[amir]

habe mal einen portscan auf www.security-check.ch gemacht und das ergebniss zeigte mir das port 1723 offen is. habe im internet nach dem port mal gegoogelt: PPTP:
Point-to-Point Tunneling Protocol. PPTP ist eine Spezialversion von PPP und ermöglicht die Kapselung von Nicht-TCP/IP-Protokollen innerhalb von PPP. PPTP erlaubt die Verbindung von zwei oder mehreren LANs über das Internet..

habe versucht den in meinem router zu blocken, aber selbst wenn ich ich den port dort eingebe und erneut einen portscan mache bleibt dieser port offen.
so habe ich es eingestellt :
unter Ip Filter/Firewall einstellungen:

oder muss ich bei ziel was anderes eingeben ?

[flo]

Hallo

Poste bitte mal eine Ausgebe des befehles "netstat -anbo" , deb gibst du in der Eingabeaufforderung ein.

[Rika]

1. Benutzt du für deine Verbindung PPTP?
2. Ist im Router PPTP aktiviert?
3. Nimm mal einen ordentlichen Portscan, z.B. http://linux-sec.net....test.gwif.html
4. Wenn's der Router so nicht zulässt, dann forwarde diesen doch einfach auf eine nichtexistente IP-Adresse.

[ShadowHunter]

Zitat (Rika: 14.05.2006, 17:01)

3. Nimm mal einen ordentlichen Portscan, z.B. http://linux-sec.net....test.gwif.html

Sollte doch normal bei "nmap -sS -F -PO ip#" sowas kommen oder, wenn alles passt?:

# Scan Results for nmap ( nmap -sS -F -PO 84.155.2.205 ) p549B02CD.dip0.t-ipconnect.de
#
# In general, turn off all services and daemons listed below ( especially those in red )

	* Turn Off all Unused-Daemons
	* Turn Everything Off in inetd

 

#
# end of test data

[Rika]

"alles passt" ist wohl sehr relativ.

[NightKrawler]

Eher so:

Zitat

# Scan Results for nmap ( -sS -F -O ) 85-124-171-94.dynamic.xdsl-line.inode.at
#
# In general, turn off all services and daemons listed below ( especially those in red )

* Turn Off all Unused-Daemons
* Turn Everything Off in inetd


....
..Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-05-14 08:26 PDT..
..Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port..
..Interesting ports on 85-124-171-94.dynamic.xdsl-line.inode.at (85.124.171.94): ..
..(The 1226 ports scanned but not shown below are in state: closed)..
..PORT STATE SERVICE..
..1720/tcp filtered H.323/Q.931..
..Device type: webcam|switch|general purpose..
..Running: AXIS embedded, Cisco embedded, IBM MVS, Microsoft Windows 2003/.NET|NT/2K/XP|95/98/ME..
..Too many fingerprints match this host to give specific OS details..
....
..Nmap finished: 1 IP address (1 host up) scanned in 46.001 seconds..

#
# end of test data

Der filtered Port 1720 hat mit meinem Linksys WRT54GL in Verbindung mit dd-wrt zutun (glaub ich zumindest)

[ShadowHunter]

Hab auch den Linksys WRT54GL und momentan noch DD-WRT drauf bis ich die Zeit und Lust find für die anderen.
Nur muss ich z.b schon -P eingeben, damit er überhaupt was macht...schon komisch!

....   
..Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-05-14 08:37 PDT..   
..Note: Host seems down. If it is really up, but blocking our ping probes, try -P0..   
..Nmap finished: 1 IP address (0 hosts up) scanned in 2.740 seconds..

Das alles passt relativ ist, ist mir schon klar!

Dieser Beitrag wurde von ShadowHunter bearbeitet: 14. Mai 2006 - 16:38

[amir]

Zitat (Flo: 14.05.2006, 16:58)

Hallo

Poste bitte mal eine Ausgebe des befehles "netstat -anbo" , deb gibst du in der Eingabeaufforderung ein.

bitteschön:


@ Rika, wo genau da kann ich einen Portscan machen?
btw, habe Nmap installiert aber wenn ich die .exe starte blitz nur kur die eingabeaufförderung auf und schliesst sich dann wieder.

Also wie kann ich den Port schliessen, weil der ja schon eine gewisse angriffsfläche bietet oder ?

//: e| Achso, habe die fragen von Rika ja noch garnicht beantwortet:
1. Benutzt du für deine Verbindung PPTP? - Nein, benutz ich nicht.
2. Ist im Router PPTP aktiviert? - Soweit ich weiß nicht, aber habe auch keine option im Routermenü gefunden wo man dies ein/ausschalten kann.

Zitat

#
# Scan Results for nmap ( nmap- sS -F -O 84.130.237.223 ) p5482EDDF.dip.t-dialin.net
#
# In general, turn off all services and daemons listed below ( especially those in red )

* Turn Off all Unused-Daemons

* Turn Everything Off in inetd


....
..Starting nmap 3.93 ( http://www.insecure.org/nmap/ ) at 2006-05-14 09:05 PDT..
..Note: Host seems down. If it is really up, but blocking our ping probes, try -P0..
..Nmap finished: 1 IP address (0 hosts up) scanned in 3.198 seconds..

#
# end of test data

versteh ich nicht O_o was muss ich denn machen?

Dieser Beitrag wurde von amir bearbeitet: 14. Mai 2006 - 17:07

[Rika]

Zitat

habe Nmap installiert

Äh... lokal scannen ergibt irgendwie arg wenig Sinn. Eine Online-Version habe ich ja bereits verlinkt!
(security-check.ch benützt zwar auch Nmap, haspelt aber mit den Ergebnissen rum und velwechsert Sessions, liefert also nicht wirklich zuverlässige Resultate.)

Zitat

aber wenn ich die .exe starte blitz nur kur die eingabeaufförderung auf und schliesst sich dann wieder.

Die Unfähigkeit, selbst solche evidenten Dinge wie das Öffnen einer Konsole vor dem Ausführen eines Konsolenprogrammes hinzubekommen, schreitet weiter fort... Und dabei gibt's für Nmap sogar ein (nicht sonderlich taugliches) graphisches Frontend.

Zitat

Soweit ich weiß nicht, aber habe auch keine option im Routermenü gefunden wo man dies ein/ausschalten kann.

Das ist schade. Naja, mach's halt mit Forwarding auf eine nichtexistente Adresse...

Zitat

versteh ich nicht O_o was muss ich denn machen?

Zitat

If it is really up, but blocking our ping probes, try -P0...

Dieser Beitrag wurde von Rika bearbeitet: 14. Mai 2006 - 17:41

[ShadowHunter]

Zitat

If it is really up, but blocking our ping probes, try -P0...

Hab ich ja getan nur warum bringt er mit dann immer noch nichts, wie z.b bei NightKrawler

# Scan Results for nmap ( nmap -sS -F -PO 84.***.*.*** ) p********.dip0.t-ipconnect.de
#
# In general, turn off all services and daemons listed below ( especially those in red )

	* Turn Off all Unused-Daemons
	* Turn Everything Off in inetd

 

#
# end of test data

[Rika]

Wenn's nur filtered gibt, dann stinkt '-F' halt. Nimm man lieber '-p1-5000'.

[ShadowHunter]

hab ich ja auch schon probiert, es kommt immer das selbe raus...
nmap -sS -p 1-5000 -O xx
nmap -sS -p 1-5000 -PO xx
nmap -sS -v -p 1-65535 -O xx
nmap -sS -v -p 1-65535 -PO xx
etc.
Den "-p 1-5000" kannt ich ja auch schon, hast mir ja mal empfohlen als ich noch ohne Router unterwegs war damals im Thread nur seit dem ich den Router im Betrieb hab kommt immer die gleiche Meldung bei Linux-sec.net!

[Rika]

Tja, dann sieht's mit deiner Router etwas traurig raus, aber besser als ein offener pptpd ist's bestimmt.

[ShadowHunter]

Und wieso?
Nur weil der Scan keine Ports findet?
Hab im Grunde an ihm nicht besonders viel eingestellt, eben die DD-WRT Firmware drauf, Firewall is enabled und W-Lan deaktivert da ichs atm net brauch, dazu kommen paar Ports geforwarded und das wars.
Laut dem check von security-check.ch passt ja alles...Kanns net irgendeine Einstellung sein am Router die da Probleme macht? oder evtl. doch andere nmap Befehle?

edit:
Nen weiterer hat den GS und auch DD-WRT drauf bei dem die selben Resultate! Also warum das wirklich traurig für den Router is frag ich mich, sagt es nich, dass er gut blockt und einfach keine Ports atm offen sind?

Dieser Beitrag wurde von ShadowHunter bearbeitet: 14. Mai 2006 - 19:08

[Rika]

Mir fehlt beispielsweise ein reject auf identd (113/TCP), und ein generelles reject auf alles, was nicht durch das Routing läuft und reject-würdig ist - du hast DD-WRT, damit kriegt man sowas hin!