Viren, Spyware, Datenschutz 11.242 Themen, 94.691 Beiträge

Verfolgung starten Optionen

Ports?

GarfTermy / 21 Antworten / Flachansicht Nickles

...also beschäftigen wir uns doch mal damit etwas näher und sammeln textschnipsel...











http://www.firewallinfo.de/index.php?option=displaypage&Itemid=88&op=page&SubMenu=


 


Ports

 
Wenn Firewalls und insbesondere Home-Firewalls konfiguriert werden, kommt immer auch die Frage nach Ports auf und wie Ports gezielt geschlossen oder von der Nutzung ausgeschlossen werden können. Was aber hat es mit den Ports nun auf sich:

Um das grundsätzliche Netz-Modell verstehen zu lernen, bietet sich zunächst die Lektüre des OSI-Schichtenmodells an, für das wir Ihnen bereits einen allgemein verständlichen Artikel geschrieben haben:


Das OSI-Schichtenmodell


Einen weiteren hilfreichen Artikel finden Sie in den Erklärungen zu TCP/IP von Guido Ehlert:


Das TCP/IP Protokoll


Ports und ihre Bedeutung


Grundsätzlich stehen einem PC 65535 Ports zur Verfügung, die in drei Bereiche unterteilt sind:



  • Die Ports von 0 bis 1023 sind die so genannten "Well Known Ports" oder System-Ports
  • Die Ports von 1024 bis 49151 sind registrierte Ports
  • Die Ports von 49151 bis 65535 sind die dynamischen und/oder privaten Ports, die frei verfügbar sind
  • Die System-Ports von 0 bis 1023 sind fest definiert und werden für TCP [RFC793] und UDP [RFC768] von der IANA verwaltet.

Bekannte System-Ports sind unter anderem:























































Dienst Port Transportprotokoll
ping (Echo Service) 7 TCP/UDP
FTP Data Channel 20 TCP
FTP Control Channel 21 TCP
Telnet 23 TCP
SMTP 25 TCP
DNS 53 TCP
TFTP 69 UDP
GOPHER 70 TCP
HTTP (WWW) 80 TCP
POP3 110 TCP
MNTP (news) 119 TCP
SNMP 161 UDP

Ports können in der Regel nicht gezielt deaktiviert werden, es sei denn, die entsprechenden Dienste im Betriebssystem werden deaktiviert. Dienste gezielt deaktivieren sollten nur erfahrene Anwender, da eine falsche Deaktivierung unter Umständen zu einem funktionsuntüchtigen System führt bzw. Nebenwirkungen hervorruft, die nicht sofort entdeckt werden und mitunter zu seltsamen Erscheinungen beim alltäglichen Betrieb des Systems führen kann.


Eine Anleitung zur gezielten Deaktivierung von Diensten finden Sie bei uns unter:


Dienste unter Windows2000 und XP


Grundsätzlich blockiert ein gutes Home-Firewallsystem oder auch andere Firewallsysteme jeden Port und gibt ihn nur für ausgewählte Dienste und/oder Anwendung gezielt zur Benutzung frei. Aus dem Grund ist die Basis einer Firewall-Konfiguration auch in der Definition von Regeln zu verstehen, die zum Beispiel einer Anwendung oder einem Systemdienst gezielt Verbindungen über einen Port, eine Port-Reihe oder einen Bereich von Ports zulassen.


Das Prinzip der Firewall-Konfiguration wird dann problematisch, wenn zum Aufbau eines eigenen Netzwerks das oft empfohlene ICS (Internet Connection Sharing) des Betriebssystems Windows angewendet wird. ICS lässt kaum eine Trennung zwischen erlaubten und unerlaubten Zugriffen auf freigegebene Ressourcen im LAN zu. Aus dem Grund ist ein ernsthafter Aufbau eines Netzwerks nur mit Proxy-Servern wie zum Beispiel dem JANA-Server zu empfehlen, einem NAT-Router wie zum Beispiel WinRoute oder WinGate oder mit einem Hardware-Router.


was für ports gib´s denn so?


http://www.iana.org/assignments/port-numbers (portliste)


nun noch viel text zu portscanmethoden:


http://www.netzmafia.de/skripten/server/server8.html (...ich zitiere nur ein wenig...)


Nmap


Nmap ist ein äusserst mächtiger Portscanner unter Linux und Windows. Er wurde entwickelt, um Systemadministratoren eine Möglichkeit zu bieten, Netzwerke zu analysieren, festzustellen, welche Hosts aktiv sind und welche Dienste sie anbieten. Portscanner prüfen IP-Komponenten auf geöffnete oder geschlossene TCP/UDP-Ports. Mit Hilfe von unterschiedlichen Analysen können Rückschlüsse auf das untersuchte Betriebsystem und die eingestellten Paketfilterregeln gezogen werden. Die FIN-Analyse verschickt TCP-Pakete an die Zieladresse, um zu testen, ob ein Port aktiv ist, aber nicht auf einen Verbindungsaufbau (angezeigt durch ein SYN-Paket) reagiert. Ein Stealth-Scan führt keinen kompletten Verbindungsaufbau durch, so dass die Kommunikation nicht in Logdateien vermerkt wird. Pingscans überprüfen die Aktivität in Netzen und geben dem User einen Überblick über die Anzahl der eingesetzten Hosts.
Nmap unterstützt viele Abtastverfahren:



  • UDP- und TCP Connects
  • TCP SYN-Scans
  • FTP-Proxy (Bounce-Attacks)
  • Reverse-Ident
  • ICMP-Scans (Ping-Schleife)
  • FIN-Scans
  • ACK Schleifen (Antwortpakete)
  • Weihnachtsbaum
  • SYN-Schleifen
  • Null-Scan

Zudem kann Nmap Remote-OS-Abfragen über einen TCP/IP Fingerabdruck, Stealth-Scans, dynamische Verzögerung und Übertragungsberechnungen, Parallel-Scans, Abfragen von inaktiven Hosts über parallele Pings, Portfilter-Identifikation, RPC-Scans, Scans auf fragmentierte Pakets sowie Ziel- und Port-Scans durchführen. Das Resultat der Scans ist immer eine Auflistung von interessanten Ports, die für Einbrüche benutzt werden können. Nmap gibt dabei stets die Portzahl und den Namen des Services an. Der Zustand des Ports wird mit "geöffnet", "gefiltert" oder "ungefiltert" angegeben. "Offen" heißt dabei, der Port kann beliebig angesprochen werden. "Gefiltert" heißt, ein Firewall verhindert den Zugriff auf den angepeilten Port. "Ungefiltert" heißt, ein Firewall ist am Ziel-Host zwar installiert, blockiert aber den Zugriff auf den angepeilten Port nicht. Abhängig von den verwendeten Parametern können das benutzte Betriebssystem, die TCP-Sequenz, angemeldete Benutzer, der DNS-Namen und einige andere Informationen ermittelt werden.


Der kostenlose Port-Scanner unterstützt beispielsweise:


  • -sT TCP connect port scan (default)
  • -sS TCP SYN stealth port scan
  • -sU UDP port scan
  • -sP Ping Scan
  • -sF, -sX, -sN Stealth FIN, XMAS, Null scan
  • -O use TCP/IP fingerprint to guess remote os
  • -p ports to scan
  • -P0 don't ping hosts

Beispiel für einen nmap-Scan:
nmap -sS -O -p 1-65535 IP -oN Ausgabe.on -oM Ausgabe.om


Bezugsquelle:


  • http://www.insecure.org/nmap/

  • http://www.eeye.com/html/Research/Tools/nmapNT.html (Windows Version)

    Die Installation erfolgt nach Standard-Schema: 

    gzip -cd nmap-VERSION.tgz | tar xvf -
    
cd nmap-VERSION
    
./configure
    
make
    
su root
    
make install
    Für Linux gibt es passende RPM-Archive.

    Nmap wird über zahlreichen Kommandozeilenparameter gesteuert. Sind angebene Kombinationen nicht sinnvoll, gibt Nmap eine entsprechende Warnmeldung aus und informiert den Nutzer darüber. Wenn Sie sich nicht sicher sind, können Sie sich die einzelnen Parameter auch anzeigen lassen. Dies geschieht über die Eingabe von: nmap -h.


    Scan-Arten



    • -sT
      Der TCP-Connect-Scan ist der grundlegendste Scan und er wird dazu benutzt, um einen Port zu öffnen. Ein großer Vorteil hierbei ist, dass der Nutzer keine besonderen Privilegien für die Ausführung benötigt, da der TCP-Connect-Scan auf den meisten Unix-Maschinen privileglos ausgeführt werden kann.

    • -sS
      Der TCP-SYN-Scan ist ein halb offener Scan, weil keine vollständige TCP-Verbindung aufgebaut wird. Es wird lediglich ein SYN-Paket (SYN=Synchronisation) geliefert, dass eine Antwort erwartet, um dann eine Verbindung zu öffnen. Ein SYN/ACK (ACK=Empfangsbestätigung) setzt den Port auf "listening", also horchend. Wird ein SYN/ACK empfangen, wird von dort sofort ein RST (zurücksetzen) der Verbindung signalisiert. Auf die Weise erhält der Angreifer eine Bestätigung, dass dieser Port ansprechbar ist. Der Nachteil hierbei ist, dass viele Firewalls diesen Kunstgriff nicht bemerken und entsprechend nicht loggen.

    • -sF -sX -sN
      Stealth FIN (beenden), Xmas tree (weil einige Hardware-Firewalls dabei wie ein Weihnachtsbaum aufleuchten) oder ungültige Null-Scans werden eingesetzt, wenn Firewalls oder Paketfilter explizit auf SYNs achten, die auf überwachte Ports oder Programme treffen. Die Idee dabei ist, dass ein geschlossener Port in jedem Fall mit einem RST (zurücksetzen der Verbindung) reagiert, während ein offener Port das Paket ignorieren muss (RFC 793 pp 64). Der Vorteil liegt hier eindeutig bei NT-Maschinen, da Microsoft diesen Standard völlig ignoriert.

    • -sP
      Die Ping-Abtastung ermöglicht es zu ermitteln, welche Hosts in einem Netzwerk ansprechbar sind. Nmap sendet dazu einfach ein ICMP-Echo und wartet auf eine Antwort. Erfolgt die Antwort als Block-Echo-Paket, so kann alternativ auch ein TCP-ACK (Empfangsbestätigung) gesendet werden. Erfolgt ein RST (zurücksetzen), ist der angepingte Host ansprechbar.

    • -sU
      Der UDP Scan ist eine gute Methode, um zu ermitteln, welche UDP-Ports an der betroffenen Maschine offen sind (User Datagram Protocol, RFC 768). Gesendet wird dabei ein 0 Byte UDP-Paket. Erfolgt eine ICMP-Meldung (Destination unreachable), ist der Port geschlossen. Anderenfalls ist davon auszugehen, der Port ist geöffnet. Einige Leute sind übrigens der Ansicht, Scans von UDP-Ports sind sinnlos, weil sie keine Gefahr darstellen. Solaris zum Beispiel besitzt jedoch ein bekanntes Sicherheitsloch, bei dem rcpbind über einen undokumentierten UDP-Port oberhalb von 32770 entdeckt und genutzt werden. So macht es nichts, wenn Port 111 vom Firewall blockiert wird, der Angreifer kann trotzdem über den UDP-Port darauf zugreifen.
      Nach einem Vorschlag in RFC 1812 (Abschnitt 4,3,2,8) wurde die Anzeigerate der "Destination unreachable" zwar verlangsamt (z.B. im Linux-Kernel bei 80 pro Sekunde und bei Solaris sogar nur bei 2 pro Sekunde), allerdings ist nmap dann in der Lage, die Rate zu ermitteln und bremst den Scan dann entsprechend ab, statt das Netz mit ungültigen Pakets zu überschwemmen, die durch die Zielmaschine ignoriert werden. So zeigt sich allerdings an der Zielmaschine ein scheinbar normaler Datenverkehr, der von unachtsamen Administratoren falsch interpretiert werden könnte.
      Microsoft übrigens hat, wie so oft, die Empfehlung ignoriert und entsprechend keine Begrenzung der Rate im System von Windows integriert. Es können also in schnellst möglicher Geschwindigkeit sämtliche Ports gescannt werden.

    • -sA
      Der ACK-Scan (ACK=Emfpangsbestätigung) ist eine gute Methode zum Test von Rulesets (Filterregeln) am eingesetzten Firewall. Auf die Weise lässt sich ermitteln, ob ein Firewall sicher ist oder ob es nur ein einfacher Paketfilter ist, der ankommende SYN-Pakets blockiert. Es wird hierzu von nmap ein ACK-Paket mit einer zufälligen Sequenzzahl abgeschickt, um zu ermitteln, ob und wie die Ports spezifiziert sind. Erfolgt als Antwort ein RST (zurücksetzen), ist der Port ungefiltert. Erfolgt keine Antwort oder ein ICMP "Destination unreachable", ist der Port gefiltert.

    • -sW
      Der Fenster-Scan ist ein erweiterter Scan, der dem ACK-Scan sehr ähnlich ist, aber im Gegensatz zum ACK-Scan auch offene Ports ermitteln kann. Der Scan nutzt dazu eine Sicherheitslücke in diversen Systemen wie AIX, Amiga, BeOS, BSDI, Cray, Tru64 Unix, DG7ux, OpenVMS, Digital Unix, FreeBSD, OpenStep, QNX, Rhapsody, SunOS 4.x, Ultrix, VAX und VxWorks.

    • -sR
      Der RPC-Scan arbeitet mit verschiedenen Portscan-Methoden von nmap. Er ermittelt alle offenen Ports und überschwemmt sie mit SunRPC-NULL-Befehlen, um zu ermitteln, ob es RPC-Ports sind und welches System mit welcher Versionsnummer sich dahinter verbirgt.

    • -b
      Die FTP-Bounce-Attacke nutzt eine Eigenschaft des FTP-Protokolls, dass Unterstützung auch für Proxy-FTP-Ports besitzt. Mit anderen Worten heißt das, wenn es gelingt, von evil.com auf den FTP-Server von target.com zuzugreifen, können von dort aus Daten überall hin ins Netz verschickt werden. Als das RFC 1985 geschrieben wurde, dachte noch niemand an diese Möglichkeit. Im heutigen Internet kann dieser Protokollfehler aber dazu genutzt werden, eine bestehende FTP-Verbindung zu "hijacken" und von dort aus Daten überall ins Internet zu versenden.


    Allgemeine Optionen



    • -PT
      Mit einem TCP Ping können erreichbare Maschinen ermittelt werden, auch wenn ein Firewall ICMP Pings oder Echos blockiert werden. Hierzu verwendet diese Scan-Methode ein TCP-Paket mit ACK (Empfangsbestätigung). Ist die Zielmaschine ansprechbar, antwortet sie mit einem RST (zurücksetzen). In der Regel wird hierzu der Port 80 benutzt, da er nur sehr selten von Firewalls gefiltert wird.

    • -PS
      Diese Option sendet SYN-Pakets, also eine Aufforderung zum Verbindungsaufbau, statt eines Pakets mit ACK (Empfangsbestätigung). Hier antwortet der Zielrechner mit einem RST (zurücksetzen) und es wird klar, der Rechner ist vorhanden und ansprechbar.

    • -PI
      Die PI-Option sendet einfach nur Pings und hofft auf Server, die ansprechbar sind und im eigenen Netz auch nach Broadcast-Adressen suchen. Dies sind IP-Adressen, die von außen erreichbar sind und Broadcasts (es wird kein festes Ziel definiert sondern an alle im Netz befindlichen Rechner gesendet) bei ankommenden IP-Paketen absenden. Sollte dies der Fall sein, sollte das Loch schnell beseitigt werden, denn der PI-Scan kann eine erste Vorbereitung zu einer Denial of Service Attacke sein. Genauer gesagt, zu einem Smurf-Angriff.

    • -PB
      Diese Option stellt den Default-Ping dar. Er verwendet sowohl ACK- wie auch ICMP Pakets parallel. Auf diese Weise können Firewalls überwunden werden, die nur eins von beiden filtern.

    • -O
      Diese Option aktiviert die Identifikation des Zielrechners über einen TCP/IP-Fingerabdruck. Sie benutzt dazu eine Reihe von Techniken, die die notwendigen Informationen aus dem Netzwerk-Stack des Zielrechners ziehen und diese Informationen dann mit denen in einer Datenbank mit bekannten OS-Fingerabdrücken vergleichen.

    • -I
      Mit der Option I lässt sich die TCP-Rückkennungs-Abtastung aktivieren. Aufgrund eines Bugs im Kennzeichnungsprotokoll (RFC 1413) erfolgt über das Protokoll die Freigabe des Usernamens, der jedem Prozess angefügt ist, der eine TCP-Verbindung aufgemacht hat.

    • -f
      Die Option f verursacht die benötigten SYN- FIN oder NULL Pakets zur Nutzung von fragmentierten IP-Pakets. Die Idee hierbei ist, die TCP-Header auf mehrere kleine Pakete zu verteilen, um sie schwerer sichtbar zu machen. Einige Firewalls haben und Intrusion-Detection-Systeme haben in der Tat Probleme mit der Erkennung fragmentierter Pakets.

    • -oN
      Mit der Option -oN können die Scan-Ergebnisse in eine Datei geschrieben werden.

    • -p
      Mit der Option -p lassen sich Folgen von zu scannenden Ports oder einen Bereich von zu scannenden Ports angeben.

    • -D
      Die Option -D ist besonders gerissen, denn mit Hilfe dieser Option können weitere Maschinen als Lockvögel eingesetzt werden, die alle den gleichen Zielrechner scannen. Auch wenn an der Zielmaschine die Abtastversuche registriert werden, kann in der Regel keine Zuordnung erfolgen, von wo aus der Scanversuch startete.

    • -S
      Mit der Option -S können gesendete Pakets gespooft, also mit einer falschen Absender IP-Adresse versehen werden. Auch wenn die Schutzsysteme des Zielrechners Scans registrieren, können Sie ihn nicht zum Ursprung zurückverfolgen.

    • -g
      Die Option -g setzt einen Quellport in die verschickten Pakets. Viele naive Firewalls und Paketfilter bilden eine Ausnahme in ihren Filterregeln, erlauben DNS (53) und FTP-Data ( 20) Pakets und akzeptieren eine Verbindung. Dieser Umstand führt die Sicherheit ad absurdum, denn Angreifer markieren den Zugriff als DNS oder FTP und verändern darunter ihren Quellport.

    • -r
      Diese Option gibt nmap die Anweisung, bis zu 2048 zufällige Maschinen für einen Scan zu benutzen, um die Sicherungssystem der eigentlichen Zielmaschine zu verwirren. Besonders dann, wenn diese Option mit anderen Optionen zum Verlangsamen des Timings der Scans kombiniert wird.

    • -m
      Mit der Option -m (max sockets) lässt sich die Höchstzahl der Sockets einstellen, die parallel benutzt werden. Diese Option wird gerne dazu benutzt, um die Scans langsamer zu machen und zu verhindern, dass die Zielrechner abstürzen.

...hoffentlich hattet ihr spass beim lesen.


;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
nachtrag... GarfTermy
nachtrag... xafford
nachtrag... Tyrfing
nachtrag... Teletom
nachtrag... Tyrfing
nachtrag... Teletom
Tyrfing Teletom „nachtrag...“
Optionen

Drei Fragen:
Was für Theorien meinst du noch gleich und wo habe ich etwas von "Portscans aufspüren" geschrieben?
Warum sollte der Privatuser ihn überhaupt feststellen wollen?
Hast du nicht eben noch geschrieben "Ansonsten dauern Portscans nach wie vor für das wirkliche Leben viel zu lange." ?

bei Antwort benachrichtigen
nachtrag... Teletom
It's a Teletom *narf* Tyrfing
Zeitüberschreitung der Anforderung Olaf19
Zeitüberschreitung der Anforderung Tyrfing
blau ist rot und plus ist minus Teletom
blau ist rot und plus ist minus Tyrfing
blau ist rot und plus ist minus Teletom
Überall die schwarzen Portscan-Männer... Tyrfing
Überall die schwarzen Portscan-Männer... Teletom
Überall die schwarzen Portscan-Männer... Tyrfing
Zeitüberschreitung der Anforderung Gurus
Zeitüberschreitung der Anforderung Teletom
Ta-Daaa! Olaf19
...dto. dann lies es doch einfach mehrfach. GarfTermy