Generic Host for Win 32 Services und PORT 135 |
||
---|---|---|
#0
| ||
25.07.2003, 06:57
Member
Beiträge: 48 |
||
|
||
25.07.2003, 10:34
Member
Beiträge: 907 |
#2
öhm, was soll uns dieser post sagen?
der port ist nicht geschlossen (<> stealth) der dienst (RPC) läuft somit immer noch und benötigt wird er nahezu immer, da es sonst zu netzwerkproblemen kommt greez |
|
|
||
25.07.2003, 13:49
Member
Themenstarter Beiträge: 48 |
#3
Nun, es ist halt doch so, dass Port 135 unsichtbar ist --- dies war nur durch Blockieren von Generic Host... möglich !
135 RPC Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address! |
|
|
||
25.07.2003, 14:56
Member
Beiträge: 233 |
||
|
||
25.07.2003, 15:49
Member
Beiträge: 907 |
#5
du brauchst in deiner firewall nur einstellen, dass verbindungsversuche von außen auf port 135 nicht erlaubt sind - mehr nicht
und unsichtbar ist er auch nicht, schließlich hat der portscanner erkannt, dass der port steahlthed ist, also eine firewall/paketfilter die dienste schützt ein hacker könnte nun versuchen, den filter mittels verschiedener verbindungsversuche auszutricksen, um herauszufinden, ob wirklich ein dienst auf den port läuft greez |
|
|
||
25.07.2003, 18:36
Member
Themenstarter Beiträge: 48 |
#6
Na sowas, diese Aufregung !
Natürlich sieht der Stealth Test den Port als Stealth, da ich ja für den Test die Freigabe erteile, aber falls ich die Freigabe (kein Test) nicht erteile............ ! Ich schlage vor, Du tätigst einen Angriff auf meinen Port 135. Spass beiseite , eine externe Linux Firewall auf dem Zweitrechner ist schon sicherer. |
|
|
||
25.07.2003, 20:28
Member
Beiträge: 813 |
#7
Zitat Die Einwendungen der Firewallexperten zu meinen Ausführungen sind mir bewußt und ich akzeptiere sie, wie gesagt es geht nur darum, dass sich Port 135 im Test nicht offen zeigt.Das Problem mit Port 135 ist ja nunmal, dass man den dahinterstehenden Dienst nur in bestimmten Fällen problemlos daktivieren kann. Da sich gerade im Moment die Verwundbarkeitsmeldungen dieses Dienstes überschlagen, bleibt einem oft nix anderes übrig, als den Port per Firewall o.ä. zu blocken. Zitat der port ist nicht geschlossen (<> stealth)PFWs machen auch geschlossene Ports "stealth" - "stealth" kann also beides bedeuten. Zitat und unsichtbar ist er auch nicht, schließlich hat der portscanner erkannt, dass der port steahlthed ist, also eine firewall/paketfilter die dienste schütztNaja, ich bin mir ziemlich sicher, dass der Gibson-Portscanner nicht zwischen "stealth" und "tatsächlich nicht vorhanden" unterscheiden könnte... Die Annahme durch den Portscanner, der Port sei durch eine FW "stealthed" kommt ja nur daher, dass der Scan von der IP angefordert wurde (was chris11, glaube ich, auch meinte... ) __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 25.07.2003 um 20:28 Uhr von forge77 editiert.
|
|
|
||
26.07.2003, 20:06
Member
Beiträge: 907 |
#8
normalerweise, wenn keine fw den verkehr blockt und kein dienst auf einem port lauscht, wird ein tcp rst gesendet, was dem scanner sagt "closed"
wann der gibson scanner zwischen stealthed und closed unterscheidet, weiß ich nicht evtl. schon, wenn icmp meldungen geblockt werden greez |
|
|
||
26.07.2003, 22:09
Member
Beiträge: 813 |
#9
Zitat normalerweise, wenn keine fw den verkehr blockt und kein dienst auf einem port lauscht, wird ein tcp rst gesendet, was dem scanner sagt "closed"Äh, ja klar... nur wenn eine PFW läuft (=> alle Ports stealth), ist von außen nicht klar, ob 'dahinter' ein Dienst angeboten wird, oder nicht (du hattest dich diesbezgl. weiter oben nur etwas ungenau ausgedrückt... ) Zitat wann der gibson scanner zwischen stealthed und closed unterscheidetIch meinte zwischen "stealth" und "Rechner tatsächlich nicht vorhanden", sprich, ist man mit "stealth" (gegenüber Gibson) tatsächlich unsichtbar, oder nicht - das war doch die "Frage"... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
26.07.2003, 23:44
Member
Beiträge: 907 |
#10
du bist nie unsichtbar im netz!
auch wenn dein rechner auf keine pings antwortet, heißt das noch lange nicht, dass du nicht im netz registriert bist der gibson scanner scannt auch immer nur die eigene ip, von daher ist schonmal aus prinzip klar, dass du nicht unsichtbar bist, weil du ja ein teilnehmer im netz bist und der umkehrschluss also "sichtbar" ist es bleibt halt nur die frage offen, ob ein port (und _nicht_ der rechner selbst ) von einem dienst benutzt wird oder nicht die meisten angreifer machen sich hier aber nicht die mühe, um noch weiter nachzuforschen, ob denn tatsächlich ein dienst dahinter läuft greez |
|
|
||
27.07.2003, 00:42
Member
Beiträge: 813 |
#11
Zitat der gibson scanner scannt auch immer nur die eigene ip, von daher ist schonmal aus prinzip klar, dass du nicht unsichtbar bist, weil du ja ein teilnehmer im netz bist und der umkehrschluss also "sichtbar" istGenau das ist ja mein Punkt: der Gibson-Scanner erkennt einen Rechner nur deshalb als "stealth" (und nicht als "down"), weil dieser Rechner/IP den Scan angefordert hat - nur, würde der Gibson-Scanner den "stealthed" Rechner auch dann als "stealth" erkennen, wenn er ihn _ohne_ dessen Aufforderung scannen würde...? (wohlgemerkt, es geht hier nur um den wahrscheinlich 'dummen' Gibson-Scanner... ) Aber jetzt mal unabhängig vom Gibson-Scanner: in der Theorie ist ein "stealthed" Rechner dehalb _nicht_ wirklich unsichtbar, weil bei einem Port-Scan die obligatorische ICMP-Nachricht des letzten vorgeschalteten Routers _ausbleibt_, und man daraus auf eine FW schließen kann. Hat jemand von euch Erfahrung, wie 'obligatorisch' diese ICMP-Nachricht wirklich ist...? Ich hab da so meine Zweifel... Kennt jemand eine gute, zuverlässige Methode, um das zu testen? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? Dieser Beitrag wurde am 27.07.2003 um 00:43 Uhr von forge77 editiert.
|
|
|
||
27.07.2003, 01:01
Member
Beiträge: 907 |
#12
ganz meiner meinung forge
kannst ja mal in den RFC´s stöbern oder mit einem zuverlässigen werkzeug wie nmap an die sache rangehen und verschiedene szenarien durchspielen greez |
|
|
||
27.07.2003, 22:18
Member
Beiträge: 813 |
#13
Hehe, hab ich ja schon ein wenig... und da waren die Ergebnisse nicht gerade 'eindeutig'...
Wenn ich z.B. meine I-Net-Verbindung unterbreche, und mir dann eine neue IP besorge, sollte die alte IP (zumindest für 'ne Weile) unbelegt sein. D.h. wenn ich diese IP scanne, sollte ich ein ICMP-'destination unreachable' von einer anderen IP (dem letzten Router) bekommen - kam aber bei meinen (unprofessionellen) Tests nicht... Bei (sehr wenigen!) anderen Stichproben-Scans zufälliger IPs gab es dagegen die erwartete ICMP-Antwort... Offenbar verhalten sich einige Netzbereiche nicht RFC-konform... was bedeuten würde, dass manchmal "stealth" eben doch gleich "unsichtbar" ist... __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
Wer den Dienst von Microsoft benötigt, kann diesen freigeben, aber dann sind Port 135 und einige andere (nicht in diesem Test enthalten) geöffnet !
Das Ergebnis ist für jedermann , der eine Firewall (m.E. ist derzeit Sygate 5.1 die Beste, da leicht konfigurierbar und lt. Tests sicher) besitzt leicht nachvollziehbar.
Die Einwendungen der Firewallexperten zu meinen Ausführungen sind mir bewußt und ich akzeptiere sie, wie gesagt es geht nur darum, dass sich Port 135 im Test nicht offen zeigt. Nicht mehr und nicht weniger !