TwoCom Online-Forum

[Mossi]

Tach alle zusammen.
Folgendes Problem: Bei einem Kunden wurde ein altgedienter 2300 durch einen 2910G ersetzt.
Bei einem Portscan auf den alten 2300 zeigte dieser an, dass alle Ports dicht (stealth) sind.
Mit dem 2910G habe ich das Problem, dass er bei einem Portscan (zB von grc.com aus, oder auch wo anders) die Ports 0, 1, 21, 22 nur closed (nicht stealth) oder gar als offen anzeigt!
Es sind KEINE Forwardings eingetragen, keine Fernwartung aktiviert (ssh, ftp, etc. ist alles abgeschaltet) oder sonstiges. Der Router müsste also total dicht sein! Ist er aber nicht! Kann das wer bestätigen? Wenn ich zum Test eine Regel erstelle, dass er von reinkommened alles blocken soll, dann sieht es im günstigsten Fall so aus, dass 0, 1, 21 closed, 22 aber grundsätzlich offen ist.
Gefällt mir irgendwie gar nicht.
Jemand eine Idee?
Vigor 2910G mit FW 3.0.4 (.rst von 3.0.2 aus). Ausser VPN ist z.Z. eigentlich alles erst einmal abgeschaltet, incl. dem WLAN.

Das an einem 16k Anschluss zZ nur DL Raten von um 6k erreicht werden (QoS ist deaktivert) ist noch eine andere Sache, aber etwas nebensächlich (auch wenn der 2300er deutlich höhere Raten geliefert hat), da zumindest der viel wichtigere Upstream recht stabil bei 800-900 werkelt. Anway, da noch jemand eine Idee?

Danke!

[Mossi]

Könnte denn nicht mal bitte jemand mit einem 2910 zB von grc.com (Shields Up!) einen Portscan machen und schauen, ob bei ihm auch die Ports offen sind?!
Wäre wirklich super! Danke!

Ich habe nämlich wirklich keine Idee wieso, weshalb oder warum

[Mossi]

Mit Firmware 3.0.5.1 (3.0.6 kam wohl kurz danach raus, muss ich also noch versuchen) sieht es nun wie folgt aus:
Ports 21 + 22 = stealth - die sind also endlich dicht.
Port (0 +) 1 = closed - also das gleiche bild wie vorher

Somit scheint es in meinen Augen def. ein Problem der Firmware zu sein.
Wäre nach wie vor sehr schön, wenn das bitte mal jemand gegenprüfen könnte um mir zu sagen, ob es bei ihm anders oder gleich ist.
Danke!

[Pickwick]

Ports 21 + 22 = stealth - die sind also endlich dicht.

Es gibt keine Stealth-Ports, das ist Murks, den Personal Firewalls eingeführt haben. Wenn du einen Stealth-Port hast, heißt das nur, dass eine Firewall Anfragen auf diesem Port blockt, also gerade mit hoher Wahrscheinlichkeit die dahinter liegenden Ports offen sind. Ergibt bei deiner Kombination ja auch durchaus Sinn: 22 für SSH und 21 für FTP-Control werden wahrscheinlich nur von innen erreichbar, von außen durch eine Firewall blockiert sein.

Port (0 +) 1 = closed - also das gleiche bild wie vorher

Closed ist genau das, was man haben möchte, schließlich heißt das, dass dort niemand willkürlich Pakete einfach nur verwirft, wie das bei Nutzung einer Firewall und "Stealth"-Ports der Fall ist, sondern dass hinter diesem Port keine Dienste lauschen.

Im Übrigen ist Port 0 IP, Port 1 ICMP, das sind grundlegende Netzwerkprotokolle, über die du dir keine Sorgen machen musst. Ohne IP gibts kein Netzwerk, der Port kann also gar nicht "dicht" sein, sonst funktioniert keine Adressierung. Dein Portscanner wird nur Murks programmiert sein, mehr nicht. ICMP ist auch kein Problem, darüber werden nur Statusinfos und dergleichen ausgetauscht.

Deine Angaben verifizieren kann ich leider nicht, weil mein 2910 derzeit noch aufgrund von ISDN-Problemen hinter einem Cisco-Router arbeitet und ich kein Port-Forwarding oder sowas konfiguriert habe.

[Muckel]

----------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2007-05-27 at 19:28:21

Results from scan of ports: 0-1055

0 Ports Open
2 Ports Closed
1054 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be CLOSED were: 0, 1

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.

----------------------------------------------------------------------

[Pickwick]

Mit der neuen Firmware für den 2910 scheinen meine ISDN-Probleme behoben, weswegen ich doch auch mal die Chance genutzt habe, grc.com und Shields Up zu testen. Das Resultat ist doch etwas zweifelhaft:

Meine getesteten Ports sind angeblich alle Stealth, die TruStealth Analysis habe ich nicht bestanden. Ihr solltet euch weniger von irgendwelchen Grafiken, als viel mehr von folgenden Texten leiten lassen:

Solicited TCP Packets: PASSED — No TCP packets were received from your system as a direct result of our attempts to elicit some response from any of the ports listed below — they are all either fully stealthed or blocked by your ISP. However . . .

Entweder diese Jungs oder ich haben keine Ahnung, wenn deren Verbindungsaufbau zu meinem Rechner über keinen Port klappt, kann das auch einfach daran liegen, dass kein Port offen ist. Dann wird rein gar nichts geblockt, sondern der Netzwerkstack des die Anfragen empfangenden Betriebssystems antwortet einfach entsprechend und verweigert den Verbindungsaufbau. Genau das will man.

Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)

Welch große Erkenntnis, wenn keine Ports offen sind, also einfach auch keine Verbindung hergestellt werden kann und eben keine dumme Sicherheitssoftware läuft, die sich selbst verrät.

Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

Spätestens an dieser Stelle sollte man solche Läden meiden, weil die nicht die Bohne Ahnung haben. Wenn ich mir vorstelle, wieviele Admins mit einem Ping auf heise.de ihre Verbindung nach draußen prüfen. Von einem ECHO REPLY stirbt niemand, es ist vollkommen egal, ob irgendwer im Netz weiß, dass es mich gibt, das wissen allein durch meine Aktivitäten sowieso genug. Viel witziger ist doch, dass mein ECHO REPLY dem Angreifer gar nichts nützt, weil er ja vorher schon gemerkt hat, dass es kein zu exploitenden Ports bei mir gibt, im Gegensatz zu den Stealth-Ports von irgendwelchen Personal Firewalls und solchem Käse, die gerade auf sich aufmerksam machen und die Maschine angreifbarer machen.

In meinem 2910er habe ich die Firewall mit als erstes deaktiviert und offensichtlich trotzdem keine Probleme, Mossi. Vielleicht solltest du einfach mal deine Konfiguration posten. Eigentlich isses doch gar nicht so schwierig, alles abzuschalten, "Allow management from the Internet" z.B. sollte in den meisten Fällen natürlich deaktiviert sein. Dann lauscht der Router schon einmal nicht mehr an den WAN-Schnittstellen.

[Mossi]

Erst mal sorry für die späte Antwort...

In meinem 2910er habe ich die Firewall mit als erstes deaktiviert und offensichtlich trotzdem keine Probleme, Mossi. Vielleicht solltest du einfach mal deine Konfiguration posten. Eigentlich isses doch gar nicht so schwierig, alles abzuschalten, "Allow management from the Internet" z.B. sollte in den meisten Fällen natürlich deaktiviert sein. Dann lauscht der Router schon einmal nicht mehr an den WAN-Schnittstellen.

Also, wie schon geschrieben, ist am dem 2910er ALLES ausgeschaltet, einzig und allein VPN (IPSec) ist aktiviert. Das habe ich auch zig mal überprüft und das macht es ja so mysteriös.

Lassen wir mal den Sonderfall Port 0 ausser acht, so kann ich gerne auch andere Scanner nehmen, die sagen, dass der Router auf Port 1 sich anders verhält als auf den "restlichen" Ports (für die genauen Wortluate müsste ich noch mal schauen, habe ich leider gerade nicht mehr genau im Kopf). Das ist also nichts was nur von grc.com kommt (die "nichtssagende" Grafik dient hier aber schön als Anschauungsbild).

Anyway - und das ist Fakt - schliesse ich den "alten" 2300er wieder an, der vorher dran war und prinzipiell exaktisch identisch konfiguriert war, dann sieht das Scanergebnis so aus, wie es sein soll - um bei dem Bild von grc.com zu bleiben -> alles grün.

Da Muckel (danke übrigens ) mit seinem 2910 das ja reproduzieren konnte, glaube ich nach wie vor, dass hier in der Firmware irgendwas nicht ganz rund läuft, was ja auch Port 21+22 zeigt, die seit 3.0.5.1 nicht mehr offen sind (wie gesagt, ich hatte die weder frei gegeben, noch irgendwelche services aktiviert).

Kurzum: Es ist jetzt nicht so, dass ich mir da extrem einen Kopf drüber mache, es verwundert mich nur, dass der 2300er das "scheints besser konnte"