ident Port 113? schliessen

mcdaniels · 3 Juli 2006

Hey Leute
Hab heut mal bei meiner Suse10 einen Security Check laufen lassen. (Portscan). Und siehe das - alles ok bis auf port 113 ident der auf closed protokolliert wurde, aber trotzdem von dem Test bemängelt wurde.

Kann mir jemand sagen, ob / wie man den closed? (Dachte meine Firewall lässt nix durch weil ich keine Dienste offen hab?

Oder hab ich hier was falsch verstanden?

Grothesk · 3 Juli 2006

Der Port 113...
Der ist aus historischen Gründen nicht 'stealthed' sondern 'closed'.

Kann man hier gut nachlesen:
http://www.grc.com/port_113.htm

Martin Breidenbach · 3 Juli 2006

Das macht Sinn den nicht auf 'stealth' zu haben.

Es gibt diverse Protokolle die versuchen einen auf Port 113 'anzuquatschen' um zu sehen wer man denn ist. Sitzt der Port auf Stealth dann gibt das einen Timeout und ggf das was man eigentlich machen wollte schlägt fehl.

Ein Sicherheitsproblem ist das keines.

jengelh · 4 Juli 2006

iptables -A INPUT -p tcp --dport 113 -j REJECT

stka · 4 Juli 2006

In meiner Firewall ist der Port dicht. Die Anmeldung bei freenode dauert dann etwas länger, aber es gibt keine Probleme.

Anonymous · 4 Juli 2006

mcdaniels schrieb:
Hey Leute
Hab heut mal bei meiner Suse10 einen Security Check laufen lassen. (Portscan). Und siehe das - alles ok

Jupp.

bis auf port 113 ident der auf closed protokolliert wurde, aber trotzdem von dem Test bemängelt wurde.

"Bemängelt" ist der falsche Ausdruck. Wenn der Test das bemängelt, dann ist der Test "ungenau".

Kann mir jemand sagen, ob / wie man den closed?

Ist er doch schon!

(Dachte meine Firewall lässt nix durch weil ich keine Dienste offen hab?

Hä?

Welcher Dienst?

Könnte es sein, daß Du keine Ahnung hast, wovon Du da redest?

Oder hab ich hier was falsch verstanden?

Jupp. OK hier die Erklärung:

1. Der Port wird als Open angezeigt.

Die Anfrage kommt und wird akzeptiert. Das ist das Zeichen für einen laufenden Dienst. Will man den Dienst nicht anbieten, dann hilft erstmal ABSCHALTEN.

2. Der Port wird als Stealthed angezeigt. Ob nun ein Dienst läuft oder nicht, spielt hierfür keine Rolle, denn die Firewall IGNORIERT (das ist wichtig) die Pakete und gibt keine Antwort zurück.

3. Der Port wird als Closed angezeigt. Die Firewall lässt entweder das Paket durch und auf dem Port läuft kein Dienst oder aber die Firewall meldet zurück "Hier ist nichts zu holen", aber Sie gibt eine ANTWORT!

Also, auf Deinem 113er läuft KEIN Dienst und es kommt (was übrigens die korrekte Behandlung wäre, eigentlich ist "stealthen" nicht RFC-konform, -korrigiert mich, wenn ich mich irre-) die Antwort, "Hier ist kein Dienst".

Dieses Stealthen ist eigentlich nur Augenwischerei, denn wenn (und das ist das perfide daran) bei einem Portscan KEINE Antwort kommt, kann man sich sicher sein, daß dahinter auch wirklich ein Rechner mit FW steckt *g*.

Der Gag ist nämlich der, daß ein Rechner nur dann nicht da ist, wenn der letzte Router vor dem Rechner (Nein, nicht DEIN Router zu Hause, der Deines ISP, z.B. der Telekom) meldet "Destination unreachable". Das tut der aber sicher nicht, weil er ja weiß, daß Der Rechner dahinter (also Deiner) existiert und das ist auch besser so, denn sonst bist DU weg vom Internet.

"Gestealthte" Ports sind vielleicht gut fürs Gewissen, aber wenn man einen Dienst nicht anbieten will, dann gibt es eine einfachere Möglichkeit: --> Dienst abschalten.

Greetz,

RM

mcdaniels · 9 Aug. 2006

Hallo!
Jetzt muss ich doch glatt den alten Thread nochmal rauskramen um mich zu rechtfertigen *smile*

@rm

Könnte es sein, daß Du keine Ahnung hast, wovon Du da redest?

Also, ich denke schon, dass ich zumindest Dienst und Port auseinanderhalten kann:

identd -> Dienst
der auf Port 113 läuft
ok? *smile*

Ich gebe allerdings zu, dass ich in einigen Zeilen ein wenig wirr dahergeschrieben habe - weshalb auch immer -

Jedenfalls danke für deine Ausführungen!

ident Port 113? schliessen

mcdaniels

Member

Grothesk

Ultimate Guru

Martin Breidenbach

Ultimate Guru

jengelh

Guru

stka

Guru

Anonymous

Gast

mcdaniels

Member