeutig'... ;)

Wenn ich z.B. meine I-Net-Verbindung unterbreche, und mir dann eine neue IP besorge, sollte die alte IP (zumindest für 'ne Weile) unbelegt sein. D.h. wenn ich diese IP scanne, sollte ich ein ICMP-'destination unreachable' von einer anderen IP (dem letzten Router) bekommen - kam aber bei meinen (unprofessionellen) Tests nicht...
Bei (sehr wenigen!) anderen Stichproben-Scans zufälliger IPs gab es dagegen die erwartete ICMP-Antwort...

Offenbar verhalten sich einige Netzbereiche nicht RFC-konform... was bedeuten würde, dass manchmal "stealth" eben doch gleich "unsichtbar" ist...;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: