Computerbeveiliging - Hoe je bad guys buiten de deur houdt

poorten niet stealth

01-10-2011, 20:10 door Anoniem, 24 reacties
hallo, wie kan mij helpen met het volgende :
als ik mijn computer (poorten) scan op SHIELDS UP zijn al mijn poorten stealth. Doe ik het nog eens maar dan bij PC FLANK dan zijn mijn poorten 135,137,138 en 139 welliswaar dicht maar wel zichtbaar. Rarara ... hoe kan dat ? twee verschillende uitkomsten, Heb in middels mijn firewall (Comodo) al behoorlijk dichtgetimmerd. Draai op Vista. Wie kan mij helpen de poorten stealth te krijgen (liefst in begrijpelijke taal die voor iemand zo als ik die niet heel erg deskundig is ) of is misschien de scan van PC FLANK gewoon niet goed ??
Alvast bedankt.
Reacties (24)
06-10-2011, 13:39 door Anoniem
Firewall regel aanmaken, connectie naar port 135-138 DROP connection.

Verder als de ports al closed zijn hoef je in principe niet obsessief alles 3x te checken.
Hiermee heb je de kans dat je, als amateur, meer verziekt dan je fixed.
06-10-2011, 15:16 door Anoniem
Misschien is die van grc.com ook wel niet okay: ik krijg poorten 135 en 445 als stealth, de rest als open of closed. De poorten die open moeten staan, detecteert grc.com correct, de gesloten en stealth poorten zijn een zootje en strekken volledig niet met de waarheid.
06-10-2011, 15:23 door SirDice
Door Anoniem: Wie kan mij helpen de poorten stealth te krijgen
Waarom denk je dat "stealth" beter is dan "closed"? Begrijp je het verschil eigenlijk wel?
06-10-2011, 19:53 door Anoniem
Je hebt vast wel een router. En daar heb je fijn game poorten op opengezet voor de hele familie?
Leer hoe je je router firewall moet instellen.
06-10-2011, 19:56 door Anoniem
Waarom dan ook niet meer uitleg?
Als ik mij niet vergis zit het ongeveer zo:
Het verschil tussen Stealth en Closed is, dat een hacker bij poorten op Stealth niet weet of er een PC aanwezig is, en of deze aan of uit staat. Zijn de poorten Closed, dan weet de hacker dat er een PC is, die aanstaat.
Geen idee van of dit klopt hoor...
06-10-2011, 19:59 door Anoniem
Wat ik bij mijn vorige bericht over stealth/closed wilde toevoegen is:

Of PCFlank nog up to date is geen idee (2010)

Stealth mode kan je vergelijken met de Stealth straaljager onzichtbaar zeker?
06-10-2011, 20:13 door Thasaidon
Stealth heeft alleen zin als alle poorten stealth zijn (je draait dus geen services).
Zodra je ook maar 1 poort open hebt (omdat er een service draait), is het stealthen van al je andere poorten compleet nutteloos. Zodra er ook maar 1 poort reageert weten "ze" dat er wat zit.

Aangezien GRC volledig stealth aangeeft zou dat ook zo moeten zijn.
GRC stuurt een syn naar de te scannen poort, word daarom gereageerd, is de poort dus open.
Krijgt GRC een "refused" dan is de poort closed
komt er geen reactie op die poort, dan is deze dus stealth.

PC Flank maakt echter gebruik van verschillende scans, dus zal ook het resultaat per scan anders kunnen zijn...
06-10-2011, 22:19 door Anoniem
Door Thasaidon: Stealth heeft alleen zin als alle poorten stealth zijn (je draait dus geen services).
Zodra je ook maar 1 poort open hebt (omdat er een service draait), is het stealthen van al je andere poorten compleet nutteloos. Zodra er ook maar 1 poort reageert weten "ze" dat er wat zit.

Aangezien GRC volledig stealth aangeeft zou dat ook zo moeten zijn.
GRC stuurt een syn naar de te scannen poort, word daarom gereageerd, is de poort dus open.
Krijgt GRC een "refused" dan is de poort closed
komt er geen reactie op die poort, dan is deze dus stealth.

PC Flank maakt echter gebruik van verschillende scans, dus zal ook het resultaat per scan anders kunnen zijn...

oke, ben weer wat wijzer geworden. Niet echt iets dus om me heeeeel druk over te maken.
Iedereen bedankt.
07-10-2011, 08:24 door SirDice
Door Thasaidon: Stealth heeft alleen zin als alle poorten stealth zijn (je draait dus geen services).
Zodra je ook maar 1 poort open hebt (omdat er een service draait), is het stealthen van al je andere poorten compleet nutteloos. Zodra er ook maar 1 poort reageert weten "ze" dat er wat zit.
En wat is dan het probleem? Dan weten ze dat, en dan?

Waarom zou alle poorten stealth beter zijn dan alle poorten closed?
07-10-2011, 09:49 door Thasaidon
Door SirDice:
En wat is dan het probleem? Dan weten ze dat, en dan?

Waarom zou alle poorten stealth beter zijn dan alle poorten closed?
Waar zie jij staan staan dat ik zeg dat stealth beter is?
Voor mij persoonlijk maakt het geen zak uit of ik nou closed poorten heb of stealth.
In beide gevallen komen ze er toch niet in.

Maar voor sommige scanners maakt het wel wat uit, afhankelijk van de pootscanner die er gebruikt word.
Sommige scan programma's kijken eerst of ze een bepaalde reactie van een host krijgen op bepaalde poorten.
Pas als ze die reactie krijgen gaan ze alle 65535 poorten scannen op die host.
En de "port closed reactie" is ook een reactie.
Kortom, ben je geheel stealth, zullen die scanners jou overslaan.

Staat er een poort open (omdat je bv een webserver draait), en zijn ze echt geintereseerd, dan kun je uiteraard verwachten dat ze daarna gaan kijken of ze wat op die poort kunnen uithalen.
Maar meestal blijft het alleen bij de poortscan.
07-10-2011, 10:29 door SirDice
Door Thasaidon: Kortom, ben je geheel stealth, zullen die scanners jou overslaan.
Wat een onzin. Er is geen enkele reden waarom alle 65535 poorten niet gescant zouden worden als ze stealth of closed zijn. Dat is niet zozeer afhankelijk van de gebruikte poortscanner maar afhankelijk van diegene die de poortscan uitvoert.

Pas als ze die reactie krijgen gaan ze alle 65535 poorten scannen op die host.
Dat doet men pas als ze het echt op je gemunt hebben en dan maakt het echt niet uit of de eerste (beperkte) scan wel of geen response geeft. Sterker nog, bij geen reactie (stealth dus) weten ze direct dat je een firewall hebt. En de meeste malware scant niet eens die probeert gewoon gelijk een exploit uit te voeren. Er wordt dan niet eens gekeken of die poort uberhaubt wel open staat.
07-10-2011, 13:29 door choi
Dat probleem met PCFlank is al jaren bekend. Ook al heb je netbios uitgeschakeld en de poorten gesloten dan nog geeft pcflank vaak aan dat die poorten open staan (om vervolgens reclame te maken voor Outpost).

En die test van GRC geeft je al een fail als je pings van de WAN-side toestaat (ook al zijn alle poorten gesloten).

Wil je wat meer zekerheid, laat iemand je machine met Nmap scannen. Kan je zelf met Nmap overweg, dan kan je de online scan proberen (volgens mij wordt die door Comodo gehost).

Let op: afhankelijk van de instellingen van je router of software-firewall zal je de default instellingen van de online scan moeten aanpassen (meestal door de host discovery over te slaan) omdat de scan vanwege een time out (vermoed ik) geen resultaat oplevert

http://nmap-online.com/


Door SirDice
...bij geen reactie (stealth dus) weten ze direct dat je een firewall hebt. En de meeste malware scant niet eens die probeert gewoon gelijk een exploit uit te voeren. Er wordt dan niet eens gekeken of die poort uberhaubt wel open staat.

SirDice heeft gelijk. Als die pakketjes gedropped worden (en de scan dus 'stealth' aangeeft) weten ze dat er een machine achter dat adres hangt. Als het random scans zijn om bijv. onbeschermde machines te identificeren (low hanging fruit) dan zullen ze je waarschijnlijk overslaan, maar als ze het op jou gemunt hebt maakt het geen bal uit.

Die hele stealth hype hebben we trouwens aan Steve Gibson van GRC te danken. Ik ben geen netwerkspecialist maar volgens mij biedt een poort die stealth is niet meer bescherming dan een closed port.
Ik meen mij te herinneren dat Kaspersky een tijdje terug gestopt is met het stealthen van poorten in de default configuratie, en Comodo doet dat volgens mij ook.
07-10-2011, 14:57 door SirDice
Door choi: Die hele stealth hype hebben we trouwens aan Steve Gibson van GRC te danken. Ik ben geen netwerkspecialist maar volgens mij biedt een poort die stealth is niet meer bescherming dan een closed port.
Precies. Het enige verschil is een afwijkende TTL op de response pakketjes als je een open (en geforwarde) poort vergelijkt met een closed poort. De TTL van de open poort zal dan lager zijn dan die van de closed poort. Je kunt hier een klein beetje afleiden hoe het er achter de firewall uit zou kunnen zien. Deze truuk is makkelijk om zeep te helpen door de firewall standaard een lagere TTL te laten gebruiken op de response pakketjes.


[SYN] -------------->[firewall; closed]
[RST; TTL=62]<-------[firewall; closed]

[SYN] ------------------> [firewall; forward] ----->[andere machine]
[SYN/ACK; TTL=61]<--------[firewall; forward]<-----[andere machine]
07-10-2011, 15:29 door Thasaidon
Even voor de goede orde...
"Stealth" bestaat niet.
Dat is inderdaad een verzinsel van Steve Gibson van GRC.

Maar dan...
Door SirDice:
Door Thasaidon: Kortom, ben je geheel stealth, zullen die scanners jou overslaan.
Wat een onzin. Er is geen enkele reden waarom alle 65535 poorten niet gescant zouden worden als ze stealth of closed zijn. Dat is niet zozeer afhankelijk van de gebruikte poortscanner maar afhankelijk van diegene die de poortscan uitvoert.
Ik ben vroeger vaak genoeg bezig geweest met scanners, etc... dus weet ik dat er scan programma's zijn welke eerst een soort "preliminary" scan deden op een te scannen IP binnen een range. kwam er geen reactie, dan ging de scanner door naar het volgende IP in de range. Er is immers geen reden om alles te scannen als er niets lijkt te zijn want dat is zonde van de resources.
Kwam er wel een reactie van een IP, dan ging de scanner op dat IP alle poorten af als ik dat zo ingesteld had.

Door SirDice:
Door Thasaidon: Pas als ze die reactie krijgen gaan ze alle 65535 poorten scannen op die host.
Dat doet men pas als ze het echt op je gemunt hebben
Ik wil niet lullig doen, maar dat zeg ik toch?
Thasaidon: Staat er een poort open (omdat je bv een webserver draait), en zijn ze echt geintereseerd, dan kun je uiteraard verwachten dat ze daarna gaan kijken of ze wat op die poort kunnen uithalen.
Maar meestal blijft het alleen bij de poortscan.

Door SirDice: ... Sterker nog, bij geen reactie (stealth dus) weten ze direct dat je een firewall hebt.
Dat klopt dus niet... als een scanner "stealth" aan geeft betekend dit dat hij totaal geen reactie krijgt van de doel host.
Dit is hetzelfde als dat er niets aan dat IP zou hangen.

Normaal is het zo dat een systeem altijd antwoord geeft op een request.
Ook als een poort dicht is, zal het systeem dus antwoorden dat die poort dicht zit.
Zoals je zelf in je voorbeeld hierboven aangeeft.

In het geval van "stealth", wordt deze "terugkoppeling" van het systeem op de een of andere manier onderdrukt, dmv een firewall of router, etc..., en dus krijgt de scanner gewoonweg geen antwoord.
Dit is dus hetzelfde zijn als dat het systeem gewoon uit zou staan. Of dat er gewoon geen systeem achter dat IP zit.
oftewel, de
[RST; TTL=62]<-------[firewall; closed]
word niet terug gestuurd.
[SYN] -------------->[firewall; closed]
X<-----[firewall; closed]
En met TTL kun je hier dus ook niets mee doen, want je krijgt gewoonweg geen packet terug waaruit de TTL bepaald kan worden.

zie https://www.grc.com/faq-shieldsup.htm#STEALTH

Tenslotte heb ik nooit gezegd dat stealth beter zou zijn dan closed. In beide gevallen maakt het niets uit, de poort blijft toch dicht. Of het scannende systeem nou antwoord krijgt (closed) of niet (stealth).
Ik heb alleen gezegd dat het proberen te "stealth-en" van je poorten zinloos is als je services draait en dus open poorten hebt.
07-10-2011, 15:35 door SirDice
Door Thasaidon:
Door SirDice: ... Sterker nog, bij geen reactie (stealth dus) weten ze direct dat je een firewall hebt.
Dat klopt dus niet... als een scanner "stealth" aan geeft betekend dit dat hij totaal geen reactie krijgt van de doel host.
Dit is hetzelfde als dat er niets aan dat IP zou hangen.
Nee, de hop ervoor zal dan een ICMP destination unreachable terugsturen.
07-10-2011, 15:50 door Thasaidon
Door SirDice:
Door Thasaidon:
Door SirDice: ... Sterker nog, bij geen reactie (stealth dus) weten ze direct dat je een firewall hebt.
Dat klopt dus niet... als een scanner "stealth" aan geeft betekend dit dat hij totaal geen reactie krijgt van de doel host.
Dit is hetzelfde als dat er niets aan dat IP zou hangen.
Nee, de hop ervoor zal dan een ICMP destination unreachable terugsturen.
Ja, en dat gebeurt ook als er niets aan dat betreffende IP hangt en er dus niets op dat IP te bereiken is.
Dus de conlusie dat er bij "stealth" wel degelijk iets aan zou hangen klopt dus niet.

https://tools.ietf.org/html/rfc792
If, according to the information in the gateway's routing tables,
the network specified in the internet destination field of a
datagram is unreachable, e.g., the distance to the network is
infinity, the gateway may send a destination unreachable message
to the internet source host of the datagram. In addition, in some
networks, the gateway may be able to determine if the internet
destination host is unreachable. Gateways in these networks may
send destination unreachable messages to the source host when the
destination host is unreachable.

If, in the destination host, the IP module cannot deliver the
datagram because the indicated protocol module or process port is
not active, the destination host may send a destination
unreachable message to the source host.
07-10-2011, 15:54 door Thasaidon
Dubbele post, sorry
07-10-2011, 16:50 door SirDice
Door Thasaidon:
Door SirDice:
Door Thasaidon:
Door SirDice: ... Sterker nog, bij geen reactie (stealth dus) weten ze direct dat je een firewall hebt.
Dat klopt dus niet... als een scanner "stealth" aan geeft betekend dit dat hij totaal geen reactie krijgt van de doel host.
Dit is hetzelfde als dat er niets aan dat IP zou hangen.
Nee, de hop ervoor zal dan een ICMP destination unreachable terugsturen.
Ja, en dat gebeurt ook als er niets aan dat betreffende IP hangt en er dus niets op dat IP te bereiken is.
Dus de conlusie dat er bij "stealth" wel degelijk iets aan zou hangen klopt dus niet.
Nee, als het IP adres niet te bereiken is (omdat de modem uitstaat bijv.) stuurt de hop ervoor een ICMP destination unreachable terug. Als de modem aanstaat en de firewall heeft de poorten op 'stealth' staan komt er helemaal niets terug. Een 'gewone' machine zonder firewall zal een RST (in geval van TCP) of een ICMP port unreachable (in geval van UDP) terugsturen. Door dat verschil kun je dus afleiden dat er wel degelijk iets aan hangt en wat dat zou kunnen zijn.
08-10-2011, 09:49 door Thasaidon
Door SirDice: Nee, als het IP adres niet te bereiken is (omdat de modem uitstaat bijv.) stuurt de hop ervoor een ICMP destination unreachable terug. Als de modem aanstaat en de firewall heeft de poorten op 'stealth' staan komt er helemaal niets terug. Een 'gewone' machine zonder firewall zal een RST (in geval van TCP) of een ICMP port unreachable (in geval van UDP) terugsturen. Door dat verschil kun je dus afleiden dat er wel degelijk iets aan hangt en wat dat zou kunnen zijn.
Dat ligt er maar net aan hoe het netwerk van je ISP in elkaar zit. Bij ISP's welke modems gebuiken die een MAC adres hebben, dan heb je gelijk. Zolang het modem aan staat zal het MAC (en evt IP adres) bekend zijn in de ISP apparatuur.

Mijn modem heeft geen MAC adres en mijn router heeft een vast IP adres.
Dat betekend dat als bij mij alles aan staat en er verkeer is (geweest) het MAC adres en IP van mijn eigen router bekend is in de ISP apparatuur.
Maar als er maar lang genoeg geen verkeer is van of naar mij toe, zal mijn IP en MAC dmv timeouts verdwijnen uit de "ARP" lijst en "mac address-table" op de ISP apparatuur.
Op het moment dat er dan verkeer naar mij toe zou gaan, zal de gateway een arp request of broadcast moeten doen om te achterhalen waar ik zit.
Als mijn router hier vervolgens niet op reageerd, dan zal ook mijn MAC en dus IP adres niet bekend worden en dus zal de gateway ook een "host unreachable" sturen.

Maar dit is theoretisch, want ik draai nou eenmaal services dus er is regelmatig verkeer van en naar mij toe.

Maargoed... om de vraagsteller te beantwoorden...
Stealth of Closed... het maakt niet uit. Het is even veilig want je firewall accepteerd gewoon geen verkeer op die poorten.
En of hij dat nou terug meld of niet maakt niet uit.
08-10-2011, 10:26 door Anoniem
reject of drop maakt niets uit. er is geen verschil in bescherming.
stealth lijkt mij een uitvinding van een niet-ict expert
08-10-2011, 19:51 door Anoniem
Door Thasaidon:
Door SirDice: Nee, als het IP adres niet te bereiken is (omdat de modem uitstaat bijv.) stuurt de hop ervoor een ICMP destination unreachable terug. Als de modem aanstaat en de firewall heeft de poorten op 'stealth' staan komt er helemaal niets terug. Een 'gewone' machine zonder firewall zal een RST (in geval van TCP) of een ICMP port unreachable (in geval van UDP) terugsturen. Door dat verschil kun je dus afleiden dat er wel degelijk iets aan hangt en wat dat zou kunnen zijn.
Dat ligt er maar net aan hoe het netwerk van je ISP in elkaar zit. Bij ISP's welke modems gebuiken die een MAC adres hebben, dan heb je gelijk. Zolang het modem aan staat zal het MAC (en evt IP adres) bekend zijn in de ISP apparatuur.

Mijn modem heeft geen MAC adres en mijn router heeft een vast IP adres.
Dat betekend dat als bij mij alles aan staat en er verkeer is (geweest) het MAC adres en IP van mijn eigen router bekend is in de ISP apparatuur.
Maar als er maar lang genoeg geen verkeer is van of naar mij toe, zal mijn IP en MAC dmv timeouts verdwijnen uit de "ARP" lijst en "mac address-table" op de ISP apparatuur.
Op het moment dat er dan verkeer naar mij toe zou gaan, zal de gateway een arp request of broadcast moeten doen om te achterhalen waar ik zit.
Als mijn router hier vervolgens niet op reageerd, dan zal ook mijn MAC en dus IP adres niet bekend worden en dus zal de gateway ook een "host unreachable" sturen.

Maar dit is theoretisch, want ik draai nou eenmaal services dus er is regelmatig verkeer van en naar mij toe.

Maargoed... om de vraagsteller te beantwoorden...
Stealth of Closed... het maakt niet uit. Het is even veilig want je firewall accepteerd gewoon geen verkeer op die poorten.
En of hij dat nou terug meld of niet maakt niet uit.


Mag ik iedereen bedanken voor de reacties.
Had niet verwacht dat zo,n vraag zoveel reacties zo opleveren.
Ben in ieder geval weer wat wijzer.
Groeten,
Martin
09-10-2011, 09:01 door Keyser Soze
60% is closed en 40% is Stealth bij mijn router firewall.
En gaat al 3 jaar perfect, nergens geen problemen mee, ook als ik met U-torrent download.
Dus maak je niet druk als er enkele closed zijn.
10-10-2011, 08:53 door SirDice
Door Thasaidon: Mijn modem heeft geen MAC adres en mijn router heeft een vast IP adres.
Dat betekend dat als bij mij alles aan staat en er verkeer is (geweest) het MAC adres en IP van mijn eigen router bekend is in de ISP apparatuur.
Je spreekt jezelf tegen hier. Hoe kan het MAC adres bij de ISP apparatuur bekend zijn als jouw modem geen MAC adres heeft?

Bedenk dat de meeste (xDSL) routers feitelijk een PPPoE of PPPoA verbinding maken. Geen verbinding, geen route.
10-10-2011, 16:46 door Thasaidon
Door SirDice:
Door Thasaidon: Mijn modem heeft geen MAC adres en mijn router heeft een vast IP adres.
Dat betekend dat als bij mij alles aan staat en er verkeer is (geweest) het MAC adres en IP van mijn eigen router bekend is in de ISP apparatuur.
Je spreekt jezelf tegen hier. Hoe kan het MAC adres bij de ISP apparatuur bekend zijn als jouw modem geen MAC adres heeft?
Ik spreek mezelf niet tegen, jij leest niet goed.
ik zei:
... het MAC adres en IP van mijn eigen router bekend is in de ISP apparatuur.

Door SirDice: Bedenk dat de meeste (xDSL) routers feitelijk een PPPoE of PPPoA verbinding maken. Geen verbinding, geen route.
Dat ben ik helemaal met je eens.
Zoals ik al zei, het ligt er dus ook aan hoe je ISP zijn netwerk ingericht heeft.
(X)DSL is een ander soort netwerk en dus anders ingericht dat wat mijn ISP gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.