Jump to content

Recommended Posts

Bei der Kommunikation beim Portscan von GRC ShieldsUP läuft alles über das TCP-Protokoll ab. Deshalb werden auch keine ICMP-Pakete "Port Unreachable" abgesetzt, das wäre nur bei UDP der Fall. Bei TCP werden für solche Meldungen die sogenannten TCP-Flags verwendet.

 

Bei geschlossenen Ports wird die Antwort gesendet, dass das zwar ein Paket empfangen (Acknowledge, kurz ACK) eine Verbindung aber abgelehnt wurde (Reset, kurz RST). Bei stealthed Ports hat der Portscanner keine Antwort erhalten, möglicherweise da das Paket durch die Firewall still verworfen wurde.

 

Ich habe den Eindruck, dass es bei Version 8.0.0.320 etwas besser geworden ist, allerdings verstehe ich noch nicht so ganz, warum einige Ports stealthed sind und einige nur geschlossen:

 

post-7141-1207311892_thumb.jpg

Share this post


Link to post
Bei der Kommunikation beim Portscan von GRC ShieldsUP läuft alles über das TCP-Protokoll ab. Deshalb werden auch keine ICMP-Pakete "Port Unreachable" abgesetzt, das wäre nur bei UDP der Fall. Bei TCP werden für solche Meldungen die sogenannten TCP-Flags verwendet.

 

Bei geschlossenen Ports wird die Antwort gesendet, dass das zwar ein Paket empfangen (Acknowledge, kurz ACK) eine Verbindung aber abgelehnt wurde (Reset, kurz RST). Bei stealthed Ports hat der Portscanner keine Antwort erhalten, möglicherweise da das Paket durch die Firewall still verworfen wurde.

 

Ich habe den Eindruck, dass es bei Version 8.0.0.320 etwas besser geworden ist, allerdings verstehe ich noch nicht so ganz, warum einige Ports stealthed sind und einige nur geschlossen:

 

post-7141-1207311892_thumb.jpg

Danke, wieder was gelernt.

Aber das ist genau der Punkt: Eben diese Mischung aus Stealthed und geschlossen dürfte es theoretisch nicht geben. Entweder, oder. Und offene Ports, die in der FW nicht explizit für eingehende Verbindungen freigegeben sind, dürften für den Scanner nicht als offen identifizierbar sein.

Bei port-scan.de kann man auch UDP testen und da werden mir alle getesteten Ports als gefiltert, also stealthed, angezeigt. Allerdings sollen UDP-Tests keine eindeutige Aussage zulassen, ob ein nicht antwortender Port offen oder gefiltert ist. So steht es jedenfalls bei WIKI.

Share this post


Link to post

So, jetzt habe ich alle erdenklichen Variationen für die Installation der 320 durchgespielt. Auf einem Image, das nichts von Kaspersky "wußte" kam dann das

Problem mit dem Schlüssel Fehler. Ich weiß immer noch nicht wie und wo man einen Key herkriegt :icon20:

Ich habe die version für versierte User mit den permanenten Abfragen dann irgendwann verlassen, die Müglichkeit für den einfachen User packte mein Sytem so

sicher ein, daß nichts mehr ging. Mein Netzwerkadapter erschien auch nicht mehr.

 

Also wider zur 316 zurück (was würde ich nur ohne die ACRONIS-SicherheitsCD in der leicht geöffneten CD-Schublade mach)

Letzter Versuch Deinstallation und nicht nur den Schlüssel sondern auch die Sicherjeits einstelleungen behalten.Das ist allerdings ziem,ich daneben gegangen:

post-32986-1207335071_thumb.png

 

KIS startete nicht, mußte per Hand aufgerufen werden. Einziger Vorteil ich komme problemlos ins Internert :b_lol1:

 

Jetzt wede ich mal die Dinge da hinschieben wo sie hingehören bevor ich einen Neustart mache.

 

Karina

 

Es wäre nett, wenn mir jeman genau erklären kannwie ich den Betaschlüssel in einen key umwandle. Ich habe jetzt schon so viel Zeit mt dieser 320 "vertan"

Ich möcte sehen wie sich die Version auf dem KISfernen Image verhält

 

 

 

 

Share this post


Link to post
... Allerdings sollen UDP-Tests keine eindeutige Aussage zulassen, ob ein nicht antwortender Port offen oder gefiltert ist. So steht es jedenfalls bei WIKI ...

 

Was sich mit den "FAQ's" zum Heise-Portscan deckt (Warum gibt es keinen UDP-Scan?)

 

@ JanRei

 

wenn ich das jetzt richtig verstehe, dann "verschluckt" KIS während des Portscans den letzten Schritt der Synchronisation (ACK) es folgt ein RST (Verbindungsfehler) was generell zu einem "Stealthed" Ergebnis führt. Läuft die Synchronisation bis zum Ende des "Handshakes" durch (letztes ACK Client ---> Server wird gesendet) dann gilt der Port als "closed".

 

Wenn dem so ist, dann müsste man doch ergebnisabhängig soundsoviele ACK's ("Closed" = blau) und soundsoviele RST's ("Stealthed" = grün) mit z.B. "WireShark" während eines Portscans zählen können oder? :blink:

Edited by TwinBit

Share this post


Link to post
Es wäre nett, wenn mir jeman genau erklären kannwie ich den Betaschlüssel in einen key umwandle. Ich habe jetzt schon so viel Zeit mt dieser 320 "vertan"

 

Hallo karina,

ganz einfach wie bei den 7-er Versionen auch: Hier (ohne Kundennummer, ohne Passwort).

Gruß Schulte

Share this post


Link to post
Hallo karina,

ganz einfach wie bei den 7-er Versionen auch: Hier (ohne Kundennummer, ohne Passwort).

Gruß Schulte

 

Hi Schulte.

Danke, habe es heute morgen im ausgeschlafenen Zustand gefunden.

 

Die 320 ist schon installiert, läuft hervoragend, keine Probleme. Ich frage mich allerdings wieso svchost.exe in untrustet landet.

Diese Version läuft wesentlich schneller und besser als die 316.

 

Karina

 

Share this post


Link to post
Ich frage mich allerdings wieso svchost.exe in untrustet landet.

Also wenns nach mir geht landet alles von MS in "Untrusted" :b_lol1: Leider wird das System dann unbrauchbar. Aber ich denke mal, da sollten wir im .320-Thread weitermachen.

Gruß Schulte

Share this post


Link to post
wenn ich das jetzt richtig verstehe, dann "verschluckt" KIS während des Portscans den letzten Schritt der Synchronisation (ACK) es folgt ein RST (Verbindungsfehler) was generell zu einem "Stealthed" Ergebnis führt. Läuft die Synchronisation bis zum Ende des "Handshakes" durch (letztes ACK Client ---> Server wird gesendet) dann gilt der Port als "closed".

 

Wenn dem so ist, dann müsste man doch ergebnisabhängig soundsoviele ACK's ("Closed" = blau) und soundsoviele RST's ("Stealthed" = grün) mit z.B. "WireShark" während eines Portscans zählen können oder? :blink:

Nach meinen Beobachtungen sendet der Portscan eine Verbindungsaufforderung (TCP-Paket mit Syncronization-Flag, kurz SYN) an den zu testenden Computer. Sendet der Computer nun ein RST zurück (ACK und RST werden anscheinend zusammen in einem Paket gesendet) ist der Port closed. Sendet er hingegen gar nichts zurück, ist der Port stealthed.

Wenn ich den Netzwerkverkehr mit Wireshark beobachte, scheinen dort bei den stealthed Ports noch nicht einmal die SYN-Pakete aufzutauchen. Vermutlich wurden sie durch KIS blockiert, allerdings mit Sicherheit kann ich das nicht sagen.

 

@karina/Schulte:

svchost.exe sollte nicht in die Untrusted-Gruppe kommen. Du könntest vielleicht mal nach schauen, was KIS dazu in den Anwendungseigenschaften schreibt.

P.S. Alle Microsoft-Programme als Untrusted einzustufen, halte ich nicht wirklich für sinnvoll - auch nicht vom Sicherheitsstandpunkt aus. ;)

Share this post


Link to post

Hi JanRei,

war ja auch nur im Spaß gemeint.

Bei KIS .320 wurde irgendwas in der Datenbank geändert, so daß svchost.exe (von WIN2K) wohl nicht mehr erkannt wird.

 

Ich stell mal einen Screenshot in den .320 Thread.

Gruß Schulte

Share this post


Link to post
@karina/Schulte:

svchost.exe sollte nicht in die Untrusted-Gruppe kommen. Du könntest vielleicht mal nach schauen, was KIS dazu in den Anwendungseigenschaften schreibt.

P.S. Alle Microsoft-Programme als Untrusted einzustufen, halte ich nicht wirklich für sinnvoll - auch nicht vom Sicherheitsstandpunkt aus. ;)

 

Hallo JanRei,

 

die Bemerkung von Schulte das gesamte Windows in untrusted zu schmeissen, war doch ein Scherz.

 

Installiert habe ich die 320 im Modus USER

 

Mir fällt auf, daß bei den drei Beispielen, die ich jetzt anfüge, immer eine Datenbank nicht vorhanden ist.

 

post-32986-1207394925_thumb.png

 

post-32986-1207395005_thumb.png

 

 

Karina

 

post-32986-1207395067_thumb.png

Edited by karina

Share this post


Link to post

Hi,

svchost und kis sieht bei mir genauso aus, die Anderen habe ich nicht.

Aber post-77769-1207395517_thumb.jpg taucht fast überall auf.

Edited by Schulte

Share this post


Link to post
Hallo JanRei,

 

die Bemerkung von Schulte das gesamte Windows in untrusted zu schmeissen, war doch ein Scherz.

 

Installiert habe ich die 320 im Modus USER

 

Mir fällt auf, daß bei den drei Beispielen, die ich jetzt anfüge, immer eine Datenbank nicht vorhanden ist.

 

post-32986-1207394925_thumb.png

 

post-32986-1207395005_thumb.png

Karina

 

 

das Winpoet hat da nichts zu suchen, war mir reingerutscht-

Share this post


Link to post

Keine Sorge, dass der Vorschlag von Schulte nicht ganz ernst gemeint war, hatte ich schon verstanden (habe gedacht, dass würde der ;)-Smiley bereits andeuten). Sorry, falls ich mich ungünstig ausgedrückt habe. :)

 

Die Probleme mit den falschen Einstufungen kann ich bestätigen. Die Systemdateien von Windows Vista sind meist von Microsoft digital signiert, was bei Windows 2000 wohl nicht üblich ist. Deshalb wäre es hier besonders wichtig, dass sie korrekt mit Hilfe der HIPS-Datenbank einsortiert werden.

Allerdings behauptet KIS unter Windows 2000 beispielsweise auch, dass avp.exe keine digitale Signatur hat, was aber nicht stimmt. Auf meinem virtuellen Testsystem werde ich Windows 2000 als Ergebnis mit Nachfragen geradezu eingedeckt, da es die Systemanwendungen bis auf wenige Ausnahmen es maximal bis in der "Low Restricted"-Gruppe schaffen.

Share this post


Link to post
Die Probleme mit den falschen Einstufungen kann ich bestätigen. Die Systemdateien von Windows Vista sind meist von Microsoft digital signiert, was bei Windows 2000 wohl nicht üblich ist. Deshalb wäre es hier besonders wichtig, dass sie korrekt mit Hilfe der HIPS-Datenbank einsortiert werden.

Allerdings behauptet KIS unter Windows 2000 beispielsweise auch, dass avp.exe keine digitale Signatur hat, was aber nicht stimmt. Auf meinem virtuellen Testsystem werde ich Windows 2000 als Ergebnis mit Nachfragen geradezu eingedeckt, da es die Systemanwendungen bis auf wenige Ausnahmen es maximal bis in der "Low Restricted"-Gruppe schaffen.

 

Hi JanRei, Hi karina

habe es gerade im englischen Forum gemeldet, ich hoffe mal die begreifen was ich sagen wollte.

 

In der .320 scheint zumindest unter win2k etwas mit der HIPS-Datenbank nicht zu funktionieren. Darum auch die endlosen Abfragen. Generell scheint überhaupt kein Programm vertrauenswürdig zu sein.

Gruß Schulte

 

P.S. JanRei, habe ich vergessen zu sagen: Dieses Verhalten taucht jetzt bei der .320 zum ersten Mal auf, bei den Vorversionen war noch alles in Ordnung. Und wenn ich mich nicht saumäßig täusche, war da auch immer eine digitale Signatur.

Edited by Schulte

Share this post


Link to post

Ich denke schon, dass sie das verstehen werden - deinen Bericht habe ich gerade noch mal im Bugthread bestätigt.

 

Einen Vergleich zu den bisherigen Versionen habe ich leider nicht, da ich normalerweise nicht unter Windows 2000 arbeite/teste. Ein ausschließliches Windows-2000-Problem scheint es aber nicht zu sein, denn wenn ich Dateien von Windows 2000 auf mein Windows-Vista-System kopiere, erkennt sie KIS auch nicht.

Hm, hatten Dateien wie svchost.exe laut vorigen KIS-Version eine digitale Signatur? Wenn ich mir die Eigenschaften der Dateien in Windows selbst ansehe, wird mir dort auch keine Signatur angezeigt.

Share this post


Link to post

Habe mich gerade an einen alten Screenshot von V .314 erinnert, betraf Matrox-Driver. Sah damals so aus:

post-77769-1207411545_thumb.jpg

Möchte zwar nicht behaupten, daß das damals richtig war, aber in der .320 sieht es so aus:

post-77769-1207411607_thumb.jpg

Irgendetwas hat sich da zwischen den Versionen geändert.

 

Hm, hatten Dateien wie svchost.exe laut vorigen KIS-Version eine digitale Signatur? Wenn ich mir die Eigenschaften der Dateien in Windows selbst ansehe, wird mir dort auch keine Signatur angezeigt.

Bei mir auch nicht, aber für KIS war scheinbar immer eine vorhanden.

Edited by Schulte

Share this post


Link to post

Hi,

irgendwas funktioniert nicht. Habe mir gerade mal die Firefox3Beta5 angeschaut:

post-77769-1207414219_thumb.jpg

KIS .320 erkennt unter w2k keine digitalen Signaturen, wie bereits von karina und JanRei festgestellt ja noch nicht mal die eigene.

Edited by Schulte

Share this post


Link to post
Hi,

irgendwas funktioniert nicht. Habe mir gerade mal die Firefox3Beta5 angeschaut:

post-77769-1207414219_thumb.jpg

KIS .320 erkennt unter w2k keine digitalen Signaturen, wie bereits von karina und JanRei festgestellt ja noch nicht mal die eigene.

 

Hi Schulte,

 

als Beweis, daß es nicht W2K ist, sondern die Version 320, habe ich aus der Version 316 die drei schon gezeigten Beispiele raus geholt.

 

post-32986-1207422496_thumb.png

 

post-32986-1207422548_thumb.png

 

post-32986-1207422619_thumb.png

 

Karina

Edited by karina

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.