[Beveiligingsrisico] Enkele poorten sluiten

Volgens mij mis je iets.

Poorten staan "open" als er op geluisterd wordt door een draaiend programma. Dus het aanwezig zijn van telnet.exe op je XP-client zorgt er niet voor dat er op poort 23 geluisterd wordt! Je kunt met dit programma verbinding maken naar andere computers, maar ook op andere poorten dan 23.

Hoe bedoel je nu dat er poorten op je modem open staan, en hoe kom je hier bij? Het zou kunnen dat er intern op deze poorten geluisterd wordt op je modem, voor firmware-upgrades en management. Zolang de modem niet op het externe adres luistert kan dit geen kwaad.

Ga maar eens kijken of je ergens (remote) beheerfunctionaliteit hebt staan in je Router/modem Userinterface.

poort 21 is FTP, meestal voor firmware uploads en 23 is telnet voor command line management van je router.

Als je een Zyxel hebt dan kun je die ook instellen dat ze niet vanaf de internet zijde gebruikt kunnen worden (en dan zijn de ports ook niet meer zichtbaar).

Heb je al eens getest om met een ftp client of telnet of een poortscanner een connectie naar die poorten te openen? Wat krijg je voor informatie terug?

Kun je de output van "netstat -a" eens posten?

[ Voor 14% gewijzigd door Bor op 17-03-2009 19:21 ]

Met welk programma heb je gescanned? Probeer anders eens met nmap:

nmap -sS -sV [target]

Dan krijg je de serviceses terug.

^^ nmap is voor linux standaard, voor windows apart te installeren dus waarschijnlijk beschikt TS hier niet over.
post eens de output van netstat -ano (eerst start->uitvoeren->cmd zodat je het command prompt venster hebt).
met deze output kan je onmiddellijk via de pid in het taakvenster zien welke programma's met welke poorten geassocieerd zijn.
vele online scanners melden onterecht dat er aantal dingen open staan, over welke site hebben we het hier?

Verwijderd schreef op dinsdag 17 maart 2009 @ 17:40:
Ik ben te weten gekomen dat deze poorten open staan door mijn externe IP in een poortscan programma in te tikken. Die geeft aan dat er enkele poorten open staan, waaronder 21 en 23.

Dat is dus op je modem/router, niet op je PC.
Als je geen portforwardings hebt ingesteld staan (gezien je andere topic Via mijn modem naar mijn harde schijf zou je dat eens moeten nakijken) zijn dat de maintenance poortjes van je router.

Verwijderd schreef op zondag 24 januari 2010 @ 01:17:

Er staan echter wel een paar poorten open (23, 20). nmap -sV -sS EXTERNE-IP laat dit zien. Maar dit heb ik vanuit mijn LAN gescand, van binnenuit dus.

En waarom heb je dat dan niet van buitenaf gedaan?

Als deze poorten ook open blijken te zijn vanaf een remote locatie, hoe kan ik deze sluiten?

Die poorten staan echt niet open als je niets bijzonders hebt geconfigureerd. En dan nog. Je hebt toch een degelijk wachtwoord hoop ik?

Verwijderd schreef op zondag 24 januari 2010 @ 02:12:
Die poorten staan echt niet open als je niets bijzonders hebt geconfigureerd. En dan nog. Je hebt toch een degelijk wachtwoord hoop ik?

Die poorten staan wel degelijk open bij ADSL, KPN kan daar nieuwe configuraties over pushen. Dit was in ieder geval zo bij de oude Speedtouch 516.

[ Voor 7% gewijzigd door CodeCaster op 24-01-2010 11:34 ]

Verwijderd schreef op zondag 24 januari 2010 @ 11:31:
[...]


Dat staat in verschillende TOS van veel ISP's. Het verkeer die je dan genereert zal vrijwel meteen opvallen.

Neehoor, dat merkt niemand. Bovendien is het je goed recht je eigen spullen te scannen.

Maar goed, speedtouches hebben naar buiten in principe niets open staan (als je geen UPnP-achtige dingen doen). Maar als je van binnenuit scant krijg je wel resultaten ja.

CodeCaster: er worden geen configuraties naar speedtouches gepusht, zover mij bekend. Dat wordt door 't modem zelf met tftp gedaan.

[ Voor 12% gewijzigd door CyBeR op 24-01-2010 11:35 ]

Verwijderd schreef op zondag 24 januari 2010 @ 11:40:
[...]


Dat kan wel eens verschillen per ISP. Maar in het algemeen zijn ze daar heel voorzichtig mee (logisch). Want een scan poging kan een eerste stap zijn in een hack poging.

Bovendien zijn de packets die je over de WAN stuurt, die dus in het netwerk van een bepaalde ISP ontstaan, als een DoS aanval kunnen worden gezien.

Geloof me, niemand die er iets om geeft.

TS, heb je al geprobeerd van buitenaf te laten scannen om zeker te weten dat je poorten echt bereikbaar zijn?
Dat kan bijv. via https://www.grc.com/x/ne.dll?bh0bkyd2

Simpele manier om te kijken of die poorten echt openstaan aan de buitenkant is om vanaf een extern systeem (pc van een vriend/ouders/school/etc.) vanaf een command prompt het volgende uit te voeren:

telnet <jouw externe ip adres> <poortnummer>

Krijg je iets als connection refused/timed out, dan staat die poort waarschijnlijk dicht, krijg je een andere reactie (meestal iets van een versie banner ofzo) dan staat die poort open. Zolang er geen protocol check door een firewall gedaan wordt, is dat een behoorlijk betrouwbare manier om te testen.

Maar als Shields Up aangeeft dat die poorten niet open staan, dan kun je d'r gevoeglijk van uit gaan dat ze ook echt dicht zitten.

Antaresje schreef op zondag 24 januari 2010 @ 17:47:
Simpele manier om te kijken of die poorten echt openstaan aan de buitenkant is om vanaf een extern systeem (pc van een vriend/ouders/school/etc.) vanaf een command prompt het volgende uit te voeren:

telnet <jouw externe ip adres> <poortnummer>

Krijg je iets als connection refused/timed out, dan staat die poort waarschijnlijk dicht, krijg je een andere reactie (meestal iets van een versie banner ofzo) dan staat die poort open. Zolang er geen protocol check door een firewall gedaan wordt, is dat een behoorlijk betrouwbare manier om te testen.

Dat lijkt mij een behoorlijk onjuiste aanname.
Er kan namelijk prima een poort in de firewall van de router open staan, zónder dat er een server of ander programma op de router en/of achterhangende pc draait om te beantwoorden aan requests die op die betreffende poort binnen komen.
Kan dus prima zijn dat je op die manier test, geen reactie of banner o.i.d. krijgt, maar de poort toch wagenwijd open staat voor de buitenwereld.

Zover ik weet kun je behoorlijk vertrouwen op Shields Up. Staat daar een poort open dan kun je er m.i. van uit gaan dat 'ie ook echt open staat, staat 'ie als closed dan is de poort gesloten, maar wel te zien van buitenaf, en staat 'ie als stealth bestempeld dan is hij niet te zien en zit je (redelijk) safe.

Verwijderd schreef op zondag 24 januari 2010 @ 22:00:
[...]


Dat lijkt mij een behoorlijk onjuiste aanname.
Er kan namelijk prima een poort in de firewall van de router open staan, zónder dat er een server of ander programma op de router en/of achterhangende pc draait om te beantwoorden aan requests die op die betreffende poort binnen komen.
Kan dus prima zijn dat je op die manier test, geen reactie of banner o.i.d. krijgt, maar de poort toch wagenwijd open staat voor de buitenwereld.

Ok, met telnet kun je inderdaad voornamelijk iets zeggen of er een service luistert op een bepaalde poort, maar volgens mij is dat precies wat TS wil weten. Het gaat niet over portforwarding, het gaat hem erom of er services op z'n router draaien die op het WAN ip luisteren.

Ik probeer ook niet te zeggen dat telnet de moeder aller portscanners is, maar onderschat niet de kracht van een simpel tooltje dat op zo'n beetje elk systeem aanwezig is.

Wat je ook nog even kan proberen is dit progje: http://www.grc.com/lt/leaktest.htm