veiligheid - test shields up

[summer of 69]

Testresultaten van "shields up"
1ste test :

Attempting connection to your computer. . .
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!
   Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.
   Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

Hier blijkt alles in orde maar test van "common ports" blijken é poorten open te staan : ping en telnet

2de test :

GRC Port Authority Report created on UTC: 2008-03-02 at 09:17:04

Results from scan of ports: 0, 21-23, 25, 79, 80, 110, 113,
                            119, 135, 139, 143, 389, 443, 445,
                            1002, 1024-1030, 1720, 5000

    2 Ports Open
   20 Ports Closed
    4 Ports Stealth
---------------------
   26 Ports Tested

Ports found to be OPEN were: 23, 80

Ports found to be STEALTH were: 25, 135, 139, 445

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

Moet ik nu iptables wijzigen of evt. firestarter installeren.
Al bedankt voor de hulp

[Scormen]

Firestarter is de GUI van iptables, dus de twee zijn één.
Het is misschien het simpelste van firestarter te installeren en de poorten weer te sluiten.

Voor de andere lezers, ShieldsUP is hier te vinden: https://www.grc.com/x/ne.dll?bh0bkyd2

Kris

[summer of 69]

Firestarter is de GUI van iptables, dus de twee zijn één.
Het is misschien het simpelste van firestarter te installeren en de poorten weer te sluiten.

Voor de andere lezers, ShieldsUP is hier te vinden: https://www.grc.com/x/ne.dll?bh0bkyd2

Kris

oja, sorry dat ik die link niet vermeldde Shields up
Is het wel aangewezen en mogelijk om die poorten te sluiten. Ik herinner me een test op m'n xp machine bij symantec (firewall van Norton up and running) waarbij dezelfde poorten open bleken te staan.

[Scormen]

Als je je (linux) systeem voor de eerste maal installeert, staan alle poorten dicht.
Let er wel op, zit je achter een router? Zoja, dan moet je daar ook even in kijken, want dan is het een teken dat je router de ping- en telnet pakketjes naar jouw computer doorstuurt (port forwarding).

Waarvoor die ping-poort dient, weet ik eigenlijk niet (iemand?). De telnet poort dient zodat je vanaf een externe computer door het commando "telenet hier-het-ip-nummer" in je computer kan komen en die vanop afstand besturen. Als je dit niet echt nodig hebt, zet je die poort best dicht.

Zie ook: http://nl.wikipedia.org/wiki/Telnet

Kris

[summer of 69]

idd, in m'n router (aethra FS4104-AW) staat bij internal services poort 23 vermeld voor Telnet.
Hoe zet ik die nu stealth of closed in firestarter. Ik heb hier echt geen enkele ervaring mee

[Scormen]

Ik zou eerst en vooral de port forwarding in je router uitschakelen, dan is de eerste schakel naar je computer al terug afgezet. Staat de port forwarding uit, dan kunnen externe computers al niet meer bij jouw computer geraken, omdat ze niet verder geraken dan jouw router.

Firestarter kan je starten via Systeem - Beheer - Firestarter.
Vervolgens ga je naar het tabblad Beleid.
Als je poort werkelijk open staat, zal deze in dit venster staan. Je kan hem dan selecteren en vervolgens de regel verwijderen.

Kris

[Prosper]

Heb net nog even de test gedaan vanuit m'n virtuele XP.  Perfect rating: alles stealth

[joop905]

net even de test gedaan,  Perfect rating: alles stealth

[summer of 69]

ja zeg, fijn voor jullie

[summer of 69]

Ik zou eerst en vooral de port forwarding in je router uitschakelen, dan is de eerste schakel naar je computer al terug afgezet. Staat de port forwarding uit, dan kunnen externe computers al niet meer bij jouw computer geraken, omdat ze niet verder geraken dan jouw router.

Firestarter kan je starten via Systeem - Beheer - Firestarter.
Vervolgens ga je naar het tabblad Beleid.
Als je poort werkelijk open staat, zal deze in dit venster staan. Je kan hem dan selecteren en vervolgens de regel verwijderen.

Kris

Volgens portforwarding aethra is port forwarding alleen mogelijk bij een static ip en dat is niet het geval (dhcp ingesteld)
op het tabblad "beleid" van firestarter staat niks.

[Scormen]

Om te beginnen, zet je het kadertje van firestarter volledig links op je scherm, dat werkt beter

Klopt, dat is enkel "mogelijk" bij een statisch IP. Anders zou je als je telnet steeds bij een andere computer uitkomen.
Er staat niets in, dus staan je beide poorten wel degelijk dicht.

Heb je de ip forwarding in je router uitgeschakeld? Zoja, doe de test van ShieldsUP nogmaals, ik denk dat alles dan groen zal zijn.

Kris

[summer of 69]

Om te beginnen, zet je het kadertje van firestarter volledig links op je scherm, dat werkt beter

Klopt, dat is enkel "mogelijk" bij een statisch IP. Anders zou je als je telnet steeds bij een andere computer uitkomen.
Er staat niets in, dus staan je beide poorten wel degelijk dicht.

Heb je de ip forwarding in je router uitgeschakeld? Zoja, doe de test van ShieldsUP nogmaals, ik denk dat alles dan groen zal zijn.

Kris

Hoe  schakel je verdomme die port forwarding uit. Heb al alle instellngen gelezen maar ik kom er niet uit. Die aethra router regelt ook belgacom tv dus durf ik er niet echt mee knoeien

Hier een screenshot van de webserver :



...en hier de desktop zonder firestarter, dat bedoelde je toch hé

http://picasaweb.google.be/guyenlutgard/Linux/photo#5174225407869520626

[bwman]

Aaaaaaah twas ni de desktop dat de firestarter was

[summer of 69]

helaba, tis de eerst screenshot waar je naar moet kijken

[summer of 69]

Hallo iedereen,
Blijkbaar vond photobucket m'n desktopafbeelding niet kunnen want hij was verwijderd, tja
Anyway, ik krijg bij shields up nog altijd de melding dat poort 23(telnet) en 80(ping) open staan. Over port forwarding vind je blijkbaar genoeg info om deze in te stellen, maar niet om die uit te schakelen.
http://www.portforward.com/english/routers/port_forwarding/Aethra/FS4104-AW/default.htm
Ik heb helemaal geen ervaring met netwerkbeheer, dus die webserver van m'n router Aethra FS4104-SW is moeilijk.
Heb wel volgende scherm gevonden bij advanced-internal configurations-internal services :



Kan ik hier ongestraft de poort 23 verwijderen of zit ik verkeerd

[summer of 69]

Niemand een idee ?
Heb me hier de laatste dagen al door een berg info gesleept over iptables en firestarter maar telkenmale bij de shields up test : 23 en 80 open.
In de configuratie van de aethra router is weinig te verandren vrees ik, een aantal gebruikers beweren dat die is aangepast door Belgacom voor digitale tv (ik gebruik die ook daarvoor)
Het moet toch mogelijk zijn om via iptables die poorten te sluiten. Ik krijg ook een hele boterham bij het volgende :

Code: [Selecteer]

guy@PC3:~$ sudo iptables -L
Password:
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     tcp  --  atos038555           anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT     udp  --  atos038555           anywhere            
ACCEPT     0    --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply limit: avg 1/sec burst 5
LSI        udp  --  anywhere             anywhere            udp dpt:33434
LSI        icmp --  anywhere             anywhere            
DROP       0    --  anywhere             255.255.255.255    
DROP       0    --  anywhere             192.168.1.255      
DROP       0    --  BASE-ADDRESS.MCAST.NET/8  anywhere            
DROP       0    --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       0    --  255.255.255.255      anywhere            
DROP       0    --  anywhere             0.0.0.0            
DROP       0    --  anywhere             anywhere            state INVALID
LSI        0    -f  anywhere             anywhere            limit: avg 10/min burst 5
INBOUND    0    --  anywhere             anywhere            
LOG_FILTER  0    --  anywhere             anywhere            
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target     prot opt source               destination        
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply limit: avg 1/sec burst 5
LSI        udp  --  anywhere             anywhere            udp dpt:33434
LSI        icmp --  anywhere             anywhere            
LOG_FILTER  0    --  anywhere             anywhere            
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Forward'

Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     tcp  --  pc3                  atos038555          tcp dpt:domain
ACCEPT     udp  --  pc3                  atos038555          udp dpt:domain
ACCEPT     0    --  anywhere             anywhere            
DROP       0    --  BASE-ADDRESS.MCAST.NET/8  anywhere            
DROP       0    --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       0    --  255.255.255.255      anywhere            
DROP       0    --  anywhere             0.0.0.0            
DROP       0    --  anywhere             anywhere            state INVALID
OUTBOUND   0    --  anywhere             anywhere            
LOG_FILTER  0    --  anywhere             anywhere            
LOG        0    --  anywhere             anywhere            LOG level info prefix `Unknown Output'

Chain INBOUND (1 references)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
LSI        0    --  anywhere             anywhere            

Chain LOG_FILTER (5 references)
target     prot opt source               destination        

Chain LSI (6 references)
target     prot opt source               destination        
LOG_FILTER  0    --  anywhere             anywhere            
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST
LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       icmp --  anywhere             anywhere            icmp echo-request
LOG        0    --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP       0    --  anywhere             anywhere            

Chain LSO (2 references)
target     prot opt source               destination        
LOG_FILTER  0    --  anywhere             anywhere            
LOG        0    --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT     0    --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain OUTBOUND (1 references)
target     prot opt source               destination        
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
LSO        tcp  --  anywhere             anywhere            tcp dpt:telnet
LSO        udp  --  anywhere             anywhere            udp dpt:23
ACCEPT     0    --  anywhere             anywhere

[Johan van Dijk]

Poort 23 en 80 hoeven niet open te staan op jouw computer. Het enige wat je met shields-up test is of er een reactie komt vanaf die poorten. Die poorten kunnen open staan op jouw computer, een andere computer binnen je netwerk of op de router.

Poort 80 wordt meestal gebruikt door webservers, dus het kan zijn dat je een webserver draait op je computer. Of het is de web interface van je router.
Poort 23 wordt meestal gebruikt door telnet servers. Het is onwaarschijnlijk dat je zelf een server hebt draaien op je computer, maar het is waarschijnlijker dat er op je router een telnet server draait.

Ik denk dus dat je router open staat, niet je computer. Dit zou ingesteld kunnen zijn door de provider, maar je kan ook zelf een foutje hebben gemaakt bij de instellingen.
In veel gevallen kan je ergens instellen of de router beheerd mag worden vanaf de internet kant (WAN), de interne kant (LAN) of beide. Die instelling moet je dan zetten op alleen LAN. Dit kan ook voorkomen dat onbekenden de instellingen van je router kunnen veranderen.

Als je zeker wil zijn of er niet een proces op jouw computer draait die luistert op poort 80 of 23, dan kan je het volgende commando uitvoeren:
sudo lsof -i

Of specifieker:
sudo lsof -i :23
sudo lsof -i :80

Als er geen processen gevonden worden, kunnen die reacties van de betreffende poorten niet van je computer vandaan komen.

[Gandyman]

Wat je ook nog kan ingeven is
sudo netstat -atp

Nu krijg je waarschijnlijk een uitkomst zoals dit

tcp        0      0 localhost:smtp          *:* ...
tcp        0      0 *:ident          *:* ...

Wat je hiervan leert is dat deze 2 processen aan het luisteren zijn , wat totaal geen kwaad kan.

Nog een leuke opdracht is:
sudo netstat -pant

dit geeft echt een duidelijk overzicht wat er gebeurt.

Hier vind je ook nog wel iets leuks:
http://www.debian-administration.org/articles/268

[summer of 69]

Bedankt voor de reactie jongens.
Hier de uitdraai :

Code: [Selecteer]

guy@PC3:~$ sudo lsof -i :23
guy@PC3:~$ sudo lsof -i :80
guy@PC3:~$Blijkbaar geen reactie

Code: [Selecteer]

guy@PC3:~$ sudo netstat -atp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name  
tcp        0      0 localhost:2208          *:*                     LISTEN     4912/hpiod          
tcp        0      0 localhost:ipp           *:*                     LISTEN     4888/cupsd          
tcp        0      0 localhost:2207          *:*                     LISTEN     4920/python        
tcp        0      0 pc3:33241               dyna-addons.nllb0:https ESTABLISHED5499/firefox-bin    
tcp        0      0 pc3:33242               dyna-addons.nllb0:https ESTABLISHED5499/firefox-

Code: [Selecteer]

guy@PC3:~$ sudo netstat -pant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name  
tcp        0      0 127.0.0.1:2208          0.0.0.0:*               LISTEN     4912/hpiod          
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN     4888/cupsd          
tcp        0      0 127.0.0.1:2207          0.0.0.0:*               LISTEN     4920/pythonZoals ik al zei, ik heb echt te weinig ervaring met netwerkbeheer (eigenl.geen)
Veel wijzer wordt ik hier niet van. En de instellingen van die Aethra router heb ik niet zelf gedaan. Dat werd door de Belgacom technieker ingesteld. Zoals Johan zei, dat beheer van de wan of lan zijde, ik zou niet dirct weten waar zoeken. Het risico dat ik de instellingen om zeep help (heb ik ook geen tv meer)

[Gandyman]

Die onderste 2 outputs spreken voor zich lijkt me ??

Je ziet dus ook dat alle poorten gesloten zijn naar buiten.

De enigste poorten waarop geluisterd word, word gedaan door localhost, eg 127.0.0.1:2208 dus hij luisterd op poort 2208.
Dus de enige actieve proggie's die luisteren zijn , hpiod, cupsd , python

[Johan van Dijk]

Je computer staat dus dicht. Het zijn de web en telnet services van je router die open staan naar de buitenwereld.
Het hangt helemaal af van het merk en type router of je dat aan kan passen.

[summer of 69]

Thanks guys,
Ik vond het al raar dat ik onder linux zulke waarschuwing kreeg van "shields up".
Het enige scherm in de webserver van m'n Aethra router met betrekking tot die poorten lijkt me dit : (zie post 15) Daar zou ik het veld "23" kunnen leegmaken, maar is dat echt wel zo nodig. Op andere fora heb ik zoals gezegd al verschillende ervaringen van gebruikers gelezen die beweren dat Belgacom die router speciaal heeft geconfigureerd voor digital tv, dus zelf aan veranderen blijkt moeilijk omdat je nergens een duidelijke handleiding vindt (en zeker bij Belgacom niet) Ik kan altijd eens proberen bij de helpdesk, maar daar twijfel ik ook aan. Volgens jullie is er dus wat linux betreft geen vuiltje aan de lucht MS is wss al een ander verhaal.

[Gandyman]

Volgens mij is er nix an de hand.

[summer of 69]