Port 0 blocken möglich?

#0
02.09.2003, 19:15
...neu hier

Beiträge: 3
#1 kann man bei neueren versionen von TPF den port 0 sperren?

habe version 2.0.15 und wenn ich da port 0 angebe, dann sagt er "ungülitger port". dies macht auch sinn, da es port 0 "eigentlich" nicht gibt.

port 0 wird aber bei einigen hackern immer beliebter, und ist z. Zt. die einzige erkenntliche schwachstelle in meinem system, da TPF diesen port nicht "kennt", deswegen auch nicht überwacht. aus diesem grund würde ich ihn gern dichtmachen, geht aber unter 2.0.15 nicht.

würde gerne TPF weiterbenutzen. kann mir jemand sagen, ob man bei den neueren versionen port 0 dichtmachen kann?

danke

p.s.: habe das forum schon versucht zu durchsuche, leider kann man nach einstelligen begriffen (hier: 0) nicht suchen.....
Seitenanfang Seitenende
02.09.2003, 22:22
Member
Avatar Emba

Beiträge: 907
#2 hi

in den RFC´s ist port 0 definiert, er ist quasi ein port, wie jeder andere auch
genutzt wird er häufig fürs OS Fingerprinting
da TPF den port nicht absichert, bist du dafür schon mal anfällig, was aber im grunde genommen keine schwachstelle sein muss

läuft dahinter kein dienst, was in den meisten fällen so ist, da programmierer sgn. Raw Sockets meist meiden und somit nur den Port Bereich ab Port 1 erfassen können, da sie auf Bibliotheken des OS zurückgreifen, welche meist nur diesen port bereich zur verfügung stellen [1], ist es eigentlich keine gefahr für dich

möchtest du ihn aber wirklich sichern, solltest du über ein anderes FW-Konzept nachdenken
ich bin aber der meinung, dass port 0 abdichten, der wohl letzte schritt in einem security konzept ist
zunächst sollten alle dienste und clients im lan abgesichert, sowie auf den aktuellsten stand gebracht werden

desweiteren bieten gängige tools, unter win fallen mir aber keine ein, die möglichkeit, des OS-Fingerprinting zu faken [2]

greez


[1]
das standard (und RFC-konforme) verhalten beim zugriff auf port 0 ist, dass ein dynamischer port > 1023 genutzt wird; der zugriff auf port 0 quasi transparent gemappt wird

[2]
http://heise.de/newsticker/result.xhtml?url=/newsticker/data/kav-26.08.03-001/default.shtml&words=Firewall
Seitenanfang Seitenende
02.09.2003, 22:51
Member

Beiträge: 813
#3 Wie hast du eigentlich rausgefunden, dass TPF den Port nicht blockt? Es kann doch sein, dass Pakete mit Ziel-Port 0 grundsätzlich verworfen werden.
Hast du deinen Rechner entsprechend scannen lassen?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
03.09.2003, 08:41
Member

Beiträge: 3306
#4 Kann man Port 0 dann mit dem deaktivieren von Raw Sockets abdichten?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
03.09.2003, 09:44
Member
Avatar Emba

Beiträge: 907
#5 @asdrubael

bedingt, damit können sich lokale dienste nicht mehr an diesen port binden AFAIK, blockt deine FW aber den zugriff auf den port nicht, ist OS-Fingerprinting von außen her weiterhin möglich

meiner meinung nach wird das um den port 0 einfach zu hoch gekocht
oder ich weiß noch nichts von einer riesen gefahr um diesen port bzw. dessen auswirkungen ;)

greez
Seitenanfang Seitenende
03.09.2003, 18:19
...neu hier

Themenstarter

Beiträge: 3
#6 also erstmal danke für die prompten und ausführlichen antworten.

jetzt ist alles dicht!

@forge77

ich habe scantest durchgeführt(www.grc.com), die mir gezeigt haben, dass port 0 und 1 zwar zu sind, aber immerhin kann man an diese ports pakete senden. mein paranoider zustand hat mich dahin geleitet, diesen port komplett unsichtbar zu machen, so wie es die restlichen ports auch sind.

@emba

ist so ein OS fingerprint irgendwas, was mich stören sollte?
Dieser Beitrag wurde am 03.09.2003 um 18:20 Uhr von damuff editiert.
Seitenanfang Seitenende
03.09.2003, 18:40
Member

Beiträge: 813
#7 Ja, und wie hast du ihn nun "dicht" bekommen?

"OS fingerprintig" heißt, dass jemand von außen, also 'remote', feststellen kann, welches Betriebssystem du benutzt (anhand des Antwortverhaltens deines Rechners auf seine Anfragen.)
Grundsätzlich ist dies ein wichtiger Schritt zur "Angriffsvorbereitung" auf ein System - wenn man allerdings kein angreifbares System hat (keine unsicheren Dienste, zusätzlich FW o.ä), braucht man sich darüber eigentlich keine Gedanken machen. ;)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?
Seitenanfang Seitenende
04.09.2003, 01:02
Member
Avatar Emba

Beiträge: 907
#8 nunja, woher weiß man, dass sein system nicht angreifbar ist, wenn software prinzipbedingt immer fehler enthält?

es gibt mehrere arten von OS Fingerprinting
die einen basieren auf TCP, die anderen auf ICMP, usw.

ich weiß für windows keine möglichkeiten, wie man dies

a) faken
b) gezielt blocken kann mit einer firewall

dafür bin ich im bereich netzwerk zu wenig versiert auf MS Schiene

versuche eine andere firewall, die die techniken [1] des OS Fingerprinting verhindert

greez


[1]
http://www.insecure.org/nmap/nmap-fingerprinting-article.html
Seitenanfang Seitenende
04.09.2003, 09:59
Moderator
Avatar joschi

Beiträge: 6466
#9 Ich hatte zu Zeiten der Berufsschule mal die Möglichkeit Windows 2000-Rechner mit und ohne Personal-Firewall mittels Nmap zu scannen
Ergebnis war, dass ich von Rechnern mit Firewall (ich glaube Kerio war es) keinen Fingerprint /OS Guessing bekam.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
04.09.2003, 14:29
...neu hier

Themenstarter

Beiträge: 3
#10 @forge77

ich benutze nun Outpost... ;)

@emba

kann man irgendwie testen, ob jemand noch einen OS fingerprint meines systems machen kann?

gruss
Seitenanfang Seitenende
04.09.2003, 17:56
Member
Avatar Emba

Beiträge: 907
#11 jo klar kannst du das testen
nmap kennt die meisten techniken dazu und frag einfach einen kumpel, der dich von außen mal damit scant

greez
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: