Benutze SuSE Linux 9.0 und die dazugehörige SuSE Firewall2 um mich vor Skript Kiddies zu schützen. Habe die Firewall so konfiguriert, dass die Dienste http und https erreichbar sein sollen. Vor paar Tagen hab ich dann noch den TCP Port 4662, 4665 und den UDP Port 4672 für aMule freigegeben.
Wenn ich nun 'nen Port Scan Test mit Shields Up! (http://www.grc.com) mache. Zeigt er mir die Ports 80, 113 und 443 nur closed aber kein stealth. Wie bekomm ich die jetzt auf stealth? Die neu dazugekommenen aMule Ports 4672 und 4665 sind auch nur closed und der 4662 Port sogar open. Benutze unter Windows auch eine Firewall und da sind alle Ports stealth. Wie bekomme ich das nun auch unter Linux hin?!

1. Stealth ist kein normgerechter Zustand eines Ports!
2. Der Port 80 is HTTP!

@ towo2099

Das der Port 80 für http zuständig ist, ist mir auch bekannt. Aber mich wundert es halt, dass der Port unter Linux nur closed ist und kein stealth wie unter Windows.
Warum ist stealth kein normgerechter Zustand? Dachte es sei das Beste, was man für 'nen Port hoffen kann. Wenn der Port stealth ist, ist er ja für niemanden sichtbar bei closed Ports hingegen doch schon.

Das der Port 80 für http zuständig ist, ist mir auch bekannt. Aber mich wundert es halt, dass der Port unter Linux nur closed ist und kein stealth wie unter Windows.

Du hast in Deiner Firewall HTTP erlaubt, darum ist der Port Closed, da sicherlich kein Dienst auf dem Port lauscht!

2. Stealth bedeutet bildlich soviel wie Ein Haus, mit der Aufschrift "Da ist kein Haus", wieso sollte dieser Zustand dann gut sein?

Ich habe unter Windows http ja auch erlaubt, sonst könnte ich ja nicht surfen. Aber bei einem Port Scan unter Windows ist der 80er Port stealth. Bei Linux hingegen nur closed.
Dachte stealth ist praktisch - wenn mich z.B. jemand auf einem bestimmten Port anpingen sollte, würde er bei stealth keine Rückmeldung bekommen, da der Port ja unsichtbar ist. Bei einem closed Port bekommt er ja dann die Nachricht, dass der Port geschlossen ist. Also weiß die Person, dass der Benutzer mit der IP existent ist.

Ich habe unter Windows http ja auch erlaubt,

Nein, hast Du nicht, das Eine hat mit dem Anderen gar nix zu tun!


Dachte stealth ist praktisch - wenn mich z.B. jemand auf einem bestimmten Port anpingen sollte, würde er bei stealth keine Rückmeldung bekommen, da der Port ja unsichtbar ist. Bei einem closed Port bekommt er ja dann die Nachricht, dass der Port geschlossen ist. Also weiß die Person, dass der Benutzer mit der IP existent ist.

Die Person weiss auch bei stealth, das Deine IP existent ist!

Ja kannste mir dann sagen wie ich die open und closed Ports unter Linux stealth bekomme? Oder mir sagen warum alle Ports unter Windows stealth sind?

Ja kannste mir dann sagen wie ich die open und closed Ports unter Linux stealth bekomme?

Indem Du dein Iptables Script so abänderst dass auf eine eingehende Anfrage auf den Port keinerlei Antwortgesendet wird. Also statt eines REJECT wird ein DROP gemacht. Ob das mit der SuSE2 Firewall geht kann ich Dir nicht sagen - probier mal Harrys Iptables Script von www.harrx.homelinux.org und beschäftige Dich mit Iptables. Iptables sind die Befehle die die Netfilter Architektur des Kernels steuern - auch die SuSE Firewall 2 benutzt diese.


Oder mir sagen warum alle Ports unter Windows stealth sind?
Das sind sie nicht - wenn ja hängt es von der verwendeten Firewall ab.

cane

@ cane

Also ich hab jetzt mal das SuSE Firewall2 Skript geöffnet (/etc/sysconfig/SuSEfirewall2) und folgendes am Ende des Skripts gefunden:


# 26.)
# Do you want to REJECT packets instead of DROPing?
#
# DROPing (which is the default) will make portscans and attacks much
# slower, as no replies to the packets will be sent. REJECTing means, that
# for every illegal packet, a connection reject packet is sent to the
# sender.
#
# Choice: "yes" or "no", if not set defaults to "no"
#
FW_REJECT="no"

Das müsste doch bedeuten, dass alle Anfragen normalerweise gedroppt werden müssen, aber das ist ja nicht der Fall?!

Unter Punkt 9 habe ich folgendes stehen:


FW_SERVICES_EXT_TCP="4662 4665 4672 http https"

Muss man vielleicht hier was ändern, da ja nur diese Ports closed anstatt stealth sind? Wäre nett wenn mir jemand helfen könnte.

hmm -> gib mal die Aussage von iptables -n -L

Die andere Frage ist.

a) warum brauchst du ne Firewall?
"Um dich vor Script-Kiddies zu schützen"
Ist in dem Fall nicht möglich denn Linux != Windows
Eine Firewall schützt Ports auf einem System -> Ports die nicht offen sind brauchen auch nicht geschützt werden, als fahr lieber alle Dienste runter die du nicht brauchst und du brauchst die Firewall nicht mehr, hast keine Probleme damit.

b) Falls du doch bei deine Firewall Idee bleiben willst würde ich "reject" regeln statt der drop regeln verwenden. Das auf dieser IP im Moment ein Server horcht weis derjenige das auch wenn sein Packete gedropt werden bzw bei windows ein "stealth" zurückkommt. -> Es wäre wie wenn du in einem Raum stehst, jeman dnach dir fragt und du sagst "ich bin nicht da" (drop regel). Wenn du wirklich nicht da wärst (offline) würde der Router vor dir (bzw eine andere person im raum) sagen " Er ist nicht da". Die reject regel wäre dann so in der art "Ich bin zwar da aber ich will meine ruhe" <-- Das würde dann gleich demjenigen sagen da du deine ruhe willst und er würde seine Abfrage abbreche, bei einem Drop würde er warten bis die Abfrage in einen Timeout läuft (unschön).

So ich hoffe das hat geholfen, du musst unter Linux bisschen anderst als unter Windows denken ... die "stealth" sache ist hier nämlich ziemlich sinnbefreit

>Ich habe unter Windows http ja auch erlaubt, sonst könnte ich ja nicht surfen
>FW_SERVICES_EXT_TCP="4662 4665 4672 http https"

Ich denke du hast da einen Denkfehler.
In SERVICES_EXT_TCP trägst du ein auf welche Services jemand von aussen zugreifen kann. Hast du keine Serverdienste brauchst du hier garnichts einzutragen. Und surfen kannst du dann auch noch immer.

vg
Andy

@ N.D.

Jupp Du hattest Recht, hab das http und https rausgenommen und man kann immer noch surfen. Port 80 und 443 sind jetzt stealth. Nur 113 ist immer noch closed. Die Ports 4662, 4665 und 4672 musste ich in den Services drin lassen, sonst kann aMule nicht zu einem Server connecten. Bei laufendem aMule Betrieb sind Port 4665 und 4672 closed und der 4662 open. Wie bekomm ich die jetzt noch auf stealth?

Original geschrieben von IlluminiX
@ N.D.

Jupp Du hattest Recht, hab das http und https rausgenommen und man kann immer noch surfen. Port 80 und 443 sind jetzt stealth. Nur 113 ist immer noch closed. Die Ports 4662, 4665 und 4672 musste ich in den Services drin lassen, sonst kann aMule nicht zu einem Server connecten. Bei laufendem aMule Betrieb sind Port 4665 und 4672 closed und der 4662 open. Wie bekomm ich die jetzt noch auf stealth?

Oh mann! Wenn Du *mule benutzen willst, kannste die Ports nicht stealth bekommen!

Kann mir vielleicht jemand erklären, warum ich mit eMule unter Windows die Ports 4665 und 4672 stealth habe und unter Linux nur closed. Den Port 4662 unter Windows sporadisch offen und unter Linux ständig offen habe? Ich kappier das nicht so ganz.

Deinen STEALTH zustand... wenn man es so nennen mag .... :kopschüttel:
würdest du ja wie schon bemerkt mit nem DROP zustandebommen...

Nur, wenn du emule weiterhin benutzen willst, kannst diese Ports ja nicht einfach droppen da sonnst ja keine IP PAKETE (<--- darum gehts ja die ganze Zeit hier ;) ) mehr ankommen können :)

Dat is ne schelchte Idee....

Gruß Temp

Deinen STEALTH zustand... wenn man es so nennen mag .... :kopschüttel:
würdest du ja wie schon bemerkt mit nem DROP zustandebommen...

Dann kannste mir bestimmt auch sagen wo und wie ich einstellen kann, dass einzelne Ports gedropt werden. Dann würde ich wenigstens den Port 113 gerne stealth bekommen. Der hat ja mit aMule nix zu tun.

ich sag mal nur "man iptables"

da kannst du das SEHR einfach nachlesen?
Ich denk du willt dich ja mit firewalls auskennen also les mal nach. Dort ist das ganze sehr schön beschrieben..
Dr. Google hilft auch wenn du die manpage nicht verstehen solltest

Auf der Seite des Oreilly Open-Book Projekts (http://www.oreilly.de/german/freebooks/linuxfireger/) gibts das sehr gute Buch
"Linux-Firewalls - Ein praktischer Einstieg" kostenlos!

Würde fast schon sagen es ist ne Pflichtlektüre!

mfg
cane