Hallo!
Dieses Thema passt sowohl für firewall als auch für linux - ich hab’ es halt mal da reingeschrieben.
Um über einen alten Rechner ins Internet (ADSL) zu kommen und diesen als router verwenden zu können, habe ich nach Angaben dieses Forums (danke für deine Geduld Klemens) die Suse 8.0 firewall aktiviert. Soweit so gut - denn es funktioniert prächtig. Ich kann mich von einem anderen Internetzugang aus mit Supercan 3.0 nicht scannen – d.h. selbst wenn ich die IP Adresse eingebe ist da nix - als ob ich nicht online wäre. Wenn ich aber einen Test über http://scan.sygate.com/probe.html mache und dort den stealth scan ausführe sind alle ports bis auf 80 und 113 blocked diese beiden aber nur closed – also kann Sygate diese ports ansprechen.
Frage: wieso kann ich die Ports mit einem portscanner nicht einmal sehen und Sygate sagt mir sie sind „nur“ closed. Verwende ich einen falschen scanner oder scanne ich nicht richtig? Ist die firewall also nur eine trügerische Sicherheit?
Bruno
suse 8.0 firewall
Forumsregeln
Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
7 Beiträge
• Seite 1 von 1
RE: suse 8.0 firewall
von Gerhard » Do 03 Okt, 2002 13:04
Ich hab es spaßhalber einmal ausprobiert. Folgender Text ist unter "Additional Informations" bei einem "closed" Port zu finden:
"This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities."
Übersetzt: Dein Rechner liefert eine Fehlermeldung, daß eine Verbindung zu diesem Port nicht möglich ist (aus welchem Grund auch immer). (Im Gegensatz dazu bedeutet ein "blocked" Port, daß dein Rechner auf die Anfrage nicht einmal mit einer Fehlermeldung reagiert, also nach außen hin nicht einmal sichtbar ist.)
Die obige Meldung deutet weiters an, daß es unter der Voraussetzung eines Programmierfehlers in den TCP/IP-Routinen des Betriebsystems möglich wäre, mit einem entsprechend präparierten Datenpaket Schaden anzurichten (Absturz, etc.).
Die Meldung sagt aber nichts darüber aus, ob dein Betriebsystem für so etwas anfällig ist.
Schöne Grüße,
Gerhard
"This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities."
Übersetzt: Dein Rechner liefert eine Fehlermeldung, daß eine Verbindung zu diesem Port nicht möglich ist (aus welchem Grund auch immer). (Im Gegensatz dazu bedeutet ein "blocked" Port, daß dein Rechner auf die Anfrage nicht einmal mit einer Fehlermeldung reagiert, also nach außen hin nicht einmal sichtbar ist.)
Die obige Meldung deutet weiters an, daß es unter der Voraussetzung eines Programmierfehlers in den TCP/IP-Routinen des Betriebsystems möglich wäre, mit einem entsprechend präparierten Datenpaket Schaden anzurichten (Absturz, etc.).
Die Meldung sagt aber nichts darüber aus, ob dein Betriebsystem für so etwas anfällig ist.
Schöne Grüße,
Gerhard
- Gerhard
RE: suse 8.0 firewall
von Gerhard » Do 03 Okt, 2002 13:20
Ups, jetzt habe ich eigentlich auf keine einzige Frage geantwortet...
> Verwende ich einen falschen scanner oder scanne ich nicht richtig?
Entweder ist der Portscanner nicht sonderlich gut, oder Sybase hat die falsche Adresse gescannt. Gemäß den Angaben auf deren Homepage kann das vorkommen, wenn über einen Proxy zugegriffen wird; dann wird der Proxy gescannt. Ich glaube das zwar weniger, aber überprüfe einmal die auf der Homepage angezeigte Adresse mit der Adresse deiner Firewall.
> Ist die firewall also nur eine trügerische Sicherheit?
Je nachdem, wie paranoid du bist. Solange niemand einen Bug im TCP/IP-Protokollstack von Linux findet und du keinen Webserver betreibst (das ist Port 80; wozu Port 113 dient, weiß ich nicht, aber sowas läßt sich herausfinden), ist deine Firewall ausreichend sicher.
Wenn du darauf Wert legst, für die Außenwelt völlig unsichtbar zu sein (abgesehn von jenen Verbindungen, die du selbst nach außen aufbaust), solltest du diese beiden Ports auch noch schließen.
Hoffe, diesmal eine etwas sinnvollere Antwort gegeben zu haben,
Gerhard
> Verwende ich einen falschen scanner oder scanne ich nicht richtig?
Entweder ist der Portscanner nicht sonderlich gut, oder Sybase hat die falsche Adresse gescannt. Gemäß den Angaben auf deren Homepage kann das vorkommen, wenn über einen Proxy zugegriffen wird; dann wird der Proxy gescannt. Ich glaube das zwar weniger, aber überprüfe einmal die auf der Homepage angezeigte Adresse mit der Adresse deiner Firewall.
> Ist die firewall also nur eine trügerische Sicherheit?
Je nachdem, wie paranoid du bist. Solange niemand einen Bug im TCP/IP-Protokollstack von Linux findet und du keinen Webserver betreibst (das ist Port 80; wozu Port 113 dient, weiß ich nicht, aber sowas läßt sich herausfinden), ist deine Firewall ausreichend sicher.
Wenn du darauf Wert legst, für die Außenwelt völlig unsichtbar zu sein (abgesehn von jenen Verbindungen, die du selbst nach außen aufbaust), solltest du diese beiden Ports auch noch schließen.
Hoffe, diesmal eine etwas sinnvollere Antwort gegeben zu haben,
Gerhard
- Gerhard
RE: suse 8.0 firewall
von bruno ristl » Do 03 Okt, 2002 13:45
Hallo Gerhard!
Danke für die schnelle Antwort. Im Prinzip ist mir klar, dass ein Profi so ziemlich alles cracken kann. Ich habe auch keinen blassen Schimmer was jemand wie mit einem sichtbaren port 22, 80, etc. anfangen kann. Ich will eigentlich nur nicht eine leichtfertige Einladung zum Mißbrauch geben.
Bruno
Danke für die schnelle Antwort. Im Prinzip ist mir klar, dass ein Profi so ziemlich alles cracken kann. Ich habe auch keinen blassen Schimmer was jemand wie mit einem sichtbaren port 22, 80, etc. anfangen kann. Ich will eigentlich nur nicht eine leichtfertige Einladung zum Mißbrauch geben.
Bruno
- bruno ristl
RE: suse 8.0 firewall
von Gerhard » Do 03 Okt, 2002 14:33
Du solltest aber trotzdem noch einen ordentlichen Portscan durchführen, da Sybase mit dem "stealth scan" nur die bekanntesten Ports überprüft.
Schöne Grüße,
Gerhard
Schöne Grüße,
Gerhard
- Gerhard
RE: suse 8.0 firewall
von bruno ristl » Do 03 Okt, 2002 14:52
Habe mir LANguard runtergeladen. Da sieht die Sache schon anders aus. LANguard findet im Gegensatz zu Superscan 3.0 port 80, 110, 1080, 8080, weiß wie die Maschine heißt, kennt die workgroup und geht nur fehl bei der MAC Nummer.
Resümee: mieser Scanner (Superscan 3.0) und mal versuchen die offenen ports geschlossen zu bekommen. Firewall_man_lesen!
Resümee: mieser Scanner (Superscan 3.0) und mal versuchen die offenen ports geschlossen zu bekommen. Firewall_man_lesen!
- bruno ristl
RE: suse 8.0 firewall
von Zafer Oezilhan » Sa 19 Okt, 2002 15:13
Hallo Bruno
Ich bin ein Newbie in Sachen Firewall unter Linux.
Normalerweise gehe ich über einen Cisco 1000 ISDN Router ins Internet. Nun wollte ich eine Maschine mit Linux 8.0 und Firewall zwischenschalten. So habe ich in den PC zwei Netzwerkkarten eingebaut. In Yast2 habe ich den einen als eth0 und den anderen als eth1 konfiguriert. Nach der Konfiguration sollte ich ich die Adressen(eth0=internes Netzwerk und eth1=Router und Internet), die hinter jeder Karte sind, pingen können. Aber ich kann nur von eth0 erfolgreich pingen. Wenn ich aber eth0 deaktiviere und von eth1 pinge, geht es.
Im Grunde muß ich es schaffen, daß der PC es beide Netzwerkkarten aktiv benutzt. Keine Ahnung wie das geht.
Kannst du mir da behilflich sein?
Gruß
Zafer
Ich bin ein Newbie in Sachen Firewall unter Linux.
Normalerweise gehe ich über einen Cisco 1000 ISDN Router ins Internet. Nun wollte ich eine Maschine mit Linux 8.0 und Firewall zwischenschalten. So habe ich in den PC zwei Netzwerkkarten eingebaut. In Yast2 habe ich den einen als eth0 und den anderen als eth1 konfiguriert. Nach der Konfiguration sollte ich ich die Adressen(eth0=internes Netzwerk und eth1=Router und Internet), die hinter jeder Karte sind, pingen können. Aber ich kann nur von eth0 erfolgreich pingen. Wenn ich aber eth0 deaktiviere und von eth1 pinge, geht es.
Im Grunde muß ich es schaffen, daß der PC es beide Netzwerkkarten aktiv benutzt. Keine Ahnung wie das geht.
Kannst du mir da behilflich sein?
Gruß
Zafer
- Zafer Oezilhan
7 Beiträge
• Seite 1 von 1
Zurück zu LINUX & UNIX-DERIVATE
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 28 Gäste