KabelBW Helpdesk Archiv

hallo Sebastian,

ich meinte eine Seite die meine Router-Firewall von aussen testet. Im lokalen LAN macht eine Abschottung der Rechner gegeneinander für mich keinen Sinn. Daher stellt für mich die Firewall des Routers der einzige und wichtigste Abwehrschild dar.
Solche von aussen initiirte Tests liegen ja jetzt rechtlich in der Grauzone ( dank Herrn Schäuble) obwohl sie die einzige Möglichkeit sind die Sicherheitseinstellungen einer Firewall richtig zu testen.
Früher gabs das mal bei www.heise.de/ct.

Gruß

archy

Hallo,



Und genau das macht "Shields Up" von www.grc.com doch! [img]images/smiles/003.gif[/img]



Ich sehe nicht ganz, wo da das rechtliche Problem liegen sollte, wenn man einen Portscan von außen gegen den eigenen Rechner fährt. Ein Portscan ist ja zunächst mal nichts anderes, als an jedem Port mit den normalen Internet-Protokollen anzufragen, ob jemand antwortet. Das ist ein völlig normaler Prozeß (ohne würde das Netz nicht funktionieren). Daß eben alle Ports und das auch noch ziemlich schnell abgefragt werden, sollte m.E. unerheblich sein.

Ich kann mich natürlich auch täuschen - womöglich ist das inzwischen auch nicht mehr erlaubt in .de. [img]images/smiles/018.gif[/img]


Anders würde es aussehen, wenn man durch einen DoS bzw. dDoS versuchen würde, den eigenen Router von außen "abzuschießen". Der dabei erzeugte Traffic könnte auch die Systeme des Providers und damit anderer Kunden beeinträchtigen und würde bestimmt für Ärger sorgen.

Viele Grüße,

Sebastian
_________________
[url=http://www.buergernetz-dielheim.de]

Bürgernetz Dielheim / Wiesloch[/url] - Forum - Aktionen
Internet über TV-Kabel bis 32 MBit/s!

hallo Sebastian,

ich hatte einfach Tomaten auf den Augen und nur die "Leak-Test.exe" gefunden. Jetzt hatte ich das richtige. Danke nochmals für den Hinweis auf den Namen Shields-UP.

Hier das Ergebnis von Linux aus:

Attempting connection to your computer. . .
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!
Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.
Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

das muss ich dann später noch von den Windows-Kisten aus probieren. Da ja die Firewall im Router sitzt ( LANCOM 1821+ ist ein feines Teil) glaube ich dass es genauso ausgehen wird.

nochmals Danke und falls jemand die Regeln wissen will geb ich sie gerne weiter. Nur muss mas dann ja auf jedem Router anders eingeben.

Gruß

archy

Ja, das wird genauso ausgehen. Wie auch mit *jedem* NAT-Router, den Du zu diesem Zweck einsetzen kannst. So ein NAT-Router kann ja ankommende Pakete überhaupt nicht weiterleiten, solange keine Forwarding-Regel angelegt ist.
Besonders "feine" Firewalls (Stateful Inspection, etc.) kannst Du mit einem solchen primitiven Test von außen jedenfalls nicht testen.

Hallo archy,



Das wird genauso ausgehen. Was Deine Rechner hinter dem Router an offenen Ports haben, sieht der Scanner von außen nicht (außer Du richtest explizit Portforwarding-Regeln ein, die das ermöglichen - dann weißt Du aber meistens auch, was Du tust).

Der von Dir gemachte Test scheint nur der für die Windows-Freigaben zu sein, testet also nur ganz wenige Ports. Es gibt bei grc.com auch einen weiteren Scan, der zumindest die Ports < 1024 komplett scannt ("all service ports"), und darüber hinaus weitere Bereiche nach Wahl ("user specified custom port probe") scannen kann. Laß' den mal laufen.

Viele Grüße,

Sebastian
_________________
[url=http://www.buergernetz-dielheim.de]

Bürgernetz Dielheim / Wiesloch[/url] - Forum - Aktionen
Internet über TV-Kabel bis 32 MBit/s!