Desktop-Firewall die "Reject" beherrscht?

#16 Und, schon Ergebnisse?

Ein weiteres Mal zur Theorie (ich würde halt gerne mehr davon verstehen...):
Wozu ist ICMP[3] eigentlich gedacht?
Ich dachte bisher, ein "destination unreachable" wird von einem Internet-Router versandt, der als letzte Station vor dem Ziel eines Daten-Paketes "sitzt", und damit der Quelle mitteilen will, dass das Ziel nicht da ist.

Ist es nicht daher grundsätzlich unlogisch, wenn auf einmal das Ziel diese ICMP-Nachricht verschickt, so nach dem Motto:
Ich bin zwar da, teile dir aber hiermit mit, dass ich gar nicht da bin!

Ich meine, es ist zwar toll, dass bei dir offensichtlich was bringt, joschi, aber ganz logisch ist es nicht, oder täusche ich mich?

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#17

Zitat

"destination unreachable" wird von einem Internet-Router versandt

eben drum wird eine Einstellung ala stealth erkannt und bedeutet daher auch unnötig viele Pakete, die ein anfragender Rechner macht.

Zitat

daher grundsätzlich unlogisch, wenn auf einmal das Ziel diese ICMP-Nachricht

nein ist es nicht, denn wenn es nicht von nem Router kommt, heist das, dass der erwartete (angefragte)Dienst nicht angeboten wird und die Anfrage wird nicht mehr kommen.
Soweit ist jedenfalls mein Verständnis dieser ICMP Nachrichten.

Weiterführende Links:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#Verstecken
und
http://www.rokopsecurity.de/main/article.php?sid=15
Grüsse
Smaggmampf

#18 Ok, dann bedeutet "closed" also ein RST-Flag im Antwort-Paket UND ein ICMP [3].
Komisch nur, dass mein Rechner in diesem Fall (portscan eines geschlossenen ports, Firewall deaktiviert) offensichtlich KEINE ICMP[3] verschickt, jedenfalls konnte ich das mit Commview nicht beobachten. Es werden nur TCP-Antworten gesendet.
Stelle ich dagegen bei Outpost die Option "versende ICMP[3] bei portscan (so ähnlich jedenfalls...)" an, dann werden tatsächlich diese Nachrichten verschickt.
Trotzdem meldet mich pcflank als "stealth", da keine TCP-Antwort nebst RST-Flag verschickt wird.

Also frage ich mich: Warum versendet mein Rechner keine ICMP[3]'s und warum versendet Outpost im "non-stealth"-Modus keine TCP-Antworten?

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#19 Hmmm,
Ok werd mal ein wenig Recherche machen und zu Hause testen, wies bei mir ist(wenn der Sch* Rechner endlich wieder funktionsfähig ist und nicht mehr überhitzt). Kann also noch ein wenig dauern.
Grüsse
Smaggmampf

#20 Bin auch noch (wieder) einigermaßen verwirrt über das Thema.
Hier ist noch eine sehr detailierte Beschreibung.
http://goethe.ira.uka.de/seminare/grk/icmp/#ToC5
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#21 Folgender Versuch:
Ein Windows98-Rechner mit Outpost (Freeware-Version) wir von Port 1-1024
über das lokale Netzwerk gescannt. Gescannt wurde von einem Win2000-Rechner
Outpost durfte ICMP3 versenden, zusätzlich war unter "Typ der Antwort"
Normal.Es wird die normale ICMP Mitteilung der Quelle übermittel.
Auf dem gescannten Rechner läuft ein FTP-Server, Netbios-Kommunikation und Anfragen auf Port 20/21 sind per Outpost unterbunden.
Ergebnis: ICMP3 erfolgten auf TCP-Anfragen zu
Port 21 FTP
Port 135 epmap DCE endpoint resolution **
Port 137 Netbios Name-service
Port 139 Netbios Session-Service
Port 445 microsoft-ds (Direct Hosting of SMB Over TCP/IP) **

Es erfolgten jeweils 3 ICMP3-Nachrichten mit dem Code 1(Rechner unerreichbar)
Generell würde ich sagen ICMP3 erfolgte in diesem Fall auf
a) Anfragen an Ports, an denen ein Service "zu Hause" ist
**b) Anfragen eines Service vom QuellRechner
Freu mich auf eure Interpretationen oder Tests
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#22 Heia,
der der sich registriert hat *g
Hmm, hast Du deine Einstellungen auch schon mit einem Online Scan getestet?
Will auch ausprobieren. geht aber net Rechner funzt immer noch nicht.

Also deine Ergebnisse sind die, die ich auch erwartet habe. Jedoch würde ich gerne wissen, ob der Online Scan dich damit auch als stealth meldet, wie bei forge77?

Was ich aber immer noch nicht verstehe ist, dass ein geschlossener Dienst keine ICMP[3] verschickt hat bei forge77

Fragen über Fragen

#23 Moin,

Joschi, hat denn der gescannte Rechner auch mit TCP-Paketen (RST-Flag)geantwortet?
Wie gesagt, bei mir hat er es nicht und damit war ich trotz ICMP-Antwort stealth...

Tja und mein Rechner verschickt nach wie vor keine ICMP[3]'s beim Scan eines closed port und deaktivierter Firewall.
Probiert das mal bei pcflank und mit Commview o.ä. aus.

Interessant fand ich, dass mein Rechner beim UDP-Stealth-Test mit ICMP[3] antwortet. Liegt wahrscheinlich daran, dass es bei UDP keine andere Möglichkeit gibt, ablehnend zu antworten.
Die übrigen Tests wurden wie gehabt nur mit einem TCP-Paket (RST-Flag) beantwortet...

Macht's gut
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#24 Völlig richtig forge, solange der Zielrechner eines Scans keine TCP-Pakete mit einem RST-Flag übermitteln darf, werden Ports als stealth angesehen, Unabhängig davon, ob nun ein ICMP[3] erfolgt oder nicht. In vielen Fällen erfolgten ICMP[3], dennoch wurden die Ports als stealth angesehen.
Habe den Rechner mit der Outpostfirewall jeweils 2x mit verschiedenen Einstellungen bei GRC und Sygate scanen lassen. Und die Ergebnisse bestätigen das genau.
Folglich ICMP[3] hat nichts mit stealth oder closed zu tun, sondern sagt lediglich aus dass ein Dienst keine Lust hat sich zu unterhalten, was beispielsweise einem Router viel Arbeit erspart, sobald er diese Nachricht von einem Rechner erhält.
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#25 Ich kenne mich da nicht so gut aus aber es ist doch eine fehl programmierung s so das der Portscanner nur bei einen Rst-flag closed anzeigt und garnicht auf eine icmp3 nachricht hört oder irre ich mich da. Der Port status stealth soll ja den ganzen computer unsichtbar machen es darf also überhaupt kein antwort geben (was ich nicht sehe kann ich nicht angreifen) da icmp3 nun eine antwort ist weis ich das der IP vorhanden ist da reicht es mit eigentlich wenn meine ports closed sind
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#26

Zitat

spunki postete
Der Port status stealth soll ja den ganzen computer unsichtbar machen es darf also überhaupt kein antwort geben (was ich nicht sehe kann ich nicht angreifen)

Aber gerade das stimmt ja nicht, denn kommt keine Antwort von einem Rechner weiss ich, dass er vorhanden ist im Internet, da sonst ein Router eine destination unreachable Nachricht senden müsste, also kommt auch eine Nachricht von einem Computer, nur eben nicht von der z.B. gescannten Adresse, sondern von dem davor.