Port 0 blocken möglich? |
||
---|---|---|
#0
| ||
02.09.2003, 19:15
...neu hier
Beiträge: 3 |
||
|
||
02.09.2003, 22:22
Member
Beiträge: 907 |
#2
hi
in den RFC´s ist port 0 definiert, er ist quasi ein port, wie jeder andere auch genutzt wird er häufig fürs OS Fingerprinting da TPF den port nicht absichert, bist du dafür schon mal anfällig, was aber im grunde genommen keine schwachstelle sein muss läuft dahinter kein dienst, was in den meisten fällen so ist, da programmierer sgn. Raw Sockets meist meiden und somit nur den Port Bereich ab Port 1 erfassen können, da sie auf Bibliotheken des OS zurückgreifen, welche meist nur diesen port bereich zur verfügung stellen [1], ist es eigentlich keine gefahr für dich möchtest du ihn aber wirklich sichern, solltest du über ein anderes FW-Konzept nachdenken ich bin aber der meinung, dass port 0 abdichten, der wohl letzte schritt in einem security konzept ist zunächst sollten alle dienste und clients im lan abgesichert, sowie auf den aktuellsten stand gebracht werden desweiteren bieten gängige tools, unter win fallen mir aber keine ein, die möglichkeit, des OS-Fingerprinting zu faken [2] greez [1] das standard (und RFC-konforme) verhalten beim zugriff auf port 0 ist, dass ein dynamischer port > 1023 genutzt wird; der zugriff auf port 0 quasi transparent gemappt wird [2] http://heise.de/newsticker/result.xhtml?url=/newsticker/data/kav-26.08.03-001/default.shtml&words=Firewall |
|
|
||
02.09.2003, 22:51
Member
Beiträge: 813 |
#3
Wie hast du eigentlich rausgefunden, dass TPF den Port nicht blockt? Es kann doch sein, dass Pakete mit Ziel-Port 0 grundsätzlich verworfen werden.
Hast du deinen Rechner entsprechend scannen lassen? __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
03.09.2003, 08:41
Member
Beiträge: 3306 |
#4
Kann man Port 0 dann mit dem deaktivieren von Raw Sockets abdichten?
__________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
03.09.2003, 09:44
Member
Beiträge: 907 |
#5
@asdrubael
bedingt, damit können sich lokale dienste nicht mehr an diesen port binden AFAIK, blockt deine FW aber den zugriff auf den port nicht, ist OS-Fingerprinting von außen her weiterhin möglich meiner meinung nach wird das um den port 0 einfach zu hoch gekocht oder ich weiß noch nichts von einer riesen gefahr um diesen port bzw. dessen auswirkungen greez |
|
|
||
03.09.2003, 18:19
...neu hier
Themenstarter Beiträge: 3 |
#6
also erstmal danke für die prompten und ausführlichen antworten.
jetzt ist alles dicht! @forge77 ich habe scantest durchgeführt(www.grc.com), die mir gezeigt haben, dass port 0 und 1 zwar zu sind, aber immerhin kann man an diese ports pakete senden. mein paranoider zustand hat mich dahin geleitet, diesen port komplett unsichtbar zu machen, so wie es die restlichen ports auch sind. @emba ist so ein OS fingerprint irgendwas, was mich stören sollte? Dieser Beitrag wurde am 03.09.2003 um 18:20 Uhr von damuff editiert.
|
|
|
||
03.09.2003, 18:40
Member
Beiträge: 813 |
#7
Ja, und wie hast du ihn nun "dicht" bekommen?
"OS fingerprintig" heißt, dass jemand von außen, also 'remote', feststellen kann, welches Betriebssystem du benutzt (anhand des Antwortverhaltens deines Rechners auf seine Anfragen.) Grundsätzlich ist dies ein wichtiger Schritt zur "Angriffsvorbereitung" auf ein System - wenn man allerdings kein angreifbares System hat (keine unsicheren Dienste, zusätzlich FW o.ä), braucht man sich darüber eigentlich keine Gedanken machen. __________ "Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen? |
|
|
||
04.09.2003, 01:02
Member
Beiträge: 907 |
#8
nunja, woher weiß man, dass sein system nicht angreifbar ist, wenn software prinzipbedingt immer fehler enthält?
es gibt mehrere arten von OS Fingerprinting die einen basieren auf TCP, die anderen auf ICMP, usw. ich weiß für windows keine möglichkeiten, wie man dies a) faken b) gezielt blocken kann mit einer firewall dafür bin ich im bereich netzwerk zu wenig versiert auf MS Schiene versuche eine andere firewall, die die techniken [1] des OS Fingerprinting verhindert greez [1] http://www.insecure.org/nmap/nmap-fingerprinting-article.html |
|
|
||
04.09.2003, 09:59
Moderator
Beiträge: 6466 |
#9
Ich hatte zu Zeiten der Berufsschule mal die Möglichkeit Windows 2000-Rechner mit und ohne Personal-Firewall mittels Nmap zu scannen
Ergebnis war, dass ich von Rechnern mit Firewall (ich glaube Kerio war es) keinen Fingerprint /OS Guessing bekam. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
04.09.2003, 14:29
...neu hier
Themenstarter Beiträge: 3 |
#10
@forge77
ich benutze nun Outpost... @emba kann man irgendwie testen, ob jemand noch einen OS fingerprint meines systems machen kann? gruss |
|
|
||
04.09.2003, 17:56
Member
Beiträge: 907 |
#11
jo klar kannst du das testen
nmap kennt die meisten techniken dazu und frag einfach einen kumpel, der dich von außen mal damit scant greez |
|
|
||
habe version 2.0.15 und wenn ich da port 0 angebe, dann sagt er "ungülitger port". dies macht auch sinn, da es port 0 "eigentlich" nicht gibt.
port 0 wird aber bei einigen hackern immer beliebter, und ist z. Zt. die einzige erkenntliche schwachstelle in meinem system, da TPF diesen port nicht "kennt", deswegen auch nicht überwacht. aus diesem grund würde ich ihn gern dichtmachen, geht aber unter 2.0.15 nicht.
würde gerne TPF weiterbenutzen. kann mir jemand sagen, ob man bei den neueren versionen port 0 dichtmachen kann?
danke
p.s.: habe das forum schon versucht zu durchsuche, leider kann man nach einstelligen begriffen (hier: 0) nicht suchen.....