dieser zeigte beim ersten scan nur den port 1417 als geschlossen an, alle anderen waren stealth.
dann habe ich diesen port mit meiner firewall geblockt und den scan wiederholt.
diesmal waren die ports 1035 und 1145 sichtbar (aber geschlossen).
ich hab diese ports auch geblockt, dann waren wieder ein paar andere ports sichtbar (anscheinend in zufälliger auswahl).
woran kann das liegen, das immer irgendwelche anderen ports sichtbar (wenn auch geschlossen) sind? die firewall regeln haben sich zwischen den scans (bis auf das hinzufügen der sichtbaren ports) nicht verändert, deswegen kann ich mir nicht erklären, warum ports, die beim einen test stealth sind, auf einmal nur geschlossen sind.
woran kann das liegen, das immer irgendwelche anderen ports
sichtbar (wenn auch geschlossen) sind? die firewall regeln
haben sich zwischen den scans (bis auf das hinzufügen der
sichtbaren ports) nicht verändert, deswegen kann ich mir nicht
erklären, warum ports, die beim einen test stealth sind, auf
einmal nur geschlossen sind.
wenn Dein PC eine Verbindung zu einem anderen PC aufbaut, geschieht das ueber die hohen, unprivilegierten Ports (>1024). Daher sind diese Ports dann sichtbar, allerdings geschlossen. Es kann also keiner von aussen daran herumhacken (okay, ich bin überzeugt, es ginge irgendwie, aber wohl nur mit etwas sehr viel Fachwissen).
Vereinfacht schaut das dann, z.B. bei http, wie folgt aus:
Du gibst eine URL ein und drückst auf Enter:
IP.von.Deinem.Rechner:1099 --> IP.von.Internet.Rechner:80
Der Internet-Rechner antwortet:
IP.von.Internet.Rechner:80 --> IP.von.Deinem.Rechner:1099
Da Du eine Anfrage über Port 1099 rausschickst, muß dieser Port ja sichtbar sein. Ansprechbar ist er jedoch, wenn die FW korrekt arbeitet, nur vom entsprechenden (gewünschten) Gegenstück.
wenn Dein PC eine Verbindung zu einem anderen PC aufbaut,
geschieht das ueber die hohen, unprivilegierten Ports
(>1024). Daher sind diese Ports dann sichtbar, allerdings
geschlossen. Es kann also keiner von aussen daran herumhacken
(okay, ich bin überzeugt, es ginge irgendwie, aber wohl nur
mit etwas sehr viel Fachwissen).
erstmal danke für die antwort!
kann es sein, das icq diese ports sichtbar (geschlossen statt stealth) hält? dies ist nämlich das einzige programm das bei mir läuft das eventuell verbindungen annimmt.
kann icq vielleicht auch für einen offenen port verantwortlich sein, der ab und zu bei den test auftaucht (immer nur ein port, aber immer verschiedene portnummern)?
erstmal danke für die antwort!
kann es sein, das icq diese ports sichtbar (geschlossen statt
stealth) hält? dies ist nämlich das einzige programm das bei
mir läuft das eventuell verbindungen annimmt.
kann icq vielleicht auch für einen offenen port verantwortlich
sein, der ab und zu bei den test auftaucht (immer nur ein
port, aber immer verschiedene portnummern)?
thx,
markus
Hi!
Ähhhh, sag mal … wozu braucht jemand mit ICQ noch ne Firewall??? ICQ iss doch eh alles, was ein Hacker braucht, um sich auf deinem Rechner wohl zu fühlen!
Ich sag das jetzt mal so provokativ, um mich eines besseren belehren zu lassen, oder eben nicht!
kann es sein, das icq diese ports sichtbar (geschlossen statt
stealth) hält? dies ist nämlich das einzige programm das bei
mir läuft das eventuell verbindungen annimmt.
ja, wenn Dein ICQ eine Verbindung aufbaut, ist dieser Port für andere Verbindungsversuche geschlossen. Ob ein Port für ein Programm/eine Verbindung offen sein kann und für andere stealth, weiß ich nicht.
kann icq vielleicht auch für einen offenen port verantwortlich
sein, der ab und zu bei den test auftaucht (immer nur ein
port, aber immer verschiedene portnummern)?
ja, ICQ macht, wenn ich mich richtig erinnere, durchaus auch mehrere Verbindungen auf (eine war zu icq.com und eine zu AOL, oder wer auch immer ICQ/Mirabilis gekauft hat).
Du kannst das auch relativ einfach überprüfen: Rechner neu starten, ohne daß ein Programm eine Internetverbindung aufbaut. Dann netstat (im DOS-Fenster) laufen lassen. Hilfe zu netstat gibt´s mit netstat -?. Dann ICQ öffnen und nochmals netstat ausführen. Dann siehst Du die Änderungen.
Ähhhh, sag mal … wozu braucht jemand mit ICQ noch ne
Firewall??? ICQ iss doch eh alles, was ein Hacker braucht, um
sich auf deinem Rechner wohl zu fühlen!
Ich sag das jetzt mal so provokativ, um mich eines besseren
belehren zu lassen, oder eben nicht!
Gruß
Benky ;o)
hi !
ich lass mich gerne eines besseren belehren, aber soweit ich weiss ist das einzige (bekannte) sicherheitsrisiko bei icq, das anderen deine ip-adresse bekannt wird, aber daraus resultierende attacken wehrt ja die firewall ab.
ich glaube nicht das die neue version (2000c oder so) irgendwelche dateien freigibt o.Ä., wenn ihr mehr wisst lasst es mich wissen.
kann es sein, das icq diese ports sichtbar (geschlossen statt
stealth) hält? dies ist nämlich das einzige programm das bei
mir läuft das eventuell verbindungen annimmt.
kann icq vielleicht auch für einen offenen port verantwortlich
sein, der ab und zu bei den test auftaucht (immer nur ein
port, aber immer verschiedene portnummern)?
Hallo Markus!
Mal eine kleine Anmerkung zum Unterschied zwischen „close“ und „stealth“:
Nach spezifikationsgerechter Implementierung von TCP/IP liefert ein geschlossener Port auf eine Anfrage eine Rückmeldung - nämlich, daß dieser Port geschlossen ist. Diese Meldung alleine zeigt „lediglich“, daß ein Rechner vorhanden, der Port jedoch nicht in Betrieb ist. Tatsächlich konnte keine Verbindung aufgebaut werden.
„Versackt“ die Anfrage einfach ohne jede Rückmeldung, stellt sie genaugenommen einen Verstoß gegen das TCP/IP Protokoll dar. Personal Firewalls wie auch professionelle Systeme besitzen jedoch die Fähigkeit, einen Rechner quasi „unsichtbar“ zu machen, indem sie unerwünschte Anfragen einfach schlucken. Der Port befindet sich dann in einem häufig als „stealth“ bezeichneten Zustand. Dies ist wie gesagt jedoch kein „legaler“ Zustand eines TCP-Ports.
Was die Ports >1024 angeht, so kannst Du den Inbound Traffic nicht einschränken und sie schon gar nicht durch die Firewall schließen, ohne die Funktionstüchtigkeit Deiner Internetverbindung zu beeinflussen.
Professionelle Firewall-Systeme ermöglichen den Aufbau sogenannter Transaction-Slots. Die Idee: Das ausgehende Paket wird auf Zieladresse, Zielport und Quellport untersucht. Daten werden von außen nur dann an den Quellport weitergeleitet, wenn diese von der zuvor angefragten IP sowie dem entsprechenden Port stammen.
Leider benötigen einige Protokolle eine gesonderte Behandlung (z.B. FTP sowie viele MultiMedia-Protokolle), da für Inbound- und Outbound-Traffic unterschiedliche Port-Kombinationen verwendet werden können.
Eine Personal Firewall mit einer Unterstützung für Transaction-Slots ist mir leider nicht bekannt. Falls jemand eine solche Firewall kennt (gerne auch für Linux), freue ich mich auf einen Hinweis!