title image


Smiley Re: PortScans, SecurityCheck, TCP/IP....???
> Ein anschließender Online-Portscan hat ergeben, daß bei mir soweit alle Ports "closed" sind.



Gut.



> Einzig TCP/UDP 445 ist noch offen....bin da aber grad am Lesen wegen SMB u. Netbios.



Auch gut.



> 1) welcher Online-Securitycheck bzw. Portscan ist gut ???



Ich denke, von der technischen Seite her ist es relativ egal. Man muss lediglich die Ergebnisse mit einer Portion Skepsis betrachten und zwischen den Zeilen lesen. Denn zumindest die Scans bei Firmen wie Symantec sind die Angaben oftmals relativ undurchsichtig bzw. zu wenig detailliert. Und andererseits weisen sie meistens noch irgendwie mehr oder weniger aufdringlich darauf hin, man solle doch ihr ach so tolles Produkt kaufen, weil man dann so ultrakrass sicher sei.



Von daher sollte man auch den einen oder anderen Onlinescan einer neutralen Institution, z.B. des BSI oder eines Landesdatenschutzbeauftragten (was für ein Wort...) nutzen.



Ansonsten: An mehreren Orten solche Scans durchführen ist schon sehr gut. Die Ergebnisse dann gegeneinander vergleichen, ob z.B. alle das selbe liefern.



> Diese "offiziellen" Scan-Dienste machen im Prinzip genau dasselbe, was jeder "Möchtegern-Hacker" ohne spez. Kenntnisse auch kann, also mit geeigneten Tools relativ ungezielt nach offenen Ports suchen.



Das ist richtig. An einem Portscan an sich ist nichts illegal. Erst recht nicht, wenn Du ihn mit so einem Check selber anforderst.



> Da ein geschlossener Port keine Anfragen entgegennimmt, kann darüber auch keine Datenkommunikation stattfinden. Ist das in etwa richtig so ?



Das ist richtig.



> Wenn nun geschlossene Ports offenbar keine Angriffsfläche für (geplante) Rechner-Attacken bieten, warum empfehlen Security-Sites, daß ein Port zusätzlich noch "blocked" bzw. "stealth" sein sollte ???



Weil sie ihre Produkte wie z.B. Personal Firewalls verkaufen wollen.



> Was heißt das genau ?



Marketing-Blabla. Ganz offiziell gibt es für einen Port genau zwei Zustände: Offen und Geschlossen. Läuft ein Dienst, ist der Port offen. Läuft kein Dienst, ist der Port geschlossen. Punkt. Fertig.



Jetzt haben die PFW-Hersteller irgendwann herausgefunden, dass viele Leute auf Buzzworte wie 'gläserner Surfer' etc. reagieren und sich wünschen, anonym(er) zu sein. Also haben sie etwas erfunden, um ihnen diese Anonymität vorzugaukeln: Stealth.



Dieser Zustand ist jedoch nirgends wirklich dokumentiert. Kein RFC spezifiziert 'Stealth'. Wozu auch?



Es wird behauptet, dass 'Stealth' einen Rechner 'unsichtbar' machen soll. Auf den ersten Blick könnte man meinen, dass das stimmt. Bei genauerer Betrachtung stellt man jedoch fest, dass genau das Gegenteil zutrifft. Erklärung:



Wenn die IP X im Adressbereich eines Providers nicht in Gebrauch ist, dann wird der letzte Router auf dem Weg zu dieser IP auf einen Portscan o.ä. mit 'Destination unreachable' antworten. Ein 'Sorry, da ist niemand'.



Ist die IP dagegen in Verwendung, dann reicht der Router die Anfragen weiter. Der Rechner, der die IP nutzt, reagiert dann auf den Portscan. Der Portscan liefert dann einmal die Information, dass an IP X jemand ist. Und es liefert ggf. Angaben darüber, welche Dienste dort laufen. Also das, was Du als Ergebnis Deiner Onlinescans bekommen hast.



Wenn da ein Port offen ist, kann der Urheber des Portscans natürlich versuchen, diesen Port zu nutzen, um auf Deinen Rechner zu gelangen. Darum sollte kein Port unnötig offen sein.



Wenn der Port geschlossen ist, dann weiss der Urheber zwar, dass an IP X jemand ist, doch er steht vor verschlossener Tür und kann nichts weiter unternehmen.



Im Fall von Stealth ist es dagegen so, dass ankommende Anfragen unbeantwortet weggeworfen werden. Der Portscan verschwindet sozusagen in einem schwarzen Loch. Das, so die Hersteller von PFW, soll angeblich unsichtbar machen. Da jedoch der letzte Router kein 'Destination unreachable' liefert, weiss der Scannende, dass da jemand sein muss, die IP in Benutzung ist. Und er weiss dann, dass der Besitzer mit irgendwelchen Massnahmen alle Anfragen verwirft.



Statt dass man 'unsichtbar' ist, ist es vielmehr so, als wenn man mit einer Leuchtreklame rumlaufen würde. Der Urheber des Portscan kann dann schnell ein paar Tools hervorkramen, die die gängigsten Sicherheitslücken von Zone Alarm und Konsorten ausnutzen und damit Deinen Rechner eindecken, bis er u.U. etwas findet und eindringen kann.



> Wenn nach einem externen Portscan die Rückmeldung "closed" kommt, was "blockt" dann noch der TCP/IP-Stack ?



Der Vorgang des TCP/IP-Stack, ein 'Service not available' zu melden ist das Blocken. Wenn der Port geschlossen ist, weil kein Dienst läuft, kann ein 'Angreifer' nichts machen. Das ist wie eine zugemauerte Tür.



> Gibt es überhaupt einen Online-Dienst, der diese ganzen Ports auf Kriterien wie "offen/geschlossen" scannt, oder ist das für Einzelplatz-Rechner sowieso Quatsch ???



Prinzipiell muss ein ernstzunehmender Online-Scan alle Ports abklappern. Denn Du hast alle Ports potentiell auf Deinem Rechner zur Verfügung. Welcher Port von einem Dienst ggf. geöffnet wird, ist zwar für einige Dienste mit RFCs geregelt. Doch auch das sind nur Empfehlungen. Ein Trojaner kann also prinzipiell jeden beliebigen Port nutzen. Von daher ist es sogar ganz wichtig, dass man mal alle Ports scannen lässt.



> Sorry für die vielen Fragen



Im Gegenteil, das ist sehr gut, dass Du fragst. Nur so kannst Du lernen und Dir ein Wissen aneignen, mit dem Du Deine Situation beurteilen und passende Massnahmen ergreifen kannst.



Dafür sind Foren wie dieses ja da.



CU

Caleb
CU
Caleb




Wie man Fragen richtig stellt


geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: