[Rika]

@Ich: Es gibt allerhöchstens Router, die zusätzliche Paketfilterfunktionen mitbringen. Sie basieren trotzdem noch auf NAT, und NAT kann mit mittlerem Aufwand komplett umgange werden - und dann greift kein Paketfilter. VPN kannste ebenso vergessen, denn meistens ist es nur VPN-Passthrough, was sämtliche Paketfilterfunktionen sinnfrei macht und eine große Lücke ins System reißt - zumal selbst solche mit echter VPN-Unterstützung nur selten sauberes IPSEC unterstützen.

Zu deiner Bemerkung: Falsche Schlussfolgerung. Eine absolute Abwesenheit an Funktionen ist immer sinnfrei und hat mit den sinnvollen Konsequenzen des Theorems nichts zu tun. Du hats schon recht, wenn du behauptest, daß auf sicheren System mehr Software zum Einsatz kommt - aber es geht um weniger Funktionen. All diese Software setzt nur viele gleiche wenige Funktionen mehrfach um, und viele ihrer eigenen möglichen Funktionen setzt sie gar nicht erst um. Von daher ist das kein Gegenargument.

[Ich]

Zitat

Es gibt allerhöchstens Router, die zusätzliche Paketfilterfunktionen mitbringen. Sie basieren trotzdem noch auf NAT, und NAT kann mit mittlerem Aufwand komplett umgange werden

Mittlerer Aufwand ist schon besser als der Aufwand den man betreiben muß, um einen Client, der direkt am Netz hängt zu hacken ... Also erfüllt er genau den richtigen Zweck: Sicher ohne Aufwand für Otto Normalo.

Zitat

VPN kannste ebenso vergessen, denn meistens ist es nur VPN-Passthrough, was sämtliche Paketfilterfunktionen sinnfrei macht und eine große Lücke ins System reißt - zumal selbst solche mit echter VPN-Unterstützung nur selten sauberes IPSEC unterstützen.

Hat eigentlich garnichts mit dem Thema zu tun und tut auch nichts zur Sache, da ich einfach nur erwähnte, dass der VPN mit drin ist... das bei 34 Euro VPN-Passthrough gemeint ist, dürfte ja auf der Hand liegen. Ich hielt es nur für erwähnenswert, da VPN bei alten Routern nunmal nicht ging.

Zitat

Eine absolute Abwesenheit an Funktionen ist immer sinnfrei und hat mit den sinnvollen Konsequenzen des Theorems nichts zu tun

Dann sollte man es lieber das "Nicht mehr als nötig" Theorem nennen.... Schade nur, wenn ein Anwender viele Funktionen braucht. Es läßt sich nicht verhindern, dass PC's heutzutage viele Anwendungszwecke/viele Programme/viel code schlucken. Die Nullhypothese mag zwar zutreffen, wenn man sie richtig betrachtet, aber ist sie am Client nicht angebracht, bzw. durchführbar, solange der Anwender seine Freiheit haben will.

Zitat

All diese Software setzt nur viele gleiche wenige Funktionen mehrfach um, und viele ihrer eigenen möglichen Funktionen setzt sie gar nicht erst um. Von daher ist das kein Gegenargument.

Wenn der Satz verständlich wäre, würde ich drauf eingehen

[Rika]

1. mittlerer Aufwand: erfordert einige Sachkenntnis und/oder das Ziel muß gezielt ausgewählt werden = selbst für Scriptkinder kein Problem

2. Es kommt ja darauf an, wieviele Software davon aus unsicheren Netzen ansprechbar ist. Mit Anwendungskomplexität muß das nichts zu tun haben, die Unix-System beweisen das mit ihrem KISS-Prinzip (Keep It Simple, Stupid!) hervorragend.

3. Der Satz bedeutet, daß Software, die die gleichen Funktionen wie eine andere aktive Software implementiert, überflüssig sind. Ebenso daß es sinnlos ist, eine riesige Software mit unnötig vielen Funktionen einzusetzen, wenn man stattdessen eine kleine, auf seine Zwecke zugeschnitte Software verwenden kann. Alles auch im Sinne von 2.

Dieser Beitrag wurde von Rika bearbeitet: 22. März 2004 - 04:00

[*TLC*]

Also mal wieder zurück zum Thema „Welche Firewall“ ?
Rikas Antwort: „Keine“
Also habe ich auf meinem Testrechner alle Firewalls deinstalliert und mich auf
http://www.linkblock.de/ schlau gemacht!

Nach der manuellen Konfiguration aller dort beschriebenen Schritte und einer Überprüfung mit ActivePorts zeigte sich, dass wirklich viele „Lauscher“ verschwunden waren..

Ich habe dann auf dieser Seite Sicherheitstest den Security Check gemacht und da wurden aber noch sehr viele offene Ports entdeckt!

Hier ist das Ergebnis: Ergebnis
Jetzt meine Frage @ALL, Rika : Sind diese Ports zu verharmlosen und was machen sie, und sollte ich meine Firewall vielleicht doch wieder drauf machen?

THX

[*TLC*]

Habe ich mir auch schon gedacht, mit einer Firewall sind die alle zu!
Aber laut http://www.ntsvcfg.de/ braucht man ja keine Firewall
Ich habe die Anleitung komplett abgearbeitet. Naja mal schauen was Rika dazu sagt!

[Rika]

Speichere mal das Ergebnis als Datei und poste sie mal - mit einer abgelaufenen Session kann man nämlich arg wenig anfangen. Insbesondere hast du den dümmsten aller Scanner überhaupt genommen, in de.comp.security.firewall ist bekannt geworden, daß er manchmal arg fehlerhafte Resultate liefert. Nimm mal lieber http://www.linux-sec....test.gwif.html - und dann bitte speichern und als Datei - alternativ als Text - posten.

[*TLC*]

Aber der Test wird auf deiner oft zitierten Seite angepriesen.
Ich teste mal den anderen...
Aber bei 13 offenen Diensten war es bestimmt kein Fehler..

[Rika]

Von wegen... selbst auf ganz nromal geschlossenen Ports meldet er manchmal Stealth, gestealthe UDP-Ports meldet er als offen, und ganz normale geschlossene Ports auch. Ich hab Lutz schon drauf hingewiesen, beim nächsten Update wird der Link entfernt.

Die geschlossenen Ports bei Personal Firewalls sind übrigens auch keine qualitative Aussage, wenn sie sowas wie Autoblockierung unterstützt - die gleichen Ports können dann, frisch von einem anderen System geprüft, weit offen sein.

Dieser Beitrag wurde von Rika bearbeitet: 22. März 2004 - 17:23

[*TLC*]

Hier die Ergebnisse als Text! Werde aber noch andere testen!

Beim Full Scan wurden 13 offene Dienste gefunden.

Es wurde keine Firewall entdeckt.

Name Dienst StatusRPC 111 / UDP
Offen
MS RPC 135 / TCP
Geschlossen (Gefiltert)
135 / UDP
Offen
NetBIOS (Name Service) 137 / UDP
Offen
137 / TCP
Geschlossen (Gefiltert)
NetBIOS (Datagram Service) 138 / TCP
Geschlossen (Gefiltert)
138 / UDP
Offen
NetBIOS (Session Service) 139 / UDP
Offen
139 / TCP
Geschlossen (Gefiltert)
PCMail Server 158 / UDP
Offen
SNMP 161 / UDP
Offen
SNMPTRAP 162 / UDP
Offen
SMB (CIFS) 445 / TCP
Geschlossen (Gefiltert)
spooler 515 / UDP
Offen
router routed -- RIP 520 / UDP
Offen
network blackjack
listener RFS remote_file_sharing
ShopPro accounting software
Fraggle Rock
md5 Backdoor
NetSpy
Remote Storm 1025 / TCP
Offen
Sun's NEO Object Request Broker 1048 / UDP
Offen
impera 1710 / UDP
Offen

Weitere durchgeführte Tests:

Ping
Ihr System antwortet auf Ping Requests.

Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit

konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).

Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.
OS Detection
Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%
59%: Microsoft Windows 2003 Server Enterprise Edition
59%: Microsoft Windows Millennium Edition (ME)
59%: Microsoft Windows 2003 Server Standard Edition
56%: Microsoft Windows NT 4 Workstation Service Pack 4
56%: Microsoft Windows NT 4 Server Service Pack 4

NetBIOS
(Windows Netzwerk)
Es ist nicht möglich via NetBIOS auf Ihr System zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.
SNMP
SNMP ist auf Ihrem System aktiviert, aber es ist nicht möglich auf Ihr System zuzugreifen, da keine der häufig verwendeten

resp. Standard Communities benutzt wird.

Sie können die Sicherheit Ihres Systems verbessern indem Sie SNMP deaktivieren oder mit einer Firewall filtern.
Passwort Check
Es ist nicht möglich via Telnet oder HTTP auf Ihren Router zuzugreifen, da weder Telnet noch HTTP erreichbar ist.

[Rika]

1. Keine FW, aber gefiltert? 137-139 TCP geschlossen, aber UDP offen? Hast du SNMP laufen? Siehste, genau das meinte ich...
2. Benutzst du Win2K3 Server? Dann sollte dir klar sein, daß das mit der Anleitung dann so nicht ganz hinhaut...
3. Viel interessanter wären die Ausgaben von tasklist und netstat. Mach dir mal 'ne Eingabeaufforderung auf, gehe mit "CD C:\" ins Hauptverzeichnis der Platte, mache dort "tasklist >x1.txt", "tasklist /svc >x2.txt" und "netstat -ano >x3.txt" und poste die drei Textdatei mal, möglichst als Anhang - damit man mal sieht, welche Programme und Dienste welchen Port beanspruchen und was überhaupt erreichbar sein könnte, und warum es erreichbar ist.

Dieser Beitrag wurde von Rika bearbeitet: 22. März 2004 - 17:44

[*TLC*]

ja anscheinend ist der Test schlecht. hier mal ein anderer Test:

....
..Starting nmap 3.25 ( www.insecure.org/nmap/ ) at 2004-03-22 08:29 PST..
..Interesting ports on pD9587B91.dip.t-dialin.net (217.88.123.145): ..
..(The 1164 ports scanned but not shown below are in state: closed)..
..Port State Service ..
..135/tcp filtered loc-srv..
..137/tcp filtered netbios-ns..
..138/tcp filtered netbios-dgm..
..139/tcp filtered netbios-ssn..
..445/tcp filtered microsoft-ds..
..1025/tcp open NFS-or-IIS..
..No exact OS matches for host (If you know what OS is running on it, see

http://www.insecure....map-submit.cgi)...
..TCP/IP fingerprint:..
..SInfo(V=3.25%P=i586-pc-linux-gnu0=3/22%Time=405F14790=1025%C=1)..
..TSeq(Class=TR%IPID=I%TS=U)..
..T1(Resp=Y0F=Y%W=FB8B%ACK=S++0.000000lags=AS0ps=MNW)..
..T2(Resp=Y0F=N%W=0%ACK=S0.000000lags=AR0ps=)..
..T3(Resp=Y0F=Y%W=FB8B%ACK=S++0.000000lags=AS0ps=MNW)..
..T4(Resp=Y0F=N%W=0%ACK=O0.000000lags=R0ps=)..
..T5(Resp=Y0F=N%W=0%ACK=S++0.000000lags=AR0ps=)..
..T6(Resp=Y0F=N%W=0%ACK=O0.000000lags=R0ps=)..
..T7(Resp=Y0F=N%W=0%ACK=S++0.000000lags=AR0ps=)..
..PU(Resp=Y0F=N%TOS=0%IPLEN=B0%RIPTL=148%RID=E%RIPCK=E0CK=F0LEN=1340AT=E)..
....
....
....
..Nmap run completed -- 1 IP address (1 host up) scanned in 30.706 seconds..

#
# end of test data


..1025/tcp open <habe mit tcpview lsass.exe als Dienst indentifiziert. aber das ist ja der geschützte Speicher, aber warum braucht er einen Port?

[*TLC*]

Hier die Logs...

Angehängte Datei(en)

•  X.txt (4,87K)
  Anzahl der Downloads: 243

[Rika]

1. Die Ports sind immer noch filtered, bist du sicher, daß da nix dazwischen hängt? Bei filtered kann man ja nix genaueres, deshalb solltest du ja mal netstat laufen lassen...
2. Hast du nun Win2K3 oder nicht? EDIT: OK, wie ich sehe, schon.
3. Ich kenne die Problematik, Port 135 und 1025 werden normalerweise auf Win2K3 Server trotzdem noch offen angeboten. Definitiv ist an Port 1025 aber kein Dienst erreichbar, und an Port 135 nur der epmap-Enumerator. Beide sind aber nur sehr schwierig zu entfernen - man muss DCOM wieder aktivieren, IIS installieren, IIS-Lockdown drüberlaufen lassen, DCOM wieder entfernen, der RPC-EPMaps aus der Registry entfernen, den COM-Anwendungsdienst beenden... - Win2K3 ist halt ein etwas anderes Kaliber als WinXP. Nachwievor zu sagen, daß an beiden eh kein Dienst erreichbar ist und beide somit keine Gefahr darstellen. Wenn dich die Ports trotzdem stören, kannst du sie ja mit IPSEC-Richtlinien filtern. Mit SP1 werden sie dann eh geschlossen sein.
4. An Port 1028 ist, wie du schön erkennen kannst, deine FritzDSL-Software erreichbar. Schau mal nach, ob du da nicht irgendwie eine Fernwartungsfunktion oder ähnliches aktiviert hast, ansonsten: Wenn's ohne die Software geht, dann benutze sie nicht. RASPPPOE+DFÜ-Verbindung sollten ja wohl auch funktionieren. Und wenn nicht, gibt's immer noch IPSEC-Richtlinien, wenn man filtern möchte.

Dieser Beitrag wurde von Rika bearbeitet: 22. März 2004 - 18:02