Allgemeine Einstellungen

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Allgemeine Einstellungen

      Hallo,
      Ich habe etwas sehr erstaunliches rausgefunden mit Nmap was mich auch zu der allgemeinsten der Firewallfragen für Endian führt:
      und zwar bin ich mit meinem Netzwerk per VPN verbunden und habe in der VPN-firewall explizit alle Verbindungen von VPN-Usern (all) zu VPN-User x gesperrt (ABLEHNEN). ausser Dateifreigabe mittels SMB(all) also Port 137,139,445. Nun endeckt Nmap eine weitere offene Verbindung:
      Discovered open port 49154/tcp

      Wie kann das sein ?

      Somit möchte ich mich verunsichert mit Folgender Frage vorwagen:

      Muss ich erst nachdem ich Endian installiert habe absolut die Firewall konfigurieren?
      oder ist die Standard-Einstellung gerade von ROT aus betrachtet werksmäßig save?

      Ich habe Endian hinter einen Speedport gehängt und habe gerade mal von aussen einen Test durchlaufen lassen und weitere beunruhigende Ergebnisse erhalten:
      80/tcp open http
      5060/tcp open sip

      Weiter zeigt mir Nmap mehrere andere Ports als open|filtered an und identifiziert mir das Betriebsystem als IPCop firewall 1.3.10-1.4.18
      Bitte schreibt mir Meinungen und Kommentare, dafür wäre ich sehr dankbar
    • Re: Allgemeine Einstellungen

      Hallo,
      ich hab das gerade mit meiner EFW-Soft-Appliance(2.2)
      probiert dort ist Port 80 offen, aber nur wenn ich von Intern das ROTE IF mit NMAP prüfen lasse.
      Dann wird auch das OS als IPCop erkannt.
      Wenn ich intern bei mir die dyndns.org Adresse öffne lande ich später via Port 80 und mit Umleitung auf 10443 auf der Admin oberfläche, das klappt aber nur wenn ich von Intern grün bei mir auf extern eigenes ROT IF zugreife.

      hier das Log aus NMAP

      Quellcode

      1. Starting Nmap 5.21 ( http://nmap.org ) at 2010-01-27 08:09 Mitteleuropäische Zeit
      2. NSE: Loaded 36 scripts for scanning.
      3. Initiating Ping Scan at 08:09
      4. Scanning irgendeinddns.dyndns.org (xxx.xxx.xxx.xxx) [8 ports]
      5. Completed Ping Scan at 08:09, 0.39s elapsed (1 total hosts)
      6. Initiating Parallel DNS resolution of 1 host. at 08:09
      7. Completed Parallel DNS resolution of 1 host. at 08:09, 0.05s elapsed
      8. Initiating System CNAME DNS resolution of 1 host. at 08:09
      9. Completed System CNAME DNS resolution of 1 host. at 08:09, 0.00s elapsed
      10. Initiating SYN Stealth Scan at 08:09
      11. Scanning irgendeinddns.dyndns.org (xxx.xxx.xxx.xxx) [1000 ports]
      12. Discovered open port 53/tcp on xxx.xxx.xxx.xxx
      13. Discovered open port 80/tcp on xxx.xxx.xxx.xxx
      14. Completed SYN Stealth Scan at 08:09, 11.56s elapsed (1000 total ports)
      15. Initiating Service scan at 08:09
      16. Scanning 2 services on irgendeinddns.dyndns.org (xxx.xxx.xxx.xxx)
      17. Completed Service scan at 08:09, 6.34s elapsed (2 services on 1 host)
      18. Initiating OS detection (try #1) against irgendeinddns.dyndns.org (xxx.xxx.xxx.xxx)
      19. Retrying OS detection (try #2) against irgendeinddns.dyndns.org (xxx.xxx.xxx.xxx)
      20. Initiating Traceroute at 08:09
      21. Completed Traceroute at 08:09, 0.31s elapsed
      22. Initiating Parallel DNS resolution of 17 hosts. at 08:09
      23. Completed Parallel DNS resolution of 17 hosts. at 08:09, 0.09s elapsed
      24. Initiating System CNAME DNS resolution of 1 host. at 08:09
      25. Completed System CNAME DNS resolution of 1 host. at 08:09, 0.00s elapsed
      26. NSE: Script scanning xxx.xxx.xxx.xxx.
      27. NSE: Starting runlevel 1 (of 1) scan.
      28. Initiating NSE at 08:09
      29. Completed NSE at 08:09, 4.41s elapsed
      30. NSE: Script Scanning completed.
      31. Nmap scan report for irgendeinddns.dyndns.org (xxx.xxx.xxx.xxx)
      32. Host is up (0.17s latency).
      33. Not shown: 828 closed ports, 170 filtered ports
      34. PORT STATE SERVICE VERSION
      35. 53/tcp open domain dnsmasq 2.45
      36. 80/tcp open http lighttpd
      37. | robots.txt: has 9 disallowed entries
      38. | /sear /imag /redirect.php /site-php/ /kwpop.php
      39. |_/uniques.php /contact.php /offer.php /inquiry.php
      40. |_http-favicon: Unknown favicon MD5: DF2F8939CEFE421F0966AA6B14830C86
      41. |_html-title: dydns.org
      42. Device type: firewall|general purpose|WAP|broadband router|webcam
      43. Running (JUST GUESSING) : IPCop Linux 2.4.X (95%), Linux 2.6.X|2.4.X (94%), Linksys Linux 2.4.X (93%), Check Point Linux 2.4.X (88%), USRobotics ebedded (88%), AXIS Linux 2.6.X (86%)
      44. Aggressive OS guesses: IPCop firewall 1.4.10 - 1.4.21 (Linux 2.4.31 - 2.4.36) (95%), Linux 2.6.19 - 2.6.24 (94%), OpenWrt 0.9 - 7.09 (Linux 2.4.30 - 2.4.34) (94%), Linux 2.6.22 (Fedora 7) (93%), OpenWrt White Russian 0.9 (Linux 2.4.30) (93%), OpenWrt Kamikaze 7.09 (Linux 2.6.22) (93%), Linux 2.6.18 (91%), Linux 2.6.18 - 2.6.21 (90%), Linux 2.6.8 - 2.6.27 (90%), OpenWrt Kamikaze 7.09 (Linux 2.6.17 - 2.6.21) (90%)
      45. No exact OS matches for host (test conditions non-ideal).
      46. Network Distance: 17 hops
      47. TCP Sequence Prediction: Difficulty=190 (Good luck!)
      48. IP ID Sequence Generation: All zeros
      49. TRACEROUTE (using port 3389/tcp)
      50. HOP RTT ADDRESS
      51. 1 0.00 ms gateway.freaky-media.local (192.168.124.1)
      52. 2 15.00 ms 217.0.118.158
      53. 3 0.00 ms 87.186.248.22
      54. 4 16.00 ms f-ea5-i.F.DE.NET.DTAG.DE (62.154.16.161)
      55. 5 15.00 ms 62.156.138.94
      56. 6 16.00 ms ffm-bb1-link.telia.net (80.91.251.154)
      57. 7 63.00 ms prs-bb1-link.telia.net (80.91.249.45)
      58. 8 125.00 ms ash-bb2-link.telia.net (80.91.251.102)
      59. 9 141.00 ms atl-bb1-link.telia.net (80.91.252.218)
      60. 10 188.00 ms mai-bb1-link.telia.net (80.91.251.29)
      61. 11 172.00 ms asurnet-ic-134141-mai-b1.c.telia.net (213.248.72.6)
      62. 12 172.00 ms so-1-0-0-nam-core02.columbus-networks.com (63.245.5.68)
      63. 13 141.00 ms 63.245.47.90
      64. 14 157.00 ms 10.254.0.1
      65. 15 157.00 ms 10.254.1.67
      66. 16 157.00 ms 24.244.158.2
      67. 17 140.00 ms xxx.xxx.xxx.xxx
      68. Read data files from: C:\Program Files\Nmap
      69. OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
      70. Nmap done: 1 IP address (1 host up) scanned in 34.22 seconds
      71. Raw packets sent: 1447 (65.440KB) | Rcvd: 905 (37.680KB)
      Alles anzeigen


      Nun Teste ich gerade eine andere Firewall aber nicht von intern ans ROTE sondern von meiner Seite aus direkt auf das Rote IF der entfernten FW.

      Da macht er weder ein Tracert, noch zeigt er mit ein Port an,

      Quellcode

      1. Starting Nmap 5.21 ( http://nmap.org ) at 2010-01-27 08:03 Mitteleuropäische Zeit
      2. NSE: Loaded 36 scripts for scanning.
      3. Initiating Ping Scan at 08:03
      4. Scanning dydnsns.name.dyndns.org (xxx.xxx.xxx.xxx) [8 ports]
      5. Completed Ping Scan at 08:03, 2.26s elapsed (1 total hosts)
      6. Nmap scan report for dydnsns.name.dyndns.org (xxx.xxx.xxx.xxx) [host down]
      7. Read data files from: C:\Program Files\Nmap
      8. Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
      9. Nmap done: 1 IP address (0 hosts up) scanned in 5.51 seconds
      10. Raw packets sent: 16 (640B) | Rcvd: 0 (0B)

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Allgemeine Einstellungen

      Ich habe jetzt nochmal einen slow comprehensive scan gemacht und da werden nur 2 offene ports von aus Rot angezeigt.
      Also
      meine Konfiguration ist:
      _______________________________________________
      ------ROT--------> SPEEDPORT -----ENDIAN------LAN
      -----------------1194UDP-----------VPN--|^|
      __________________________________________________

      Eigentlich sollte mir ein Portscanhöchstens den geforwardeten Port 1194 als Open anzeigen, aber anscheinend blockt Endian diesen bei unrechtmäßiger Anfrage, bzw Portscan.
      Aber weiter werden mir bei diesem "slow comprehensive Scan" folgende Informationen offenbart (Von ROT aus):
      PORT STATE SERVICE VERSION

      80/tcp open http-proxy Squid webproxy 2.6.STABLE22

      | http-open-proxy: Potentially OPEN proxy.

      |_ Methods successfully tested: GET HEAD

      |_ http-iis-webdav-vuln: ERROR: This web server is not supported.

      5060/tcp open sip?


      So und nun meine Frage:
      Welche FW-Einstellung beiEndian legt fest welche Ports von aussen erreichbar sind und welche nicht ?
    • Re: Allgemeine Einstellungen

      Ich scanne von ganz aussen über eine andere ip aus dem Internet!

      Ähm , also ist die EndianFIrewall nicht vorkonfiguriert in Bezug auf Sicherheit? Muss ich wohl erst bei Systemzugriff alle einkommenden von ROT auf ABLEHNEN setzen und nur z.B. 1194 UDP freigeben bei Systemzugriff oder hab ich da was falsch verstanden?
      Eigentlich darf kein Webproxy von aussen erreichbar sein weil ich weder eine Gelbe noch Blaue Zone habe, bzw Webdenst läuft.
    • Re: Allgemeine Einstellungen

      Hallo,
      also eigentlich nicht, ich hab bisher mehrere 2.2 im Einsatz sowohl Community als auch Appliance.
      Diese Probleme hatte ich bisher noch nicht, kann das aber gerne mal nachprüfen gegen später und installiere die 2.3 auf einen ESXi Server.

      Standard ist erstmal alles gesperrt bis auf die internen Dienste der EFW
      aber selbst die sind von Rot nicht zu erreichen nur grün.

      gruß

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Allgemeine Einstellungen

      Ich habe auch grad feststellen müssen dass ich eigetnlich keine Dienste anbieten/nutzen möchte von Endian ausser VPN, aber der Webserver-dienst lässt sich nicht deaktivieren. vielleicht ist der ja verantwortlich dafür das Port 80 offen steht... wo schalte ich denn squid ab ? ich habe eigetnlich alle Proxydienste deaktiviert und trotzdem ist der noch angeschalten!
      Systemzugriffsregeln habe ich jetzt 2 manuell erstellt: eine Zulassen für mein OpenVPN-Port von Quellschnittstelle Rot und die andere Regel ALLES von ROT ABLEHNEN als zweite. Bin mal gespannt
    • Re: Allgemeine Einstellungen

      Hab wie gesagt keine 2.3 zur Hand,
      sobald OpenVPN aktiv ist erstellt er eine Regel das 1194 Zugriff auf UDP hat.

      Von außen darf kein 80 erreichbar sein, Proxy läuft Standard auf Port 8080.
      Wenn du die IP von Rot eingibst öffnet sich eine Seite?


      gruß

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Allgemeine Einstellungen

      Hat der Speedport irgend welche Ports offen oder Weiterleitungen ?

      Ich hab bei einem Kunden ein Speedport in Betrieb als Modem, und leite aber alle anfragen die auf den Speedport kommen direkt auf die EFW.

      Machte gerade ein Scann auf diese Firewall 2.2 Appliance Mini,
      Speedport tauchte auf 5060
      u.a. fand NMAP raus das es dahinter ein HP ProCurve gibt :)

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Allgemeine Einstellungen

      Also eigentlich soll das Speedport als Vor Firewall dienen, das den ganzen normalen Schmutz erstmal draussen lässt.
      An dem Speed port ist lediglich als Weiterleitung aktiviert: 1194 UDP für VPN zum Endian
      dann hängt die Endian dahinter und noch ein T-Home Reciever.

      bzgl 5060 habe ich gelesen, dass der offen wegen Voice over IP ist standartmäßig. lässt sich auch nicht austellen.

      "Easy Support" ist wenn ich mich recht entsinne noch aktiv.
      Mein Endian ist die letzte Release 2.3 der Community Version

      /edit:
      Nachdem ich die Systemzugriffsfirewall wie im letzten Post beschrieben konfiguriert habe und übernommen habe ist der Port 80 immernoch offen
    • Re: Allgemeine Einstellungen

      Du hast Port 80 nicht weiter geleitet vom Speedport?
      kann mir nur vorstellen das der von dem kommt, weil was du nicht weiterleitest wird ja am Speedport geblockt.

      Müsste nacher mal schauen ob ich an die Settings von dem Speedport komme. Dann kann ich mal schauen was gesetzt ist,
      kann auch gern den Log posten.

      gruß

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Allgemeine Einstellungen

      Nein ich habe ledeglich 1194 udp weitergeleitet zu endian...
      aber bin ein bisschen beruhigt, da ich bei shieldup grc.com/x/ne.dll?rh1dkyd2 bei common ports alles grün angezeigt bekomme, nur wenn ich von aussen teste.

      Mit nmap mit den Einstellungen nur jetzt für port 80:
      nmap -sS -p 80-80 -T1 -O -A -v -PE -PS22,25,80
      wird mir angeizeigt:
      PORT STATE SERVICE VERSION

      80/tcp open http-proxy Squid webproxy 2.6.STABLE22

      | http-open-proxy: Potentially OPEN proxy.

      |_ Methods successfully tested: GET HEAD

      hm ist das jetzt ein Problem?
      P.S: Auf Ping antwortet der Speedport anscheinend und auf 5060 ist er sogar offen (sip protokoll für voip), kann man die probleme lösen wenn ich den Ping Port und den 5060 port einfach auf Endian umleite oder ins leere laufen lass als Forwardregel?
    • Re: Allgemeine Einstellungen

      also wie gesagt
      den Speedport den ich hier hab da kein Standalone Modem da war hab ich alles direkt an die Firewall geschickt, weil sonnst muss ich extra jedes mal Ports weiterleiten, denn dahinter ist nun auch ein Exchange in Betrieb.

      Ich Poste mal das Log gleich..

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Allgemeine Einstellungen

      Intense Scan NMAP

      Quellcode

      1. Starting Nmap 5.21 ( http://nmap.org ) at 2010-01-27 15:47 Mitteleuropäische Zeit
      2. NSE: Loaded 36 scripts for scanning.
      3. Initiating Ping Scan at 15:47
      4. Scanning xxx.xxx.xxx.xxx [8 ports]
      5. Completed Ping Scan at 15:47, 0.35s elapsed (1 total hosts)
      6. Initiating Parallel DNS resolution of 1 host. at 15:47
      7. Completed Parallel DNS resolution of 1 host. at 15:47, 0.03s elapsed
      8. Initiating SYN Stealth Scan at 15:47
      9. Scanning pdxxxxxxxxxxxxx.t-ipconnect.de (xxx.xxx.xxx.xxx) [1000 ports]
      10. Discovered open port 53/tcp on xxx.xxx.xxx.xxx
      11. Discovered open port 25/tcp on xxx.xxx.xxx.xxx
      12. Discovered open port 5060/tcp on xxx.xxx.xxx.xxx
      13. Completed SYN Stealth Scan at 15:47, 28.54s elapsed (1000 total ports)
      14. Initiating Service scan at 15:47
      15. Scanning 3 services on pdxxxxxxxxxxxxx.t-ipconnect.de (xxx.xxx.xxx.xxx)
      16. Completed Service scan at 15:48, 6.24s elapsed (3 services on 1 host)
      17. Initiating OS detection (try #1) against pdxxxxxxxxxxxxx.t-ipconnect.de (xxx.xxx.xxx.xxx)
      18. Retrying OS detection (try #2) against pdxxxxxxxxxxxxx.t-ipconnect.de (xxx.xxx.xxx.xxx)
      19. Initiating Traceroute at 15:48
      20. Completed Traceroute at 15:48, 0.01s elapsed
      21. NSE: Script scanning xxx.xxx.xxx.xxx.
      22. NSE: Starting runlevel 1 (of 1) scan.
      23. Initiating NSE at 15:48
      24. Completed NSE at 15:48, 4.50s elapsed
      25. NSE: Script Scanning completed.
      26. Nmap scan report for pdxxxxxxxxxxxxx.t-ipconnect.de (xxx.xxx.xxx.xxx)
      27. Host is up (0.040s latency).
      28. Not shown: 997 filtered ports
      29. PORT STATE SERVICE VERSION
      30. 25/tcp open smtp Microsoft ESMTP 6.0.3790.3959
      31. 53/tcp open domain dnsmasq 2.45
      32. 5060/tcp open sip Speedport W 920V 65.04.78 (Aug 7 2009)
      33. Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
      34. Device type: switch|WAP
      35. Running (JUST GUESSING) : HP embedded (98%), D-Link embedded (92%), TRENDnet embedded (92%)
      36. Aggressive OS guesses: HP 4000M ProCurve switch (J4121A) (98%), D-Link DWL-624+ or DWL-2000AP, or TRENDnet TEW-432BRP WAP (92%)
      37. No exact OS matches for host (test conditions non-ideal).
      38. Network Distance: 1 hop
      39. TCP Sequence Prediction: Difficulty=262 (Good luck!)
      40. IP ID Sequence Generation: Randomized
      41. Service Info: Host: SERVER.viscoch.local; OS: Windows; Device: VoIP adapter
      42. TRACEROUTE (using port 53/tcp)
      43. HOP RTT ADDRESS
      44. 1 4.00 ms pdxxxxxxxxxxxxx.t-ipconnect.de (xxx.xxx.xxx.xxx)
      45. Read data files from: C:\Program Files\Nmap
      46. OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
      47. Nmap done: 1 IP address (1 host up) scanned in 47.88 seconds
      48. Raw packets sent: 3113 (140.760KB) | Rcvd: 87 (4636B)
      Alles anzeigen


      Wie gesagt wobei mich das wundert mit dem 5060 da ich alles auf die EFW Leiten lasse.

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Allgemeine Einstellungen

      Also diverse onlinescanner bestätigen mir dass mein prt 80 stealth ist, aber nmap sagt mir was anderes mit der Einstellung
      nmap -sS -p 1-65535 -T1 -O -A -v -PE -PS22,25,80 xxx.yyy.zzz :

      Quellcode

      1. Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-27 13:21 Mitteleuropäische Zeit
      2. NSE: Loaded 30 scripts for scanning.
      3. Initiating Ping Scan at 13:21
      4. Scanning xxx.xxx.xxx.xxx [4 ports]
      5. Ping Scan Timing: About 25.00% done; ETC: 13:23 (0:01:33 remaining)
      6. Ping Scan Timing: About 50.00% done; ETC: 13:23 (0:01:01 remaining)
      7. Ping Scan Timing: About 75.00% done; ETC: 13:23 (0:00:30 remaining)
      8. Completed Ping Scan at 13:23, 106.07s elapsed (1 total hosts)
      9. Initiating Parallel DNS resolution of 1 host. at 13:23
      10. Completed Parallel DNS resolution of 1 host. at 13:23, 0.08s elapsed
      11. Initiating SYN Stealth Scan at 13:23
      12. Scanning xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx) [65535 ports]
      13. Discovered open port 80/tcp on xxx.xxx.xxx.xxx
      14. SYN Stealth Scan Timing: About 0.30% done
      Alles anzeigen


      Ich poste dann mal die Ergebnisse wenn der lange test durch ist.
      Aber
      -Pingen lässt sich sowohl eine Fritzbox als auch der Speedport <- gefällt mir nicht
      -HTTP Port 80 läuft laut Nmap squid <- gefällt mir schon gar nicht und ich weiß nicht im geringesten was ich dagegen tun kann, bzw woher das kommt, ausser dass der nichtabschlatbare Webserver dient in Endian aktiviert ist
      -Port 5060 scheint wie ja schon gesagt voip zu sein, lässt sich leiter auch nicht ändern dass der offen ist.. komisch
    • Re: Allgemeine Einstellungen

      Mir ist grad auch noch mit nmap aufgefallen dass obgleich ich in der VPN Firewall nur Dateifreigabenports erlaubt habe und den Rest für alle gesperrt habe in einem Quickscan von nmap mir folgendes angezeigt wurde:

      Der Scan ist von VPN-client nach VPN-client

      Quellcode

      1. Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-27 17:33 Mitteleuropäische Zeit
      2. Interesting ports on 192.XXX.XXX.XXX:
      3. Not shown: 92 closed ports
      4. PORT STATE SERVICE
      5. 135/tcp open msrpc <- ERLAUBT
      6. 139/tcp open netbios-ssn <- ERLAUBT
      7. 445/tcp open microsoft-ds <-ERLAUBT
      8. 5357/tcp open unknown <--VERBOTEN
      9. 49152/tcp open unknown <--VERBOTEN
      10. 49153/tcp open unknown <--VERBOTEN
      11. 49154/tcp open unknown <--VERBOTEN
      12. 49155/tcp open unknown <--VERBOTEN
      13. Nmap done: 1 IP address (1 host up) scanned in 3.13 seconds
      Alles anzeigen


      wie kann das denn bitteschön sein? Ist die Endianfirewall nur Augenwischerei mit den VPN-Firewall Einstellungen oder wie seht ihr das?
    • Re: Allgemeine Einstellungen

      Hallo ffischer,
      sehr gute Idee den Dienst zu beenden , aber wie beende ich den Webserverdienst per ssh? oder in der Konsole dauerhaft ? also mit putty z.b. per ssh oder halt in der Koonsole als Root, aber mit welchem Befehl den Webserverdienst dauerhaft killen?
      Der Portscan ist jetzt fertig falls du mal drübersehen willst :
      Gescannt wurde von aussen (also noch vor dem speedport:
      Mit der Nmap einstellung "intense scan, all TCP ports"
      Diesmal anscheinend ohne offenen 5060 port für sip (voip) :)

      nmap -p 1-65535 -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 XXX.dyndns.org

      Quellcode

      1. Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-27 17:00 Mitteleuropäische Zeit
      2. NSE: Loaded 30 scripts for scanning.
      3. Initiating Ping Scan at 17:00
      4. Scanning XXX.XXX.XXX.XXX [8 ports]
      5. Completed Ping Scan at 17:00, 0.14s elapsed (1 total hosts)
      6. Initiating Parallel DNS resolution of 1 host. at 17:00
      7. Completed Parallel DNS resolution of 1 host. at 17:00, 0.08s elapsed
      8. Initiating SYN Stealth Scan at 17:00
      9. Scanning XXX.net (XXX.XXX.XXX.XXX) [65535 ports]
      10. Discovered open port 80/tcp on XXX.XXX.XXX.XXX
      11. SYN Stealth Scan Timing: About 1.49% done; ETC: 17:35 (0:34:11 remaining)
      12. Increasing send delay for XXX.XXX.XXX.XXX from 0 to 5 due to 11 out of 18 dropped probes since last increase.
      13. SYN Stealth Scan Timing: About 1.98% done; ETC: 17:52 (0:50:20 remaining)
      14. Increasing send delay for XXX.XXX.XXX.XXX from 5 to 10 due to 11 out of 17 dropped probes since last increase.
      15. SYN Stealth Scan Timing: About 2.25% done; ETC: 18:08 (1:05:53 remaining)
      16. .
      17. .
      18. .
      19. SYN Stealth Scan Timing: About 99.15% done; ETC: 19:31 (0:01:17 remaining)
      20. Completed SYN Stealth Scan at 19:35, 9300.89s elapsed (65535 total ports)
      21. Initiating Service scan at 19:35
      22. Scanning 1 service on XXX.net (XXX.XXX.XXX.XXX)
      23. Completed Service scan at 19:36, 51.11s elapsed (1 service on 1 host)
      24. Initiating OS detection (try #1) against XXX.net (XXX.XXX.XXX.XXX)
      25. Retrying OS detection (try #2) against XXX.net (XXX.XXX.XXX.XXX)
      26. Initiating Traceroute at 19:36
      27. XXX.XXX.XXX.XXX: no reply to our hop distance probe!
      28. Completed Traceroute at 19:37, 30.05s elapsed
      29. NSE: Script scanning XXX.XXX.XXX.XXX.
      30. NSE: Starting runlevel 1 scan
      31. Initiating NSE at 19:37
      32. Completed NSE at 19:37, 9.77s elapsed
      33. NSE: Script Scanning completed.
      34. Host XXX.net (XXX.XXX.XXX.XXX) is up (0.027s latency).
      35. Interesting ports on XXX.net (XXX.XXX.XXX.XXX):
      36. Not shown: 65534 filtered ports
      37. PORT STATE SERVICE VERSION
      38. 80/tcp open http-proxy Squid webproxy 2.6.STABLE22
      39. | http-open-proxy: Potentially OPEN proxy.
      40. |_ Methods successfully tested: GET HEAD
      41. Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
      42. Device type: firewall|general purpose
      43. Running (JUST GUESSING) : IPCop Linux 2.4.X (91%), Linux 2.6.X (86%)
      44. Aggressive OS guesses: IPCop firewall 1.4.10 - 1.4.18 (Linux 2.4.31 - 2.4.34) (91%), Linux 2.6.24 (86%)
      45. No exact OS matches for host (test conditions non-ideal).
      46. TRACEROUTE (using port 80/tcp)
      47. HOP RTT ADDRESS
      48. ! maximum TTL reached (50)
      49. Read data files from: XXX
      50. OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
      51. Nmap done: 1 IP address (1 host up) scanned in 9401.52 seconds
      52. Raw packets sent: 196430 (8.630MB) | Rcvd: 36340 (4.151MB)
      Alles anzeigen


      ABER

      was mich sehr verwundert ist, dass ich bei einem internen SCAN von VPN User zu VPN User offene Ports endecke, die ich eigentlich explizit geschlossen habe in der VPN-Firewall...also sollte ich da doch keine OPENs bekommen, sonst ist doch der Sinn verfehlt!?!
      irgendwo ist da wohl der Wurm drinn? Hier der volle Report auch , bitte auch mal ansehen:

      Brainfuck-Quellcode

      1. Starting Nmap 5.00 ( http://nmap.org ) at 2010-01-27 18:23 Mitteleuropäische Zeit
      2. NSE: Loaded 30 scripts for scanning.
      3. Initiating ARP Ping Scan at 18:23
      4. Scanning XXX.XXX.XXX.XXX [1 port]
      5. Completed ARP Ping Scan at 18:23, 0.25s elapsed (1 total hosts)
      6. Initiating Parallel DNS resolution of 1 host. at 18:23
      7. Completed Parallel DNS resolution of 1 host. at 18:23, 0.06s elapsed
      8. Initiating SYN Stealth Scan at 18:23
      9. Scanning XXX.XXX.XXX.XXX [65535 ports]
      10. Discovered open port 445/tcp on XXX.XXX.XXX.XXX <- ERLAUBT
      11. Discovered open port 135/tcp on XXX.XXX.XXX.XXX <- ERLAUBT
      12. Discovered open port 139/tcp on XXX.XXX.XXX.XXX <- ERLAUBT
      13. SYN Stealth Scan Timing: About 3.82% done; ETC: 18:37 (0:12:59 remaining)
      14. .
      15. .
      16. .
      17. SYN Stealth Scan Timing: About 5.06% done; ETC: 19:13 (0:47:15 remaining)
      18. Discovered open port 5357/tcp on XXX.XXX.XXX.XXX <---------------------------------VERBOTEN
      19. SYN Stealth Scan Timing: About 8.38% done; ETC: 18:59 (0:33:00 remaining)
      20. Discovered open port 3260/tcp on XXX.XXX.XXX.XXX <--------------------------------VERBOTEN
      21. SYN Stealth Scan Timing: About 12.67% done; ETC: 18:51 (0:24:15 remaining)
      22. Discovered open port 49158/tcp on XXX.XXX.XXX.XXX <------------------------------VERBOTEN
      23. Discovered open port 3261/tcp on XXX.XXX.XXX.XXX<--------------------------------VERBOTEN
      24. SYN Stealth Scan Timing: About 17.93% done; ETC: 18:45 (0:18:23 remaining)
      25. .
      26. SYN Stealth Scan Timing: About 29.45% done; ETC: 18:40 (0:12:01 remaining)
      27. Discovered open port 2869/tcp on XXX.XXX.XXX.XXX<-------------------------------VERBOTEN
      28. Discovered open port 49154/tcp on XXX.XXX.XXX.XXX<------------------------------VERBOTEN
      29. SYN Stealth Scan Timing: About 33.40% done; ETC: 18:40 (0:11:00 remaining)
      30. .
      31. .
      32. .
      33. SYN Stealth Scan Timing: About 57.19% done; ETC: 18:37 (0:06:07 remaining)
      34. Discovered open port 49152/tcp on XXX.XXX.XXX.XXX <-------------------------------VERBOTEN
      35. SYN Stealth Scan Timing: About 62.28% done; ETC: 18:37 (0:05:15 remaining)
      36. .
      37. .
      38. .
      39. SYN Stealth Scan Timing: About 92.98% done; ETC: 18:36 (0:00:56 remaining)
      40. Discovered open port 49155/tcp on XXX.XXX.XXX.XXX <-------------------------------VERBOTEN
      41. Discovered open port 49153/tcp on XXX.XXX.XXX.XXX <-------------------------------VERBOTEN
      42. Completed SYN Stealth Scan at 18:37, 815.85s elapsed (65535 total ports)
      43. Initiating Service scan at 18:37
      44. Scanning 12 services on 192.168.50.53
      45. Service scan Timing: About 58.33% done; ETC: 18:38 (0:00:32 remaining)
      46. Completed Service scan at 18:38, 85.27s elapsed (12 services on 1 host)
      47. Initiating OS detection (try #1) against XXX.XXX.XXX.XXX
      48. Retrying OS detection (try #2) against XXX.XXX.XXX.XXX
      49. Retrying OS detection (try #3) against XXX.XXX.XXX.XXX
      50. Retrying OS detection (try #4) against XXX.XXX.XXX.XXX
      51. Retrying OS detection (try #5) against XXX.XXX.XXX.XXX
      52. NSE: Script scanning XXX.XXX.XXX.XXX.
      53. NSE: Starting runlevel 1 scan
      54. Initiating NSE at 18:38
      55. Completed NSE at 18:38, 10.28s elapsed
      56. NSE: Starting runlevel 2 scan
      57. Initiating NSE at 18:38
      58. Completed NSE at 18:39, 32.87s elapsed
      59. NSE: Script Scanning completed.
      60. Host XXX.XXX.XXX.XXX is up (0.10s latency).
      61. Interesting ports on XXX.XXX.XXX.XXX:
      62. Not shown: 65523 closed ports
      63. PORT STATE SERVICE VERSION
      64. 135/tcp open msrpc Microsoft Windows RPC
      65. 139/tcp open netbios-ssn
      66. 445/tcp open netbios-ssn
      67. 2869/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) <-------------------------------VERBOTEN
      68. 3260/tcp open iscsi? <-------------------------------VERBOTEN
      69. 3261/tcp open iscsi StarWind iSCSI 3.2.3 build 20070527 <-------------------------------VERBOTEN
      70. 5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) <-------------------------------VERBOTEN
      71. |_ html-title: Service Unavailable
      72. 49152/tcp open msrpc Microsoft Windows RPC <-------------------------------VERBOTEN
      73. 49153/tcp open msrpc Microsoft Windows RPC <-------------------------------VERBOTEN
      74. 49154/tcp open msrpc Microsoft Windows RPC <-------------------------------VERBOTEN
      75. 49155/tcp open msrpc Microsoft Windows RPC <-------------------------------VERBOTEN
      76. 49158/tcp open msrpc Microsoft Windows RPC <-------------------------------VERBOTEN
      77. MAC Address: XXXX (Unknown)
      78. No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
      79. TCP/IP fingerprint:
      80. OS:SCAN(V=5.00%D=1/27%OT=135%CT=1%CU=38779%PV=Y%DS=1%G=Y%M=00FF25%TM=4B607A
      81. OS:4E%P=i686-pc-windows-windows)SEQ(SP=FD%GCD=1%ISR=10A%TI=I%CI=I%II=I%SS=S
      82. OS:%TS=7)SEQ(SP=FD%GCD=1%ISR=10A%TI=RD%CI=I%II=I%TS=8)SEQ(SP=FD%GCD=1%ISR=1
      83. OS:0A%TI=I%CI=I%II=I%SS=O%TS=7)OPS(O1=M538NW8ST11%O2=M538NW8ST11%O3=M538NW8
      84. OS:NNT11%O4=M538NW8ST11%O5=M538NW8ST11%O6=M538ST11)OPS(O1=M538ST11%O2=M538S
      85. OS:T11%O3=M538NNT11%O4=M538ST11%O5=M538ST11%O6=M538ST11)WIN(W1=2000%W2=2000
      86. OS:%W3=2000%W4=2000%W5=2000%W6=2000)ECN(R=Y%DF=Y%T=80%W=2000%O=M538NW8NNS%C
      87. OS:C=N%Q=)ECN(R=Y%DF=Y%T=80%W=2000%O=M538NNS%CC=N%Q=)T1(R=Y%DF=Y%T=80%S=O%A
      88. OS:=S+%F=AS%RD=0%Q=)T1(R=Y%DF=Y%T=80%S=O%A=O%F=AS%RD=0%Q=)T2(R=Y%DF=Y%T=80%
      89. OS:W=0%S=Z%A=S%F=AR%O=%RD=0%Q=)T3(R=Y%DF=Y%T=80%W=0%S=Z%A=O%F=AR%O=%RD=0%Q=
      90. OS:)T4(R=Y%DF=Y%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=80%W=0%S=Z%A=
      91. OS:S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)T7(R=Y%DF
      92. OS:=Y%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=80%IPL=164%UN=0%RIPL=
      93. OS:G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=80%CD=Z)
      94. Uptime guess: 0.137 days (since Wed Jan 27 15:22:40 2010)
      95. Network Distance: 1 hop
      96. TCP Sequence Prediction: Difficulty=253 (Good luck!)
      97. IP ID Sequence Generation: Incremental
      98. Service Info: OS: Windows
      99. Host script results:
      100. | nbstat: NetBIOS name: XXXX, NetBIOS user: <unknown>, NetBIOS MAC: XXXX
      101. | Name: XXXX<00> Flags: <unique><active>
      102. | Name: XXXX<00> Flags: <group><active>
      103. | Name: XXXX<20> Flags: <unique><active>
      104. | Name: XXXX<1e> Flags: <group><active>
      105. | Name: XXXX<1d> Flags: <unique><active>
      106. |_ Name: \x01\x02__MSBROWSE__\x02<01> Flags: <group><active>
      107. | smb-os-discovery: Windows Vista (TM) Home Premium 6002 Service Pack 2
      108. | LAN Manager: Windows Vista (TM) Home Premium 6.0
      109. | Name: XXX\YYY
      110. |_ System time: 2010-01-27 18:38:38 UTC+1
      111. Read data files from: C:\Installierte Programme\Nmap
      112. OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
      113. Nmap done: 1 IP address (1 host up) scanned in 961.35 seconds
      114. Raw packets sent: 68986 (3.039MB) | Rcvd: 67994 (2.724MB)
      Alles anzeigen
    • Re: Allgemeine Einstellungen

      Hallo
      also via SSH ein Login auf die Firewall und dann

      Quellcode

      1. /etc/init.d/httpd stop
      das hält beendet den WebServer du kannst dann später das StartScript für den WebServer auch deaktivieren,
      denk aber drann das du dann nicht ohne weiteres auf die Endian kommst du musst vorher immer den HTTP Dienst starten, damit du das Admin GUI öffnen kannst.


      Beende mal den Dienst und dann schau nochmal nach ob der Port 80 auftaucht.

      Bzgl. dem VPN Problem, du kannst in der EFW dir die Verbindungen anzeigen lassen, Source Port nach Dest. Port denn der Sour.Port scheint mit der 3260 zu sein nur wo ist dein Dest.Port vielleicht baut nur ein Client eine Verbindung über einen HighPort zu einem Low Port auf, da die Ports Dynamisch sind.


      gruß

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Allgemeine Einstellungen

      Also eigentlich kann dieser thread geclosed werden, ich hab den grund endeckt warum mir port 80 squid als open angezeigt wird:
      Der Grund war das ich durch eine Endianfirewall den Speedport router gescannt habe, und nmap hat mir dann oben stehende Meldungen zurückgegeben. Verständlich wenn ein Proxie davor hängt.
      Neue Ergebnisse :
      Das Speedport 770V (oder so) wurde hindurch durch eine Fritzbox gescannt von einem MAC aus und folgendes festgestellt:

      5060 tcp+udp OPEN (scheint aber bei allen VOIP fähigen Routern standard zu sein)
      80 UDP open|filtered (wegen zustandslosen Paket wahrscheinlch kein Problem)
      7547 TCP CLOSED (Geschlossen passt ja auch, aber warum das Speedport den closed und nicht stealthed keine Ahnung)
      7547 UDP FILTERED (OK)
      80 TCP FILTERED (OK)

      Mich würde interessieren warum obenstehendes endeckt wird und warum die allermeisten router (Fritzbox oder Speedport o.Ä. sich Pingen lassen, aber das ist wahrscheinlich, bzw offensichtlich das falsche Forum für diese Frage ;) )

      Aber vielen Dank für die Antworten ffischer !!