Sven Rautenberg: portscan und die Folgen

Beitrag lesen

Moin!

Ein guter Port-Scanner mit Informationen zu den einzelnen Ports: https://grc.com/x/ne.dll?bh0bkyd2

Nö, als "gut" würde ich diese Site nicht mehr bezeichnen.

Die rein technische Information über offene Ports ist sicher korrekt. Was aber zumindest disskussionswürdig ist, sind die fragwürdigen Ratschläge und generelle Panikstimmung auf dieser Site.

Negativ zu bewerten sind OFFENE Ports. Diese bedeuten, dass Software, welche fehlerhaft oder schlecht konfiguriert sein kann, auf Anfragen aus dem Internet wartet und wahrscheinlich Antworten gibt.

Positiv hingegen sind GESCHLOSSENE Ports, weil das bedeutet, dass entweder keine Software auf Anfragen wartet, oder weil eine Firewall den Zugriff blockt. Geschlossene Ports sind der NORMALZUSTAND.

Der gute Herr Gibson ist aber der Ansicht, man könne auch geschlossene Ports mit irgendeiner Gewalt "aufbrechen", genauso wie man eine geschlossene Tür aufbrechen könnte. Diese Ansicht wird durch keinerlei praktische Vorführung untermauert.

Herr Gibson meint, der einzige vernünftige Zustand für einen Port ist "stealth", weil man dann "unsichtbar" wäre.

Mal eine dumme Frage, Herr Gibson: Wenn man unsichtbar wäre, wie können sie dann feststellen, dass der Port auf "stealth" ist? Und was macht sie so sicher, dass man nicht auch einen Stealth-Port mit irgendeiner Gewalt "aufbrechen" könnte? Schließlich ist auch für die Realisierung geschlossener und Stealth-Ports eine Software zuständig, welche fehlerhaft sein kann.

Wie in der Personal-Firewall-FAQ nachzulesen ist: Um im Internet "unsichtbar" zu sein, müßte man auf Verbindungsanfragen nicht "garnicht" reagieren, sondern ein "ICMP unreachable"-Datenpaket mit der IP des übergeordneten Routers senden. Das würde er nämlich selbst auch tun, wenn er eine IP anzusprechen versucht, die tatsächlich nicht online ist.

Aber auch dieses Versteckspiel kann nur begrenzt gutgehen, denn natürlich will man dann doch irgendwann mal von einem Server Daten haben, und da diese nicht mit "hier ist niemand" abgewiesen werden, muß es ja offensichtlich einen existierenden Rechner geben.

Merke: Nicht alle, die viel und scheinbar kompetent von Firewalls schreiben und sich "Experten" nennen, sind das auch in letzter Konsequenz.

- Sven Rautenberg