Jump to content
undoreal

Internet Security Firewall

Recommended Posts

Fall 1: Keine Chance, da ist jemand, der hat seine Ports im Griff und wahrscheinlich keine offen.

Fall 2: Da probiere ich es weiter, der hat keine Ahnung, wie der seine Ports in den Griff bekommt, da geht bestimmt was.

Ich hab mal bei GRC die ersten 1056 Ports von meinen Router getestet, ohne FW, also auch ohne Windows FW.

Da waren alle Ports geschlossen, bis auf den Port 135, der war Stealth.

Ist das jetzt ein ernsthaftes Sicherheitsrisiko? :ai:

 

MfG

Share this post


Link to post

Also, ich komm' da nich' ganz mit... :ireful3:

 

Sollte KIS8 sowieso nicht spezielle Regeln (nur surfen, spielen, u.a.) bekommen? Dann kann der Stealth-Modus doch bleiben. Ist doch gut, wenn KIS mittdenkt und Anwendern, die konservativ z.B. nur surfen wollen (ohne piepapo) Einstellungen abnimmt und den PC abschottet. Soll ja User geben, die wollen alles selbst konfigurieren und wissen nicht was sie tun...

 

Bender

 

Share this post


Link to post
Sie denken fast alle - das Böse kommt nur vom Hacker. Ok, denken Sie weiter so...

Ich höre nie Konkretes.

 

Ich hab mal bei GRC die ersten 1056 Ports von meinen Router getestet, ohne FW, also auch ohne Windows FW.

Da waren alle Ports geschlossen, bis auf den Port 135, der war Stealth.

Ist das jetzt ein ernsthaftes Sicherheitsrisiko? :ai:

Mmh, wir wollen hier schon KIS testen und nicht den Router. Viele haben ja auch keinen (wobei das nun wirklich gut angelegtes Geld wäre, wenn ich bedenke, für welchen Gimmick-Plunder es sonst teilweise so ausgegeben wird). :rolleyes:

Share this post


Link to post
Also, ich komm' da nich' ganz mit... :ireful3:

Sollte KIS8 sowieso nicht spezielle Regeln (nur surfen, spielen, u.a.) bekommen?

Nein, solche speziellen Modi wird es nicht geben. Aber die Firewall arbeitet nach einem äußerst anwenderfreundlichen Prinzip, das den User entlastet und viele der bisherigen Probleme gar nicht mehr entstehen lassen wird.

 

Dann kann der Stealth-Modus doch bleiben. Ist doch gut, wenn KIS mittdenkt und Anwendern, die konservativ z.B. nur surfen wollen (ohne piepapo) Einstellungen abnimmt und den PC abschottet. Soll ja User geben, die wollen alles selbst konfigurieren und wissen nicht was sie tun...

Genau das, nämlich abschotten, tut der Stealthmodus eben nicht. Er vermittelt lediglich eine Scheinsicherheit, kann aber nicht verhindern, dass ein Computer angegriffen wird, nur weil man ihm eine Tarnkappe aufsetzt. Es mag sein, dass "unsichtbare" Rechner vielleicht statistisch seltener gescannt werden, als andere (wenn man den Aussagen in Wikipedia glauben kann), aber sie werden nicht unverletzbar.

 

Und der Stealthmodus hat auch eine weniger schöne Medaillenseite. Er verletzt Netzwerkstandards, was zu Funktionsstörungen führen kann. Diese Standards sehen "stumme" Clients nicht vor, sondern setzen voraus, dass bestimmte, für eine reibungslose Kommunikation wichtigen Informationen auch gegeben werden. Kein Stealthmodus bedeutet also auch weniger Fehlerquellen.

Edited by redbull21

Share this post


Link to post
Ich höre nie Konkretes.

..

 

Sie können auch denken, oder?

Stealth kann Ihre Identität verstecken, aber ein Antwort vom IP-Adresse - reicht Ihre IP feststellen/ermitteln usw...

 

Also, ich höre auf... wenn jemand seine Daten überall veröffentlichen will - Bitteschön!

Ich schreibe hier nicht mehr... diskutieren Sie weiter über Marketing.

Edited by User_kis

Share this post


Link to post

Hallo bender.

 

Dann kann der Stealth-Modus doch bleiben. Ist doch gut, wenn KIS mittdenkt und Anwendern, die konservativ z.B. nur surfen wollen (ohne piepapo) Einstellungen abnimmt und den PC abschottet.
Da ist natürlich vollkommen richtig aber dafür braucht es keinen Stealth Modus. Kilauea hat das finde ich sehr gut erklärt aber ich kanns ja auch noch mal versuchen..

 

Der Stealth Modus macht den Rechner NICHT unsichtbar!!! Das ist ein weit verbreitete Irrglaube.

 

Ein Portsan auf einen "gestealthten" Computer würde dann nicht ergeben:

->Alle Ports geschlossen (vergiss es hier kommst du nicht rein) sondern

->Alle Ports von einer Firewall versteckt (probier doch mal an dieser vorbei zu kommen)

 

Wenn ein Port gestealtht ist dann heisst das nicht, dass der Port auch geschlossen ist!

 

 

@ User Kis: Ich würde ganz gerne mal erfahren warum du meinst der Stealth Modus würde das Surfen sicherer machen... Und bitte schreib nicht wieder was von "dem großen Bösen.." DarthVader ist tot.. :)

 

imho macht der Stealth Modus den Rechner in keinster Weise sicherer!!

 

Er kann das Surfen, Saugen und Zocken umständlich und kompliziert machen. Außerdem gibt er Informationen nach außen hin preis (hier wird eine IS benutzt) und ist bei evtl. Sicherheitstests eine Gefahr weil offene Ports nicht mehr gemeldet werden!

 

 

[EDIT]

Stealth kann Ihre Identität verstecken, aber ein Antwort vom IP-Adresse - reicht Ihre IP feststellen/ermitteln usw...
? Hä?

Wenn deine IP angepingt wird dann hat der Angreifer diese doch schon..

Edited by undoreal

Share this post


Link to post
Sie können auch denken, oder?

Stealth kann Ihre Identität verstecken, aber ein Antwort vom IP-Adresse - reicht Ihre IP feststellen/ermitteln usw...

 

Also, ich höre auf... wenn jemand seine Daten überall veröffentlichen will - Bitteschön!

Ich schreibe hier nicht mehr... diskutieren Sie weiter über Marketing.

1. Bitte anderen Ton anschlagen, oder hier besser nicht mehr posten.

2. Seit wann kann Stealth die Ermittlung der IP-Adresse verhindern? Wow, das zeugt von wirklichem Sachverstand. <_<

Share this post


Link to post

Also so etwas naives wie user_kis habe ich ja noch selten erlebt. Welche schlimme Erfahrung hast du denn gemacht das du so felsenfest davon überzeugt bist das NUR stealth dich schützt? hast du dir mal die mühe gemacht die verschiedenen links zu lesen wo der unsinn von stealth und das FALSCHE in SICHERHEIT wiegen mal erklärt wird?

Glaubst du im ernst im stealth modus sieht man deine IP adresse nicht??? sorry das ich lache.

 

Nur mal so nebenbei. du sagst immer nur "viel kann passieren" und so weiter ober etwas genaues oder konkretes kannst du nicht sagen. und das beispiel mit der IP war ja wohl n schlechter witz.

 

so hart es ist aber nun mal die WAHRHEIT: Wenn du stealth bist ist das für einen hacker oder angreifer wesentlich INTERESSANTER denn dann hast du was zu verbergen denk der sich. denn: er sieht deinen port nicht er merkt nur er kommt nicht durch. und das macht DICH interessant und die angriffe nehmen zu, was du irgendwann auch mal an deiner performance merkst.

Wenn ein hacker oder angreifer hingegen den port sieht, dieser also sichtbar ist aber SICHTBAR CLOSED also geschlossen, weiss der angreifer hier ist zu und nichts zu holen und er geht weiter.

 

stealth ist nicht sicherer sondern zieht nur die aufermerksamkeit auf dich da du dich verstecken tust. und nochmal extra für dich stealth ist NICHT SICHERER als einfach closed und sichtbar. Aber ich glaube das wirst du nie verstehn!

 

So das war nun mal ein praktisches beispiel meiner seits GEGEN stealth und dessen unsinn. nun mal von DIR bitte ein beispiel was stealth für nen nutzen haben soll ausser das es die performance schwächen kann und dich viel interessanter bei hackern und angreifern macht als ein sichtbar geschlossener port

 

gruss chris

 

PS sorry für den Ton!!! aber wenn ich sowas lese und eine solche uneinsichtigkeit lese werd ich rasend

Edited by Chris123

Share this post


Link to post
Sie können auch denken, oder?

Stealth kann Ihre Identität verstecken, aber ein Antwort vom IP-Adresse - reicht Ihre IP feststellen/ermitteln usw...

 

Also, ich höre auf... wenn jemand seine Daten überall veröffentlichen will - Bitteschön!

Ich schreibe hier nicht mehr... diskutieren Sie weiter über Marketing.

 

Hallo User_kis,

 

du scheinst da etwas gründlich misszuverstehen: Ein Stealth Modus tut eigentlich nichts anderes als auf einen PING oder TRACERROUTE Befehl nicht zu antworten.

 

Der Stealth Modus hat nicht das geringste mit dem Verstecken von Identitäten oder IP-Adressen zu tun. Ganz ehrlich :)

 

Gruß

thorstenn

 

Share this post


Link to post

Danke für die Erklärungen!

 

Daß das der Wunsch vieler ist, die Internet-Konnektivität nicht unnütz einzuschränken, ist verständlich.

Daß der User mittels Stealth (wenn er es denn will) attraktiver wird, kann ich so nicht nachvollziehen (es sei denn es hier kommt das Argument, daß der Hacker immer hinter jede weitere Tür gelangen will, soll er, tut er mglw. auch!).

Mir kommt das auch so vor wie: Schaut her Hacker, was ich für supi geschlossene Ports habe! Wer noch bitte? (so i.S. Stopschild bzw. Imageverstärker). Der Hacker schließt womöglich auf die port-relevanten Anwendungen und kann dann bei best. Anfälligkeiten gleich mal was nachschieben... Ich denke mal, daß es nicht darum gehen sollte, daß der Stealth-Modus nicht sicher ist oder nicht, sondern es dem User überlassen bleiben sollte für sich zu entscheiden, mehr nicht.

 

Ironie an:

Und noch eins will ich anmerken: Da aus meiner Sicht ja nicht festgestellt ist, daß nach dem Portscan KIS nicht weiter schützt, kann man diesen Modus doch ruhig weiter nutzen (so i.S. Ätsch, Hacker, wieder nichts!!!). Funktioniert bei mir prima (KIS6).

Ironie aus:

 

Grüße, Bender

Share this post


Link to post
Der Hacker schließt womöglich auf die port-relevanten Anwendungen und kann dann bei best. Anfälligkeiten gleich mal was nachschieben...
Ich glaube du verstehst da was falsch...

 

Jeder Rechner hat immer die gleiche Anzahl an Ports! Und auch nochmal: Ein versteckter Port ist nicht unsichtbar! Es werden also durch den "Stealth"-Modus keine Informationen zurückgehalten! Es wird sogar noch eine Information mehr an den Angreifer herausgegeben als ohne den Modus. Nämlich, dass auf dem Rechner eine IS verwendet wird..

 

sondern es dem User überlassen bleiben sollte für sich zu entscheiden
a) ist das ein zusätzlicher, unnötiger Entwicklungsaufwand

B) läuft das Produkt wesentlich instabiler

c) wird das Surfen komplizierter (und wir haben wirklich schon genug Probleme zu lösen)

Edited by undoreal

Share this post


Link to post

hi, undoreal!

 

Laufen nicht die verschiedensten Anwendungen auf best. Standard-Ports? (Korrigiere mich, bitte. ;) )

 

Daß, Features, die vorher beworben wurden, wegfallen sollen, ist manchmal schwer einzusehen, doch wenn die Kunden es wollen... Und daß es zu Internet-Problemen geführt hat, da haben doch alle IS-Firmen (auch Kasp.) nicht unwesentlich Anteil dran, nicht die User die's nutzen. Ihr gebt euch wirklich Mühe und der Stealth-Modus hat euch im Forum doch sicherlich nicht Probleme in der Größenordnung bereitet, oder?

 

Grüße, Bender

Share this post


Link to post
Laufen nicht die verschiedensten Anwendungen auf best. Standard-Ports? (Korrigiere mich, bitte. wink.gif )
Das ist zwar richtig, bedeutet aber nicht, dass ein Port erst dann besteht wenn ein Programm ihn nutzt.

 

Die Ports sind alle immer vorhanden und sollten geschlossen sein.

 

Wenn dann ein Programm installiert wird dann wird für diese Programm ein bstimmter Port geöffnet. Für ICQ wäre das zum Beispiel Port 5190.

 

Und daß es zu Internet-Problemen geführt hat, da haben doch alle IS-Firmen (auch Kasp.) nicht unwesentlich Anteil dran, nicht die User die's nutzen.
Ja eben drumm wird der Stalth Modus ja nun standardmäßig nicht mehr mit eingebaut.

Share this post


Link to post
Daß, Features, die vorher beworben wurden, wegfallen sollen, ist manchmal schwer einzusehen, doch wenn die Kunden es wollen... Und daß es zu Internet-Problemen geführt hat, da haben doch alle IS-Firmen (auch Kasp.) nicht unwesentlich Anteil dran, nicht die User die's nutzen. Ihr gebt euch wirklich Mühe und der Stealth-Modus hat euch im Forum doch sicherlich nicht Probleme in der Größenordnung bereitet, oder?

Soweit ich auf der HP gesehen habe, benutzt Kaspersky den Stealthmodus aktuell gar nicht als Werbeargument. Ob es mal so war, weiß ich nicht mehr.

 

Mir fallen auf Anhieb viele eigentlich unnötige Anfragen unerfahrener User ein, in denen das Deaktivieren des Stealthmodus das Problem löste. Man denke nur an die Nutzung von FTP-Servern oder Filesharing wie Emule ("Hilfe, warum bekomme ich keine hohe ID?"). Auch bei bestimmten Online-Games war er schon die Ursache für Störungen.

Share this post


Link to post

2 undoreal:

Eben das meine ich: Sind alle Ports in KIS geschlossen, wenn für sie AH-Regeln existieren? Wenn diese 'closed' antworten, kann man doch auf die Anwendung schließen, nicht? Und wenn diese erkannt ist, so bietet das doch auch einen Angriffspunkt, oder?

Wenn KIS 'nicht existent' antwortet, ist der Rückschluß m.E. nicht so einfach möglich.

 

2 red:

Habe gerade mal meine alte KIS6 Retail-Packung aus dem Schrank geholt:

Schutz vor Hackern: "Über den Stealth-Modus wird auch das unerkannte Surfen im Internet ermöglicht." :P

 

Aber wie gesagt, ich bin kein Freund davon, Hackern freiwillig zu sagen, womit ich arbeite.

 

Großen Respekt an euch Helfer, die anderen (auch bei wiederholten/banalen) Fragen helfen und nicht die Lust verlieren!!! :ay:

 

Bin ja mal gespannt, wie das mit dem Stealth-Modus (auch bei den anderen) weitergeht und ob die Gemeinde das honoriert...

 

Grüße, Bender

Share this post


Link to post
Wenn diese 'closed' antworten, kann man doch auf die Anwendung schließen, nicht? Und wenn diese erkannt ist, so bietet das doch auch einen Angriffspunkt, oder?

 

Nein - du kannst nur darauf schließen, dass die Ports geschlossen sind.

Dies könnte geschehen:

- Durch Konfiguration in Windows (z.b. bestimmte Dienste nicht gestartet/deaktiviert/auf manuell)

- Durch eine Hardware Firewall im Router

- Durch eine Software Firewall

 

Es gibt also keinerlei Rückschlüsse im Sinne von: Der hat bestimmt Software-Firewall "XY" und da gibt es ja Lücke Z, die ich nutzen kann...

 

Share this post


Link to post
2 undoreal:

Eben das meine ich: Sind alle Ports in KIS geschlossen, wenn für sie AH-Regeln existieren? Wenn diese 'closed' antworten, kann man doch auf die Anwendung schließen, nicht? Und wenn diese erkannt ist, so bietet das doch auch einen Angriffspunkt, oder?

Wenn KIS 'nicht existent' antwortet, ist der Rückschluß m.E. nicht so einfach möglich.

Oh, oh, großes Verständnisproblem.

 

Firewallregeln öffnen und schließen keine Ports. Ports sind normalerweise geschlossen und damit von außen nicht zugänglich (auch nicht mit Hackermitteln). Hinter einen geschlossenen Port kann keiner schauen, also auch nicht erfahren, auf welche Anwendung er darüber Zugriff hätte. Angreifbar bzw. als Eingangstor nutzbar sind nur offene Ports. Ein Port ist dann offen, wenn eine Anwendung das Betriebssystem veranlasst, ihn zu öffnen, damit sie über ihn kommunizieren kann. Ist die Kommunikation beendet, wird der Port wieder geschlossen (sollte jedenfalls). Serverdienste halten Ports permanent offen, weil sie für Clients, die deren Dienste in Anspruch nehmen möchten, von außen ansprechbar sein müssen. Deshalb sind Serverdienste auch besonders gefährdet.

 

Ein offener Port an sich ist noch nicht das Problem. Wenn die auf dem Port kommunizierende Anwendung sicher und nicht kompromittierbar ist, stellt auch ein offener Port keine Gefahr dar. Diese entsteht erst, wenn der Hacker die Anwendung so manipulieren kann, dass sie nicht mehr das tut, was sie soll, sondern das, was er will.

Oder die Anwendung ist an sich schon böse (z. B. Trojaner) und wurde durch Email-Anhänge oder manipulierten Code in das System gebracht. Dann sperrt sie dem Hacker sozusagen von innen die Tür (den Port) auf (deswegen auch "Trojanisches Pferd").

 

Solche bösen Anwendungen sollten durch den AV-Schutz an ihrer Bauart (Signatur) frühzeitig erkannt werden, oder durch den Proaktiven Schutz auch an ihrem Verhalten, wenn sie tätig werden möchten. Wenn diese beiden Komponenten absolut verlässlich arbeiten würden, bräuchte man eigentlich gar keine Firewall. (Das war übrigens auch die Grundüberlegung, weshalb man in KIS 8 vertrauenswürdigen Anwendungen jeglichen Netzwerkverkehr pauschal erlaubt, was vielerlei Probleme beseitigt. Der Proaktive Schutz erkennt es, wenn eine vertrauenswürdige Anwendung manipuliert wurde).

 

Die Firewall sorgt eigentlich nur dafür, dass Anwendungen nur innerhalb der für sie erlaubten Grenzen kommunizieren dürfen (also nur über bestimmte Ports oder nur mit bestimmten Adressen usw.). Will eine manipulierte Anwendung außerhalb dieser Grenzen kommunizieren, wird die Firewall das blockieren. Bleibt sie jedoch innerhalb der Grenzen, wird die FW es trotzdem zulassen. Eine FW allein ist also nur die halbe Miete.

Außerdem sorgt die FW mittels Paketregeln dafür, dass bestimmte Arten von Datenpaketen generell, also anwendungsunabhängig, erlaubt oder blockiert werden, und das in beide Richtungen. Eingehende Datenpakete, die nicht erwartet werden, also nicht durch eine vorangegangene, ausgehende Anfrage initiiert sind, werden verworfen (das macht z. B. auch der Router).

 

Eine korrekt arbeitende und konfigurierte FW bietet also sehr guten (wenn auch nicht unüberwindlichen) Schutz, der sich durch den Stealth-Modus nicht mehr wirklich steigern lässt.

Ein als geschlossen gemeldeter Port ist auch ohne FW für jeden Hacker uninteressant, da unüberwindbar.

Ein als offen gemeldeter, aber FW-geschützter Port ist zumindest ein schwieriges Hindernis.

Das Ausbleiben einer Antwort auf die Frage, ob ein Port geschlossen oder offen ist, ist dagegen kein Hindernis, denn ein Schuss ins Blaue, der auf einen offenen Port trifft, erreicht dennoch sein Ziel. Der Stealthmodus kann nur eine klare Antwort verschleiern, aber absolut nichts abwehren. Das kann nur die Filterung der FW und ihr Angriffserkennungssystem (IDS) in Zusammenarbeit mit dem Proaktiven Schutz als Instanz davor oder dahinter, je nach Verbindungsrichtung.

 

Also wo ist der materielle Sicherheitsgewinn durch den Stealthmodus? Ich sehe ihn nicht.

 

... und ob die Gemeinde das honoriert...

das allerdings macht mir Bedenken. Ich befürchte, wir werden da zu gegebener Zeit einiges an Überzeugungsarbeit leisten müssen. (Man sieht's ja jetzt schon, hihi.)

Edited by redbull21

Share this post


Link to post

Red, du solltest den Text kopieren - man kann ja nie wissen. :rolleyes:

Edited by Jowi

Share this post


Link to post
Sind alle Ports in KIS geschlossen, wenn für sie AH-Regeln existieren? Wenn diese 'closed' antworten, kann man doch auf die Anwendung schließen, nicht?

 

Die Firewall sorgt eigentlich nur dafür, dass Anwendungen nur innerhalb der für sie erlaubten Grenzen kommunizieren dürfen (also z.B. nur über bestimmte Ports...). Will eine manipulierte Anwendung innerhalb der Grenzen kommunizieren, wird die FW es trotzdem zulassen. Eine FW allein ist also nur die halbe Miete.

 

Das hatte ich gemeint. Definierte Anwendung mit definiertem Port darf inn. gewisser Grenzen kommunizieren. Wenn Meldung: 'closed', mgl. Rückschluß auf Anwendung. Unterschieben von Malware... Aber, wie du sagst, gibt's zum Glück ja noch IDS, Contentfilter und für schwierige Fälle Proaktiven Schutz. Dieses sinnige Zusammenspiel hatte ich außer Acht gelassen (steht doch im Handbuch). :pardon: Schlimm nur für die ohne...

 

Ein als geschlossen gemeldeter Port ist auch ohne FW für jeden Hacker uninteressant, da unüberwindbar. Ein als offen gemeldeter, aber FW-geschützter Port ist zumindest ein schwieriges Hindernis.

 

Sollte KIS8 also nach außen alle Ports 'closed' melden (ausgenommen aktive Kommunikationsprogramme), ok, dann habt ihr mich überzeugt, auf Stealth zu verzichten... :pray:

 

Grüße, Bender

Edited by bender

Share this post


Link to post

Ich dank dir "Firewallexperte" :rolleyes: redbull für die ausführliche Erklärung. War doch einiges mir unbekanntes dabei - und nun habe ich wieder was gelernt.

 

Eine Frage/Ein Missverständnis bezüglich der Firewall in KIS 8 hätte ich aber noch

 

Die Firewall sorgt eigentlich nur dafür, dass Anwendungen nur innerhalb der für sie erlaubten Grenzen kommunizieren dürfen (also nur über bestimmte Ports oder nur mit bestimmten Adressen usw.). Will eine manipulierte Anwendung außerhalb dieser Grenzen kommunizieren, wird die Firewall das blockieren. Bleibt sie jedoch innerhalb der Grenzen, wird die FW es trotzdem zulassen.

 

Dieses Prinzip ist mir klar und entspricht auch den konfigurierten Regeln im Trainingsmodus der v7 wo immer je Anwendung bestimmte Ports und IPs abgefragt wurden und nur die erlaubten geduldet. So konnte man die meisten Anwendungen über benutzerdefinierte Regeln enorm einschränken und musste nur im Extremfall auf "jede Netzweraktivität erlauben" gehen oder z.B. "Port 80"komplett freigeben.

 

In V8 werden nun zumindest in der Standardkonfiguration (ohne das "fragen" explizit bei der vertrauenswürdigen Gruppe von Benutzer verlangt wird) allen als vertrauenswürdig eingestuften Anwendungen umfangreichere Netzwerkrechte eingeräumt (eingeschränkt durch bestimmte allgemeine Paketregeln).

 

Abgesichert wird das Ganze v.a. über den proaktiven Schutz, so dass diese Anwendungen mitsamt ihrer Rechte nicht von anderen missbraucht werden können.

 

Nur:

Was ist nun wenn dieser versagt?

Oder wenn man eine Anwendung selbst aus Versehen als vertrauenswürdig einstuft (weil sie es z.B. zum Teil auch ist) aber es nicht merkt, dass sie durchaus unangenehme Nebeneffekte hat (z.B. in dem sie Daten sendet, Spyware nachlädt etc.).

Sie bekommt durch die Einstufung als vertrauenswürdig gleichzeitig umfangreiche Netzrechte.

 

In V7 konnte man an den Firewallabfragen zumindest tendenziell erkennen, dass hier diesmal ein scheinbar ungewöhlicher Port / oder eine vorher nicht dagewesene IP angesprochen werden sollte. Nur in V8 dürfte das bei den Firewalleinstellungen nicht auffallen.

Share this post


Link to post
Das hatte ich gemeint. Definierte Anwendung mit definiertem Port darf inn. gewisser Grenzen kommunizieren. Wenn Meldung: 'closed', mgl. Rückschluß auf Anwendung.
Du hast es immer noch nicht so ganz erfasst Bender... :)

 

Wenn ein Bot einen Portscan macht so bekommt er im optimal Fall von JEDEM Port eine "closed" Antwort! Nicht nur von denen die irgendwie von Anwendungen definiert sind oder...

 

Wie also soll eine "closed"-Meldung Rückschlüsse auf eine Anwendung geben?

Edited by undoreal

Share this post


Link to post

Vllt. kann ich's noch etwas deutlicher machen:

 

Der Scan auf GRC ist ein ganz klassischer Portscan so wie ihn jeder Schädling auch machen würde. Ich hab' jetzt nur den kleinen gemacht aber das gilt für einen Vollscan genauso.

@bender: nicht alle dieser Ports werden von einer Anwendung benötigt, tauchen aber natürlich trotzdem ganz normal auf!

 

Folgendes Ergebnis bekomme ich wenn Kis mit Stealth-Modus läuft:

----------------------------------------------------------------------

 

GRC Port Authority Report created on UTC: 2008-04-27 at 22:28:54

 

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,

119, 135, 139, 143, 389, 443, 445,

1002, 1024-1030, 1720, 5000

 

0 Ports Open

0 Ports Closed

26 Ports Stealth

---------------------

26 Ports Tested

 

ALL PORTS tested were found to be: STEALTH.

Da versteckt sich kein Port ^^ sind alle 26 da! Ob da nun stealth steht oder nicht. Der Angreifer weiss, dass dort ein Port ist der evtl. sogar offen sein könnte. Also schickt er systematisch an alle Ports Angriffe und testet systematisch ob dort was zu holen ist..

 

Nun der Scan mit Kis ohne Stealth-Mode:

----------------------------------------------------------------------

 

GRC Port Authority Report created on UTC: 2008-04-27 at 22:28:54

 

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,

119, 135, 139, 143, 389, 443, 445,

1002, 1024-1030, 1720, 5000

 

0 Ports Open

26 Ports Closed

0 Ports Stealth

---------------------

26 Ports Tested

 

ALL PORTS tested were found to be: CLOSED.

Ein Angreifer würde nun also zur nächsten IP übergehen da hier absolut nichts zu holen ist.

 

Und nun das Ganze komplett ohne Kis! Schutz deaktiviert, Kis komplett geschlossen!

----------------------------------------------------------------------

 

GRC Port Authority Report created on UTC: 2008-04-27 at 22:28:54

 

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,

119, 135, 139, 143, 389, 443, 445,

1002, 1024-1030, 1720, 5000

 

0 Ports Open

26 Ports Closed

0 Ports Stealth

---------------------

26 Ports Tested

 

ALL PORTS tested were found to be: CLOSED.

Oh Wunder. Auch ohne Kis nichts zu holen. Ein aktuelles System hinter einem Router ist unangreifbar solange der User keinen Blödsinn macht. Das muss endlich mal in die Köpfe vieler User gehämmert werden. :) Edited by undoreal

Share this post


Link to post

Wirklich sehr anschaulich, undoreal! Ich finde das auch toll, vielen Dank (auch für das einhämmern :b_lol1: )! Hätte auch so im Handbuch stehen können.

 

Das Wunder ist mir von AVM auch bekannt, denn du hast einen PC hinter einem Router gescannt. Wie sieht's denn bei einem Modemzugang aus (mit Lappi)??? Probier das mal bitte aus, andere sind sicher auch gespannt, wie man sieht. Und nebenbei bemerkt, trägt das auch zu weniger Bauchschmerzen der User bei...

 

Grüße, Bender

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.