Linux 14.929 Themen, 105.580 Beiträge

Portscan auf firewall

scanner (Anonym) / 25 Antworten / Baumansicht Nickles

Hi ihr Netzwerkkünstler

Ich habe heute einen Portscan bei mir durchgeführt,um zu sehen ob ich die Firewall richtig configuriert habe.
Ich habe abgesehen von den Ports die offen sein sollen,folgende Ports gefunden die ich mir nicht so recht
passen.:
37 ist offen muß das sein?
515 ist offen kann man das nicht abstellen? Drucker ?
6000 ist offen hab gelesen den brauch ich für den x-server?
6711 ist offen wofür braucht man den? Unassigned
Kann mir mal einer helfen? Kann ich einen Proxy hinter die Firewall bringen,so das ich nicht mehr direkt aus
dem i-net scan bar bin ?
Ich benutze den suse firewall mit dial-up Verbindung.Ich habe Einzelplatzrechner wie funktioniert das mit dem
Proxy ?
Bin dankbar für hilfe.Guß scanner

bei Antwort benachrichtigen
Klaus_T scanner (Anonym)

„Portscan auf firewall“

Optionen

Was Du machst, ist ja keine richtige Firewall, sondern nur Paketfilterung. Eine richtige Firewall
ist auf einem eigenen Rechner mit Hard- und Softwaremassiger wall. Auf diesem Rechner laufen
ausser der Firewall keine anderen Dienste. Einen Desktop kann man nicht richtig schuetzen.
Besorg Dir einen alten 486, eine minimal Installation von einer Linux-Distri, ein auf Deinem System
angepasstes IPChains, routing und masquerading abschalten, proxy installieren und dann sollte
es fuer ein Home-Lan reichen. 100%ige Sicherheit gibt es sowieso nicht.
Wenn es nicht geht, installiere Dir den wwwoffle als proxy, sieh Dir Deine /etc/hots.allow und
/etc/hots.deny an, schalte den inetd ab und kommentiere in der /etc/services das ab, was Du nicht
brauchst.

Bye, Klaus

bei Antwort benachrichtigen
Anonym Klaus_T

„Was Du machst, ist ja keine richtige Firewall, sondern nur Paketfilterung. Eine...“

Optionen

Ein paar Anmerkungen:

Das "fuser" Kommando hilft bei Portzuordnung weiter. Will man
beispielweise wissen, welches Program den TCP Port 6000 geöffnet
hat, so genügt ein:

fuser -v -n tcp 6000

37 (time) braucht man sicher nicht (und schon gar nicht nach außen)
515 (spooler) sicher auch nicht
6000 (X) ist gefährlich !

Frage: Von _wo_ aus hast Du den Portscan laufen lassen ? Nach innen
schützt ein Paketfilter nicht.

Die Idee mit einem seperaten Rechner als Firewall ist eine gute.
Dann ist im optimalen Fall gar kein Port mehr offen. Allerdings
ist ein 486 deutlich unterdimensioniert. Das kann - gerade in
Kombination mit Masquerading - eine echte Geschwindigkeitsbremse
sein, die sich auch schon bei ISDN Verbindungen bemerkbar macht,
und ohne Masquerading leidet der Komfort doch schon deutlich.
(Keine FTP Uploads - naja es gibt den FTP Proxy, aber der ist
IMHO nicht wirklich brauchbar)

Alternativ zu wwwoffle gibts auch den bewährten Squid mit dem
beliebten Paranoia Settings :) Der macht Spass, wenn der Provider
auch einen hat, und man ihn als Parent eintragen kann.

Was gegen inetd spricht weiss ich allerdings nicht. Samba on demand
ist einfach praktisch. Man darf sich nur nicht auf hosts.allow/deny
verlassen. Den Grund in /etc/services etwas auszukommentieren
wuerde ich allerdings gerne von meinem Vorschreiber erfahren.

j.

bei Antwort benachrichtigen
Klaus_T Anonym

„Ein paar Anmerkungen:Das fuser Kommando hilft bei Portzuordnung weiter. Will...“

Optionen

Hi,Jay

Meiner Meinung nach reicht ein 486DX4 sehr wohl, auf jeden Fall habe ich damit keinerlei Probleme
hier. Mit dem Masquerading bezog ich mich auf einen normalen User, der nur im Web surft und
keine uploads, sondern nur downloads macht. Fuer einen Einzelplatzrechner ist IMHO der Squid
deutlich ueberdimensioniert, warum soll ich mir das Leben unnoetig schwer machen. Der WWWoffle
ist deutlich einfacher zu konfigurieren.

Der inetd stellt einfach zu viele Dienste bereit und fuer jemand, der sich nicht so gut auskennt,
ist es einfacher, den einfach ganz abzuschalten. Normalerweise braucht man den fuer einen
Standalone auch nicht. Ich bin ja nun einmal von einem einzelnen Rechner ausgegangen und nicht von
einem Netzwerk.

Soweit ich weiss, sind in /etc/services die Dienste aufgefuehrt, die das System anbieten kann. Deshalb
mein Tip, da alles auszukommentieren. Kann sein, dass ich ein bisschen paranoid bin ;) und wenn ich
mich in der /etc/services taeusche, lass ich mich gerne belehren.

Bye, Klaus

bei Antwort benachrichtigen
(Anonym) Klaus_T

„Hi,JayMeiner Meinung nach reicht ein 486DX4 sehr wohl, auf jeden Fall habe ich...“

Optionen

die sache mit dem abgeschalteten inetd ist nur leider so...du bist nicht mehr ping-bar, und somit für manche dienste unsichtbar...außerdem sind die dienste, die der inetd anbietet alle relativ ungefährlich

bei Antwort benachrichtigen
Anonym (Anonym)

„die sache mit dem abgeschalteten inetd ist nur leider so...du bist nicht mehr...“

Optionen

Ich glaube da liegt ein Missverständniss vor.

Inetd hat _nichts_ mit "ping" zu tun.

j.

bei Antwort benachrichtigen
(Anonym) Anonym

„Ich glaube da liegt ein Missverständniss vor. Inetd hat _nichts_ mit ping zu...“

Optionen

na dann schau mal in die beschreibung von inetd...also mein suse sagt mir, wenn ich inetd deaktiviere ist kein ping auf den rechner mehr möglich...naja...bin linux anfänger und bin für tipps schon dankbar ;o)

bei Antwort benachrichtigen
profmakx (Anonym)

„na dann schau mal in die beschreibung von inetd...also mein suse sagt mir, wenn...“

Optionen

Keine gef%6 hrlichen Programme:

Nur telnet, finger ftp alles sachen mit denen man wunderbar in die Kiste einbrechen kann.

ICMP-requests werden vom kernel gehandelt also ist Ping selber nicht betroffen. aber ein ftp ist dann nicht mehr m%0-glich ... Also sehr vorsichtig mit inetd ...

bei Antwort benachrichtigen
scanner (Anonym) profmakx

„Keine gef 6 hrlichen Programme: Nur telnet, finger ftp alles sachen mit denen...“

Optionen

Diese Diskussion fürt an meinen Fragen ein bisschen vorbei. Danke

bei Antwort benachrichtigen
Anonym Klaus_T

„Hi,JayMeiner Meinung nach reicht ein 486DX4 sehr wohl, auf jeden Fall habe ich...“

Optionen

Ich muss gestehen, mit wwwoffle noch nie angesehen zu haben, daher
fehlt mir der Vergleich. Squid habe ich beim ersten mal innerhalb
von 5 minuten installiert und konfiguriert, und bin seit dem sehr
zufrieden damit.

Frage: Hat wwwoffle auch Anonymisierfunktionen ?

Inetd bietet keine Dienste an, die sich nicht abschalten lassen. (Ok,
wenn man alle abgeschaltet hat, braucht man ihn auch nicht mehr :)

In /etc/services werden Portnummern Namen zugeordnet. Beispiel: Wenn
Du netstat -a aufrufst erscheint dort nicht mehr xxx.22 sondern
xxx.ssh was die Zuordnung erleichtert.

j.

bei Antwort benachrichtigen
Klaus_T Anonym

„Ich muss gestehen, mit wwwoffle noch nie angesehen zu haben, daherfehlt mir der...“

Optionen

Danke, da habe ich wohl irgend etwas anderes im Kopf gehabt. Der WWWoffle kann auch anonymisieren,
aber ich habe da noch den junkbuster vorgeschaltet, so dass das fuer mich flachfaellt.

Ich habe mir dafuer noch nie den Squid angesehen, da ich mit dem wwwoffle sehr zufrieden bin.
Ich habe auf meinen beiden Client, die unter Suse und Debian laufen, den inetd abgeschaltet, ohne
irgendwelche Nachteile zu haben. Die greifeb aber beide auf meinen Server zu, wo der inetd natuerlich
laeuft, aber nur mit den Diensten, die ich brauche. Wollte ja auch nur darauf hinweisen, dass Anfaenger
den abschalten sollten, weil IMHO zu viele Dienste per default freigeschaltet sind.

Bye, Klaus

bei Antwort benachrichtigen
scanner (Anonym) Anonym

„Ein paar Anmerkungen:Das fuser Kommando hilft bei Portzuordnung weiter. Will...“

Optionen

Hi
Hab ich aus probiert.6000 hat PID 720 X-Server,6711 und 37 haben PID 195 inetd, da kuck ich gleich mal nach.Nur mit den PID's
kann ich nichts so richtig anfangen.Der 6000 macht mir ein bischen Sorgen,man kann Tastatureingaben usw. abgreifen von außen?
Den scan hab ich übrigens von einem Rechner außerhalb gemacht über i-net. Noch einen Zweiten Rechner anlegen geht im Moment
nicht, leider das wäre das einfachste.
Trotzdem erst mal vielen Dank euch allen.

bei Antwort benachrichtigen
Anonym scanner (Anonym)

„HiHab ich aus probiert.6000 hat PID 720 X-Server,6711 und 37 haben PID 195...“

Optionen

Die PID (siehe auch das Glossar) ist die Nummer des laufenden
Prozesses. Über ps eax | grep PID kannst Du herausfinden, welches
Prg. das ist. (PID durch die Nummer ersetzen)

Der X Port 6000 sollte nie nach außen offen sein. Will man X Displays
exportieren ist SSH eine sichere Alternative. Man verläßt sich ansonsten
auf den Sicherheitsmechanismus von X (man xauth)

j.

bei Antwort benachrichtigen
scanner (Anonym) Anonym

„Die PID siehe auch das Glossar ist die Nummer des laufendenProzesses. Über ps...“

Optionen

Hi jay
Also von "ps eax|grep PID" bekomme ich eine ganze Seite als Ausgabe wo fast jedes Prog. aufgeführt wird was unter X läuft.
Das kann ich dir nicht alles hier aufschreiben.Gibts keine Möglichkeit den Port manuell auszuschalten?
In /etc/services hab ich das schon probiert, ohne Erfolg, beim Spooler hat's funktioniert.

bei Antwort benachrichtigen
scanner (Anonym)

Nachtrag zu: „Hi jayAlso von ps eax grep PID bekomme ich eine ganze Seite als Ausgabe wo fast...“

Optionen

Das komische ist das ich jedes mal eine andere PID habe die das auslöst.Ich habe erst imwheel (deinstalliert) in Verdacht gehabt.
Schon mal was von "xview" gehört? Das taucht auch bei den Programmen auf die ich im verdacht habe. Laut firewall sind alle
hohen Ports gesperrt.

bei Antwort benachrichtigen
profmakx scanner (Anonym)

„Portscan auf firewall“

Optionen

Ehem, was die Leute hier schreiben ist teilweise absolutely QUATSCH ...
Um einen brauchbaren Schutz zu haben braucht man keinen zweiten Rechner. Linux Kann die Paketfilterung n%6 mlich auf Netzwerkdevices beziehen. Dann hilft ein einfaches "Incoming: Deny" fr alle auf ippp0 ( oder entsprechend ) und dann die freigabe der dienste die man incoming haben m%0-chte. dazu gibt es genuch faqs

P.S.
Zus%6 tzlicher Rechner kostet nicht nur direkt Geld sondern auch Strom etc ...

bei Antwort benachrichtigen
scanner (Anonym)

Nachtrag zu: „Portscan auf firewall“

Optionen

Vielen Dank an alle ich habe nur noch port 6000 offen.Der wird zwar vom firewall abgeschirmt laut einstellung,
aber er reagiert als offen beim scan.Kann es sein das der X-server einen Bug hat?Der port dürfte nicht offen sein.

bei Antwort benachrichtigen
Anonym scanner (Anonym)

„Vielen Dank an alle ich habe nur noch port 6000 offen.Der wird zwar vom firewall...“

Optionen

Poste doch mal die 6000 Block Zeile.

j.

bei Antwort benachrichtigen
scanner (Anonym) Anonym

„Poste doch mal die 6000 Block Zeile.j.“

Optionen

bash # ps eax|grep 2353
2353 ? S 0:01 /usr/X11R6/bin/X :0 xt07 -auth/var/lib/xdm/authdir/authfiles/A:0 -uU7KJ1 PWD=/ LC_MESAGES=HOSTNAME=linux
Console =/dev/console PREVLEVEL=N SUSE_DOC_HOST=localhost AUTOBOOT=YES QTDIR =/usr/lib/qt KDEDIR=/opt/kde LC_TIME= MACHTYPE=i386-suse-linux
LC_ALL= LINES=25 LANG=de_DE GNOMEDIR=/opt/gnome LC_NUMERIC= SHLVL=2 COMMNS=80 LC_CTYPE=BOOT_IMAGE=linux SHELL=/bin/bash HOSTTYPE=i386
OSTYPE=linux WINDOWMANAGER=/usr/X11R6/bin/kde HOME=/TERM=linux no_proxy=localhost PATH=/sbin/:bin:/usr/sbin:/usr/bin RUNLEVEL 3 FROM HEADER
YAST_ASK LC_MONETARY=INIT VERSION=sysvinit-2.78 LC_COLLATE=POSIX _=/sbin/startproc DAEMON= /opt/kde/bin/kdm
dann kommt die nächste PID

2515 ? S usw. noch reichlich ausgaben
ich kann damit nicht viel anfangen,
habe wine installiert aber daran kanns doch nicht liegen ??
habe schon an Neuinstallation gedacht. Alle diese scheiss Ports lassen sich manuel ab schalten bloß der nicht.

bei Antwort benachrichtigen
Anonym scanner (Anonym)

„bash ps eax grep 23532353 ? S 0:01 /usr/X11R6/bin/X :0 xt07...“

Optionen

Aehh..ich meinte die ipchains Zeile mit der du Port 6000 blockst...

j.

bei Antwort benachrichtigen
scanner (Anonym) Anonym

„Aehh..ich meinte die ipchains Zeile mit der du Port 6000 blockst...j.“

Optionen

FW_ALLOW_INCOMMING_HIGH_PORTS_TCP="no"

suse /etc/rc.config.d/firewall.rc.config

bei Antwort benachrichtigen
Anonym scanner (Anonym)

„FW_ALLOW_INCOMMING_HIGH_PORTS_TCP no suse /etc/rc.config.d/firewall.rc.config“

Optionen

Aeh...das kann ich leider nicht übersetzen...Sorry

Mach doch mal ipchains -L und poste das Ergebnis

j.

bei Antwort benachrichtigen
scanner (Anonym) Anonym

„Aeh...das kann ich leider nicht übersetzen...SorryMach doch mal ipchains -L und...“

Optionen

Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (Policy ACCEPT):

bei Antwort benachrichtigen
Anonym scanner (Anonym)

„Chain input policy ACCEPT :Chain forward policy ACCEPT :Chain output Policy...“

Optionen

Da wird nix geblockt. Aber wenn ich mich recht entsinne wird
bei Suse der Firewall erst aktiv wenn man online ist.

j.

bei Antwort benachrichtigen
RAO scanner (Anonym)

„Portscan auf firewall“

Optionen

Wie schleißt man denn den Port 6000 (bei laufendem X)?

bei Antwort benachrichtigen
Anonym RAO

„Wie schleißt man denn den Port 6000 bei laufendem X ?“

Optionen

Aus dem Kopf...

ipchains -A input -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 6000 -i ippp0 -j DENY -l

auf deutsch:
Neue Input Regel: Ankommende TCP Pakete von EgalWo nach
Irgendwo Port 6000, die über das ppp Interface in den Rechner kommen,
werden geblockt.

j.

bei Antwort benachrichtigen