Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Shields up!
03-07-2019, 17:03 door Anoniem, 18 reacties
Bij shields up! (Grc) Krijg ik bijna alles uit op “stealth” mits ik met mijn vpn app verbonden ben. Als ik dit niet ben, staan ze closed.
Kan ik er dan van uit gaan dan bij verbinding met vpn app de router ook minder toegankelijk is? Of is het een schijnveiligheid?
Ook blijf ik hoe dan ook krijgen dat “Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet” terwijl ik op de router heb aangevinkt:
“Discard Ping To WAN Interface”
Kan ik er dan van uit gaan dan bij verbinding met vpn app de router ook minder toegankelijk is? Of is het een schijnveiligheid?
Ook blijf ik hoe dan ook krijgen dat “Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet” terwijl ik op de router heb aangevinkt:
“Discard Ping To WAN Interface”
Reacties (18)
Stealth of Closed maakt niets uit. Dit varieert per modem.
Als er een poort open staat moet je wel opletten dat er geen port forward naar je computer is. Want als je computer staat te luisteren, en er draait een service die kwetsbaar is, dan heb je een probleem op het internet.
Zelf heb ik alle inkomende poorten op mijn modem uit staan. En Universal Plug and Play heb ik ook uit staan op mijn modem. En ik heb in mijn Windows 10 firewall ook alle inkomende verbindingen geblokkeerd. "Block all connections including applications on the list of allowed applications". Ook staat mijn connectie op "Guest or public networks". Hierdoor is een verbinding met mijn thuisnetwerk niet mogelijk.
Je VPN is wel schijnveiligheid. Want een aanvaller scant gewoon het hele IPv4 internet. Dus jouw VPN adres, maar ook het adres van je internet provider. Een aanvaller hoeft dus niet via jouw VPN te gaan maar kan direct je echte IP aanvallen.
Krijg je de Ping melding als je op je VPN zit, of als je op je echte IP zit?
Als er een poort open staat moet je wel opletten dat er geen port forward naar je computer is. Want als je computer staat te luisteren, en er draait een service die kwetsbaar is, dan heb je een probleem op het internet.
Zelf heb ik alle inkomende poorten op mijn modem uit staan. En Universal Plug and Play heb ik ook uit staan op mijn modem. En ik heb in mijn Windows 10 firewall ook alle inkomende verbindingen geblokkeerd. "Block all connections including applications on the list of allowed applications". Ook staat mijn connectie op "Guest or public networks". Hierdoor is een verbinding met mijn thuisnetwerk niet mogelijk.
Je VPN is wel schijnveiligheid. Want een aanvaller scant gewoon het hele IPv4 internet. Dus jouw VPN adres, maar ook het adres van je internet provider. Een aanvaller hoeft dus niet via jouw VPN te gaan maar kan direct je echte IP aanvallen.
Krijg je de Ping melding als je op je VPN zit, of als je op je echte IP zit?
04-07-2019, 09:14 door
Bitje-scheef
Shields Up vroeger veel gebruikt (toen nog één van de weinige), maar kreeg weleens false positives op bepaalde modems/routers of juist alles stealth op poorten die open stonden. Dit was toen modem/router merk afhankelijk (slechte logging etc). Die modems/routers worden niet meer gebruikt tegenwoordig gelukkig.
Hoe krijg ik die open poort gesloten?
En hoe weet ik of er geen “port forward” naar mijn computer is?
En hoe weet ik of er geen “port forward” naar mijn computer is?
Door Anoniem: Hoe krijg ik die open poort gesloten?
En hoe weet ik of er geen “port forward” naar mijn computer is?
Hangt er mogelijk vanaf om welk poortnummer het gaat.En hoe weet ik of er geen “port forward” naar mijn computer is?
In elke geval om te beginnen uPnP (universal Plug and Play) in modem/router uitzetten.
Verzeker je er ook van dat de mogelijkheid om op afstand ("remote") in te loggen op de modem/router is uitgeschakeld.
Hierrna modem/router uitzetten, en na enkele seconden weer aan. Vervolgens weer testen met Shields Up
Ook blijf ik hoe dan ook krijgen dat “Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet” terwijl ik op de router heb aangevinkt:
“Discard Ping To WAN Interface”
Is er een configuratie optie om de WAN-ping op "ignore" te zetten? Zo ja, kies dit en test opnieuw.“Discard Ping To WAN Interface”
Door Anoniem: Stealth of Closed maakt niets uit. Dit varieert per modem.
Een stealth configuratie verstuurt geen ICMP replies terwijl een closed configuratie wel ICMP replies terugstuurt als reactie op verkeer naar gesloten poorten. Als je geen enkele poort geopend hebt is een stealth configuratie daarmee voor scans onzichtbaar op het internet terwijl een closed configuratie dat niet is. Daarnaast geeft niet elke IP stack op precies dezelfde manier ICMP replies waardoor een aanvaller bij een closed configuratie middels een scan achterhalen kan om wat voor soort modem of OS het gaat en hij meer gericht op zoek kan gaan naar eventuele lekken in het systeem.
Door Anoniem:
Een stealth configuratie verstuurt geen ICMP replies terwijl een closed configuratie wel ICMP replies terugstuurt als reactie op verkeer naar gesloten poorten. Als je geen enkele poort geopend hebt is een stealth configuratie daarmee voor scans onzichtbaar op het internet terwijl een closed configuratie dat niet is. Daarnaast geeft niet elke IP stack op precies dezelfde manier ICMP replies waardoor een aanvaller bij een closed configuratie middels een scan achterhalen kan om wat voor soort modem of OS het gaat en hij meer gericht op zoek kan gaan naar eventuele lekken in het systeem.
Door Anoniem: Stealth of Closed maakt niets uit. Dit varieert per modem.
Een stealth configuratie verstuurt geen ICMP replies terwijl een closed configuratie wel ICMP replies terugstuurt als reactie op verkeer naar gesloten poorten. Als je geen enkele poort geopend hebt is een stealth configuratie daarmee voor scans onzichtbaar op het internet terwijl een closed configuratie dat niet is. Daarnaast geeft niet elke IP stack op precies dezelfde manier ICMP replies waardoor een aanvaller bij een closed configuratie middels een scan achterhalen kan om wat voor soort modem of OS het gaat en hij meer gericht op zoek kan gaan naar eventuele lekken in het systeem.
Waarschijnlijk disinfo of PEBKAC
Beter dan stealth is de aanduiding krijgen van "filtered port".
Dan is zelfs niet vast te stellen of de poort stealth, dan wel open of gesloten is.
"Filtered" houdt in dat een firewall, filter, of ander netwerk obstakel de poorten blokkeert,
zodat Nmap niet weet uit te maken of ie open ofwel dicht staat.
#sockpuppet
Dan is zelfs niet vast te stellen of de poort stealth, dan wel open of gesloten is.
"Filtered" houdt in dat een firewall, filter, of ander netwerk obstakel de poorten blokkeert,
zodat Nmap niet weet uit te maken of ie open ofwel dicht staat.
#sockpuppet
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC
Waarschijnlijk disinfo of PEBKAC
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Door Anoniem:
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC
Waarschijnlijk disinfo of PEBKAC
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Door Anoniem:
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Door Anoniem:
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC
Waarschijnlijk disinfo of PEBKAC
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.
Door Anoniem:
Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.
Door Anoniem:
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Door Anoniem:
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC
Waarschijnlijk disinfo of PEBKAC
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.
Maar er is geen enkele noodzaak om dan het door Steve gepropageerde 'Stealth', oftewel het droppen van het verkeer te gebruiken. Sterker nog, je hebt kans dat je met het blind blokkeren van ICMP (alle ICMP!) noodzakelijke dingen zoals pMTU kapot maakt.
Door Anoniem: Maar er is geen enkele noodzaak om dan het door Steve gepropageerde 'Stealth', oftewel het droppen van het verkeer te gebruiken. Sterker nog, je hebt kans dat je met het blind blokkeren van ICMP (alle ICMP!) noodzakelijke dingen zoals pMTU kapot maakt.
Zodra een poort een functie gaat vervullen wordt hij uit stealth gehaald, en blijft daarna nog even open staan om de respons te ontvangen en door te geven. (afkomstig van het IP-adres dat werd aangesproken)In principe is het mogelijk dat de poort "stealth" blijft voor IP-adressen die niet zijn bezocht,
maar een beperkte tijd open staat voor het IP-adres dat pas was bezocht. (om de respons te ontvangen)
Door Anoniem:
In principe is het mogelijk dat de poort "stealth" blijft voor IP-adressen die niet zijn bezocht,
maar een beperkte tijd open staat voor het IP-adres dat pas was bezocht. (om de respons te ontvangen)
Door Anoniem: Maar er is geen enkele noodzaak om dan het door Steve gepropageerde 'Stealth', oftewel het droppen van het verkeer te gebruiken. Sterker nog, je hebt kans dat je met het blind blokkeren van ICMP (alle ICMP!) noodzakelijke dingen zoals pMTU kapot maakt.
Zodra een poort een functie gaat vervullen wordt hij uit stealth gehaald, en blijft daarna nog even open staan om de respons te ontvangen en door te geven. (afkomstig van het IP-adres dat werd aangesproken)In principe is het mogelijk dat de poort "stealth" blijft voor IP-adressen die niet zijn bezocht,
maar een beperkte tijd open staat voor het IP-adres dat pas was bezocht. (om de respons te ontvangen)
Ik herhaal: stealth is onzinnig en breekt zaken als pMTU. Het heeft geen enkele toegevoegde waarde.
Door Anoniem:
Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.
Door Anoniem:
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Door Anoniem:
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC
Waarschijnlijk disinfo of PEBKAC
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.
Wat stel je dan voor in stealth firewalling? Pakketjes droppen of denyen (ook ICMP filteren) geeft aan dat je een firewall hebt. Of wil je een complete sinkhole (niet echt stealth... dan weet je dat er gefilterd wordt).
Packetjes rejecten stuurt inderdaad traffic terug maar je weet niet welke poorten open staan (sommige firewalls zijn wel te detecteren door xmas, fin, ack enz scans met bijv nmap). Dit lijkt dus het meest op een normale tcp stack. Dus stealth want je weet met scannen niet of er een firewall op draait. Zit ik goed?
ICMP blokkeren is heel stom eigenlijk want het is het fundamentele protocol voor routering van IP verkeer. Ik zie geen enkele reden waarom je ICMP volledig wil sinkholen in een normale werksituatie zeker als bedrijf of als kleine ISP. Stel dat deze dat gaat doen om jou een "firewall dienst" aan te bieden.
Door Anoniem:
Wat stel je dan voor in stealth firewalling? Pakketjes droppen of denyen (ook ICMP filteren) geeft aan dat je een firewall hebt. Of wil je een complete sinkhole (niet echt stealth... dan weet je dat er gefilterd wordt).
Door Anoniem:
Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.
Door Anoniem:
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Door Anoniem:
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC
Waarschijnlijk disinfo of PEBKAC
Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.
Wat stel je dan voor in stealth firewalling? Pakketjes droppen of denyen (ook ICMP filteren) geeft aan dat je een firewall hebt. Of wil je een complete sinkhole (niet echt stealth... dan weet je dat er gefilterd wordt).
Nee dus. Als je alle inkomende verkeer dropt (op een stateful firewall die wel inkomend verkeer toelaat aan voorafgaand gerelateerd uitgaand verkeer) dan heeft dat tot gevolg dat de host op geen enkele poort antwoord geeft wanneer hij ge-portscanned wordt. Voor de portscanner geeft dat hetzelfde effect als wanneer de host er helemaal niet is en de scanner kan dus niet eens concluderen dat er iets online is achter het gescande ip adres. Dat is het idee achter stealth firewalling en het heeft alleen zin wanneer de host echt geen enkele openstaande poort nodig heeft (hetgeen onder andere niet het geval is wanneer je internet telefonie gebruikt of handmatig poorten opengezet/geforward hebt).
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.