Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Wie aussagekräftig sind "Online-Portscanns"???

Brandon_KN am 05.09.2002, 00:00 / 5 Antworten / Baumansicht

Hallo zusammen,

ich habe in meinem privaten, kleinen Heimnetzwerk einen Proxy-Server (Jana-Proxy als Dienst auf W2k). Zusätzlich läuft ein Virenscanner (Norton AntiVirus 2002) und die PF ZoneAlarm in der neuesten Version.

Nach einem Portscann, den ich über einen Onlineanbieter (ich meine diese "Sicherheitsseiten" die anbieten einen mal zu checken -ich hoffe ihr wisst was ich meine) hab machen lassen zeigt ZA 160 abgewehrte Scannversuche an und das Ergebnis dieses Scanns ist, dass alle gescannten Ports im "Stealth"-Modus sind.

Das hört sich ja nicht so schlecht an. Meine Frage ist aber die, wie aussagekräftig ist den dieses Ergebnis überhaupt?

Dass ein Hacker bei mir eindringen kann und dass eine PF nicht der "Stein der Weisen" ist, ist mir auch klar. Für ein Heimnetz mit 3 Rechnern ist das mir aber genug Schutz. Ich will nur wissen ob man das Ergebnis in diesem privaten Rahmen mal so gelten lassen kann, oder ob das alles nur Augenwischerei ist.

Vielen Dank für eure Meinung,

Gruz Brandon

P.S.: Bitte keine Diskussion über PFs oder deren (Nicht-)Schutz. Die gibt es hier wirklich schon genug, Danke!

    
        -IRON- Brandon_KN „Wie aussagekräftig sind "Online-Portscanns"???“
      
        05.09.2002, 00:00 Optionen
      
          Stealth ist Quatsch. Das einzige, was du damit erreichst: Die Gegenseite - ob nun Script-Kiddie, Filesharing-Client oder sonstwas, hört nicht damit auf, dich anzuquatschen, weil sie keine Antwort(also auch keine abschlägige) bekommt, was einmal Traffic verursacht, deine Firewall zu Höchstleistungen und dich in den Wahnsinn treibt.
        
         Wer Trolle toleriert, toleriert Lügen.
      
             bei Antwort benachrichtigen
        
        Brandon_KN -IRON- „Stealth ist Quatsch. Das einzige, was du damit erreichst: Die Gegenseite - ob...“
      
        05.09.2002, 00:00 Optionen
      
          O.k., das heißt also wenn ich jetzt die Meldung mit "closed" bekommen hätte, wäre es besser gewesen, oder? Stealth bietet somit "mehr" Angriffsfläche als closed?

          Aber wenn die ganzen Ports zu sind, dann kann ja garnichts mehr rein bzw. rauß. Also wäre (nach meinem Wissen) das Beste, wenn auf meinem Proxy die Ports offen sind ich brauche (FTP, HTTP, SMTP, POP3) und die anderen alle geschlossen sind?

          Ich dachte immer, dass Ports im Stealth-Modus (wenn alle unsichtbar sind) eigentlich nichts anderes für einen Angreifer bedeuten, als dass da kein Rechner vorhanden ist. Sehe ich keine Ports, bekomme ich keine Antwort, dann ist da auch nichts. Täusche ich mich da?

          Weiterhin Danke für alle Antworten

          Brandon
        
         Es gibt keine dummen Fragen, nur dumme Antworten!!!
      
             bei Antwort benachrichtigen
        
        Klaus_T Brandon_KN „O.k., das heißt also wenn ich jetzt die Meldung mit closed bekommen hätte,...“
      
        05.09.2002, 00:00 Optionen
      
          Weder Stealth noch closed bieten eine Angriffsflaeche: Stealth verwirft einkommende Pakete und closed antwortet, das kein Dienst auf diesem Port lauscht. Wenn kein Dienst da ist, kann man auch nichts angreifen.

          Wenn du keine Dienste anbietest, sollten alle Ports bei dir closed sein. Dann kuemmert sich dein Stack darum, Anfragen zu beantworten. Und eine Antwort muss immer kommen. Entweder von deinem Rechner oder eben von dem letzten Router. Kommt keine Antwort (stealth), weiss ein Angreifer, dass ein Pc da ist, aber nicht antwortet.

          Genau aus diesem Grund sind PF's einfach Unsinn. Wenn du keine Dienste anbietest, kann auch niemand etwas ausnutzen. Wenn du Dienste anbietest, gehoeren die in die DMZ (Demilitarisierte Zone) und eine Firewall davor.

          Zu deiner urspruenglichen Frage:

          Portscanns von irgendwelchen obscuren Seiten sind Quatsch. Meistens laeuft da ein einfacher Scanner, der tcp oder udp Pakete verschickt und dann nachschaut, ob dein Rechner antwortet, mehr nicht. Manchmal wird noch nicht einmal das gemacht, sondern es wird angezeigt, dass dein Rechner offen ist und schnellstens eine Firewall installieren sollst. Vergesse den Dreck einfach.

          Uebrigens, das stimmt natuerlich nicht, dass nichts mehr rein oder raus kann, wenn alle Ports geschlossen sind. Wenn dein Rechner eine Webseite betrachten will, oeffnet er einen Port, schickt eine Anfrage an den Server und dieser antwortet dann deinem Rechner auf den geoffneten Port. So ist es auch, wenn du Mail verschickst oder abholst. Port 25 (smtp) oder 110 (pop) muessen nur offen sein, wenn du einen eigeneb Mailserver oder Popserver hast.

          Bye, Klaus
        
             bei Antwort benachrichtigen
        
        Brandon_KN Nachtrag zu: „Wie aussagekräftig sind "Online-Portscanns"???“
      
        05.09.2002, 00:00 Optionen
      
          Hi Klaus,

          vielen Dank für Deine präzise uns umfangreiche Antwort. Hat mich gefreut, dass jemand das so erklären kann.

          Gruz Brandon
        
         Es gibt keine dummen Fragen, nur dumme Antworten!!!
      
             bei Antwort benachrichtigen
        
        Heinz_Malcher Brandon_KN „Wie aussagekräftig sind "Online-Portscanns"???“
      
        06.09.2002, 00:00 Optionen
      
          Um die frage kurz zu beantworten: Wenn du eine Privatmaschine hast, installiere dir Tiny Firewall, schliesse alles was du nicht benötigst und du brauchst dir keine gedanken machen, generell kann dir nichts gefährlich werden, wenn du keine Jobs oder Dienste auf deinem PC laufen lässt. Da ich das aber teilweise tue, empfehle ich eben die FW, allein aus dem grund dass sich M$ ständig versucht irgendwo zu connecten, das will ich kontrollieren und verbieten
        
             bei Antwort benachrichtigen