port scan

Dieses Thema im Forum "Software" wurde erstellt von abelfo, 11. Juli 2004.

  1. abelfo

    abelfo New Member

    Hallo Leute ,

    habe vor zwei Tagen netbarrier installiert und gleich in den ersten 12 Stunden zwei port scans gemeldet bekommen. Habe die entsprechenden IPs sofort in die stoplist gepackt.
    Jetzt ist erstmal Ruhe. Aber, was ist eigentlich ein port scan und was kann derjenige damit machen? Wie kommt jemand an meine IP, die sich bei meiner dsl-flatrate mit jedem Einloggen ändert oder bin ich nur ein "Zufallsopfer" ?

    Gruß, abelfo
     
  2. zwoelf11_

    zwoelf11_ New Member

    ein portscan ist typischerweise ein beginn eines angriffes. mittels entsprechender hilfsmittel kann man so ersteinmal erfahren, was für ein computer das "opfer" hat, und welche dienste laufen. beispielsweise könnte man feststellen, dass du MacOS X hast und einen offenen Webserver laufen lässt. Jetz kann man ersteinmal nach bekannten sicherheitslücken für diese kombination suchen, und eventuell dann dein Rechner tatsächlich "hacken".

    in den meissten fällen sind aber die portscans nur von jungen leuten, die zuviele hacker filme gesehen haben und gern auch welche sein würde.

    Ich würde sagen, du bist eher ein "Zufallsopfer"; bzw. da sich bei dsl-flats viele leute eine IP teilen (nacheinander), könnte es sein, dass derjenige, der vor dir dran war, irgendwelchen mist gemacht hat und den groll von irgendwelchen "hackern" auf sich gezogen hat :)
     
  3. gratefulmac

    gratefulmac New Member

    An deine IP kommt jemand nur durch Zufall.
    Außer, du teilst diese jemandem konkret mit bzw. hast eine feste IP.
    Falls es Leute gibt die Portscanns durchführen, machen sie das ins Blinde hinein.
    Andererseits weiß man nicht was deine FW als Portscann dir anzeigen will.
    Da für die Verbindungserhaltung eine regelmäßige Abfrage ob die Verbindung der teilnehmer aktiv ist, der Port also angesprochen wird, kann es sein, das FWs jeden Portkontakt als feindlichen Hackerangriff melden.
    Mit irgendwas muß ja der Kauf einer FW begründet werden.
    Und das tut man am besten , indem man dem Käufer möglichst häufig meldet, das Lauschangriffe durchgeführt werden.

    Falls nun wirklich ein Angriff gestartet werden soll, muß der Portscann rfolgreich sein.
    Sprich der Scann muß einen offenen Port gefunden haben über den es sich lohnt mit einem sniffer deine Daten auszuspähen um dann einen Angriffspunkt zu finden um in dein System eindringen zu können um dann einen Schwachpunkt im System nutzend was mit deinem Rechner anzustellen.

    Simpelster Schutz davor ist das häufigere wechseln der IP.
    Denn nur wenn er viel Zeit hat, kann er dieses komplexe Procedere auch zu Ende führen.
     
  4. meisterleise

    meisterleise Active Member

    Zu diesem Thema:

    Symantec bietet einen Security Check an, wobei ein Angriff simuliert wird. In einem detailierten Bericht kann man anschließend sehen, wo evtl. Unsicherheiten vorhanden sind.

    http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym

    Mit diesem Test galt mein Rechner mit den Standardeinstellungen der Panther-firewall als sicher.

    MacWelt hat diesen Test empfohlen. Wie gut er nun wirklich ist, weiß ich allerdings nicht.
     
  5. SRALPH

    SRALPH New Member

    bist du evl. in einem netzwerk?

    RALPH
     
  6. zwoelf11_

    zwoelf11_ New Member

    Eher sinnlos, meiner Meinung nach.
    Ein reiner port-scan sagt nichts über die Sicherheit eines Systems aus, erst in Kombination damit, herauszufinden, was hinter den offenen Ports tatsächlich hängt (zu empfehlen: Nessus). Ich kann gerne tausend fake-ports öffnen und der Test sagt mir, mein System ist unsicher, oder aber ein alten, unsicheren Webserver starten, und alles was der Test macht, ist mich dadrauf hinzuweisen, dass ein Webserver (vielleicht!) läuft.
    Nebenbei angemerkt: Der Test hat übersehen, das auf dem ziel-rechner SSH läuft(!).

    Für einen "leicht um seine Sicherheit besorgten" Mac-Nutzer mag es reichen, um eventuell dadrauf hingewiesen zu werden, dass der Webserver nach aussen offen ist ("huch!").

    Anzumerken: Der "Trojan Scan" ist auch nur ein port-scan nach anderen ports. Wenn ich mein Webserver auf port "12331" laufen lasse, wird das ding sicherlich auch alarm schlagen :)
     
  7. buddyudo

    buddyudo New Member

    Setzte auch NetBarrier ein und Portscans sind äußerst selten, meist irgendwelche spinnenden Server oder die Software auf dem Rechner baut irgendwelchen Mist der zu einem Portscan auf Deinem Rechner führt. Mein letzer Portscan war von Apple, weil Mac Help hunderte Ports öffnete .... Versuch mal mit whois nachschauen, wer das war. In der Regel klärt sich das rasch auf. In die Stop List solltest Du nur Server aufnehmen, deren identität du kennst.
     
  8. TomRadfahrer

    TomRadfahrer New Member

    Ich gehe mal davon aus, dass Du den Mac direkt an das DSL-Modem angeschlossen hast, denn sonst würden Dich keine Port-Scans erreichen können. Von dieser Konfiguration kann ich nur abraten. Ein DSL-Router zwischen dem DSL-Modem und dem Mac würde die Sicherheit deutlich erhöhen.
    Ein Router führt Network Address Translation durch und der angenehme Nebeneffekt ist, dass NAT wie eine Einbahnstrasse wirkt: Der Mac kann Verbindung nach außen aufnehmen, von außen kann aber keine Verbindung aufgebaut werden. Aus diesem Grund enden auch Portscans am Router und kommen nicht zum Mac durch.

    Eine SW-Firewall wie NetBarrier ist im Gegensatz zum DSL-Router nur ein Stück Software. Schlimmer noch, eine SW-Firewall ist ein zusätzliches Stück Software. Das Risiko, dass die SW auf Deinem Mac eine Sicherheitslücke hat, wird dadurch natürlich größer und nicht kleiner. Im Windows-Bereich sind schon die ersten Sicherheitslücken durch fehlerhafte SW-Firewalls bekannt. Die Viren der Zukunft bekommen auf diese Weise doppelt so viele Einfallstore wie ohne SW-Firewall. Wenn das Betriebssystem keine Lücken hat, geht der Virus eben durch eine Lücke in der SW-Firewall durch.

    Ich gebe natürlich zu, dass in der Windows-Welt die Risiko-Erhöhung durch SW-Firewalls im Promille-Bereich liegt. In der Macintosh-Welt sollte man sich aber genau überlegen, alle einkommenden Pakete durch ein dubioses Stück SW zu schicken, das jede Menge Buffer-Overflows und Backdoors haben kann.

    Ein DSL-Router hingegen erhöht die Sicherheit, schon ab 59 Euro bekommt man so ein Teil. Wie teuer ist eigentlich NetBarrier?

    TomRadfahrer
     
  9. kawi

    kawi Revolution 666

    Ich halte manche panikmache allgemein für übertrieben und würde mir wenn nicht noch anderweitig notwendig den Routerkauf sparen aber auch ein stück software wie netbarrier.

    OS X Firewall an, unnötige Dienste deaktivieren und gut ist.
    Was nützt ein Router und was nützt Netbarrier wenn ein typ ins hauseinbricht und alles wichtige mitnimmt ... so könnte man die Paranoia Schraube jedenfalls nahtlos weiter drehen.

    An nem Einzeplatzrechner alle Dienste in Systemeinstellung => Sharing deaktivieren und die Firewall aktivieren.
    Spart mindestens 59 - 150 €, Sowohl für den Router als auch für netbarrier. spart zusätzliche kabel im trauten heim und noch mehr technisches gerät das strom zieht :)
     
  10. abelfo

    abelfo New Member

    Hallo,

    Danke an alle für die vielen Infos:)

    Habe noch das MacOs 9.2 System. Heute habe ich mir den 5. portscan eingefangen. Den letzten gerade vor 10 Sekunden mit dem Schreiben dieser Zeilen. Beruhigend ist für mich nur, dass diese scans abgewehrt wurden. Habe über whois rausgefunden, von wo die herkommen: Österreich, Tirol, Norwegen und Holland. Toll was?
    Gestern habe ich auch mehrere viren-checks mit verschiedenen browsern durch symantec vornehmen lassen. Bis auf einen offenen ICMP-ping alles super ok. Den offfenen ping kann ich auch schließen. Dann laufen einge seiten aber nicht mehr - zB homebanking.

    Bleibt wohl noch der Einsatz eines routers. Vielleicht kann mir jemand einen hardware-tipp geben, der unter 150,00 € liegt und der mit einem zusätzlichen windows-pc kompatibel ist?

    Ach ja, mir ist aufgefallen, dass ich die portscans immer dann erhalte, wenn mein Rechner für mehrere Stunden nicht online war und ich mich wieder ins Netz einwähle - egal wo.

    Grüße, abelfo
     
  11. Thine

    Thine mit Eisenschwein

  12. kawi

    kawi Revolution 666

    Na und? Und wenn du 5 in der Minute registrierst - wenn du an der Stelle keine offgenen Ports hast kann dir jeder portscan der Welöt egal sein.

    Es werden einfach willkürlich nach Zufallsprinzip IPs nach offenen Ports gescannt. das passiert aus den verschiedenstesn (auch harmlosen gründen) 60 sekunden in der Minute 60 Minuten die Stunde, 24 Stunden am Tag überall im www. kein offener Port und schon kann dir der Portscan egal sein. Ob du offene Ports hats kannst du auf diversen security seiten wie security.symantec.com selbst herausfinden.
    Und selbst wenn da ein offener Port ist ... dann muss in deinem Fall erstmal OS 9 ausführbarer Programmcode existieren um damit irgendwas an deinem offenen port anzurichten. ...

    Über den Ping vergewissert sich z.B. auch von zeit zu zeit dein provider ob deine IP noch vergeben ist, also dein rechner noch online ist, oder eventuell ein auslogen nur im Protokoll nicht vermerkt wurde (IPs sind nämlich knapp und in dem Fall könnte deine IP neu an den nächsten Kunden vergeben werden- so wie es der sinn von synamischen IPs ist.) Auch andere Kommunikationsprogramme benötigen einen ping um das tatsächliche Vorhandensein deines rechners unter dieser IP zu bestätigen. Ein ICMP Ping ist eigentlich das normalste der Welt, jeder datentransfer, jede Kommunikation überprüft mit einem Ping vorher das Vorhandensein des Zielrechners.

    Man kann auch wirklich paranoid sein und nur noch so geld en masse ausgeben. Wie gesagt. Dann verlasse am besten auch nie wieder dein haus, oder bau dir eine alarmanlage ein. Bei einem "Portscan" an deiner haustür könnten potentielle Diebe herausfinden das du abwesend bist und bei dir einbrechen.

    Wenn du unter OS 9 eine Firewall installiert hast - schön, das mag Sinn machen. Wenn du bei jeder kleinsten meldung dieser jetzt in Panik ausbrichst und noch mehr security Krempel dazukaufst, tust du mir leid.
     
  13. abelfo

    abelfo New Member

    Hallo,

    @ Thine, danke für den Tipp :)

    @ Kawi, danke für die klaren Worte, bevor ich hier abdrehe;-)

    Deine Antwort zu portscans und pings ist für mich die erste wirklich brauchbare. Bis jetzt habe ich nur Haarsträubendes gehört und gelesen, ohne zu wissen, worum es da überhaupt geht oder wozu das gut sein soll. Ich werde das ganze jetzt mal etwas lockerer betrachten:)))

    viele Grüße, abelfo
     
  14. Thunderblade

    Thunderblade New Member

    Diese "Portscans" und "Pings" werden auch gerne als das "Grundrauschen" des Internets bezeichnet. Und, wie bereits mehrfach gesagt, sie sind meistens harmlos oder sogar nötig.
     
  15. abelfo

    abelfo New Member

    Hallo Leute ,

    habe vor zwei Tagen netbarrier installiert und gleich in den ersten 12 Stunden zwei port scans gemeldet bekommen. Habe die entsprechenden IPs sofort in die stoplist gepackt.
    Jetzt ist erstmal Ruhe. Aber, was ist eigentlich ein port scan und was kann derjenige damit machen? Wie kommt jemand an meine IP, die sich bei meiner dsl-flatrate mit jedem Einloggen ändert oder bin ich nur ein "Zufallsopfer" ?

    Gruß, abelfo
     
  16. zwoelf11_

    zwoelf11_ New Member

    ein portscan ist typischerweise ein beginn eines angriffes. mittels entsprechender hilfsmittel kann man so ersteinmal erfahren, was für ein computer das "opfer" hat, und welche dienste laufen. beispielsweise könnte man feststellen, dass du MacOS X hast und einen offenen Webserver laufen lässt. Jetz kann man ersteinmal nach bekannten sicherheitslücken für diese kombination suchen, und eventuell dann dein Rechner tatsächlich "hacken".

    in den meissten fällen sind aber die portscans nur von jungen leuten, die zuviele hacker filme gesehen haben und gern auch welche sein würde.

    Ich würde sagen, du bist eher ein "Zufallsopfer"; bzw. da sich bei dsl-flats viele leute eine IP teilen (nacheinander), könnte es sein, dass derjenige, der vor dir dran war, irgendwelchen mist gemacht hat und den groll von irgendwelchen "hackern" auf sich gezogen hat :)
     
  17. gratefulmac

    gratefulmac New Member

    An deine IP kommt jemand nur durch Zufall.
    Außer, du teilst diese jemandem konkret mit bzw. hast eine feste IP.
    Falls es Leute gibt die Portscanns durchführen, machen sie das ins Blinde hinein.
    Andererseits weiß man nicht was deine FW als Portscann dir anzeigen will.
    Da für die Verbindungserhaltung eine regelmäßige Abfrage ob die Verbindung der teilnehmer aktiv ist, der Port also angesprochen wird, kann es sein, das FWs jeden Portkontakt als feindlichen Hackerangriff melden.
    Mit irgendwas muß ja der Kauf einer FW begründet werden.
    Und das tut man am besten , indem man dem Käufer möglichst häufig meldet, das Lauschangriffe durchgeführt werden.

    Falls nun wirklich ein Angriff gestartet werden soll, muß der Portscann rfolgreich sein.
    Sprich der Scann muß einen offenen Port gefunden haben über den es sich lohnt mit einem sniffer deine Daten auszuspähen um dann einen Angriffspunkt zu finden um in dein System eindringen zu können um dann einen Schwachpunkt im System nutzend was mit deinem Rechner anzustellen.

    Simpelster Schutz davor ist das häufigere wechseln der IP.
    Denn nur wenn er viel Zeit hat, kann er dieses komplexe Procedere auch zu Ende führen.
     
  18. meisterleise

    meisterleise Active Member

    Zu diesem Thema:

    Symantec bietet einen Security Check an, wobei ein Angriff simuliert wird. In einem detailierten Bericht kann man anschließend sehen, wo evtl. Unsicherheiten vorhanden sind.

    http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym

    Mit diesem Test galt mein Rechner mit den Standardeinstellungen der Panther-firewall als sicher.

    MacWelt hat diesen Test empfohlen. Wie gut er nun wirklich ist, weiß ich allerdings nicht.
     
  19. SRALPH

    SRALPH New Member

    bist du evl. in einem netzwerk?

    RALPH
     
  20. zwoelf11_

    zwoelf11_ New Member

    Eher sinnlos, meiner Meinung nach.
    Ein reiner port-scan sagt nichts über die Sicherheit eines Systems aus, erst in Kombination damit, herauszufinden, was hinter den offenen Ports tatsächlich hängt (zu empfehlen: Nessus). Ich kann gerne tausend fake-ports öffnen und der Test sagt mir, mein System ist unsicher, oder aber ein alten, unsicheren Webserver starten, und alles was der Test macht, ist mich dadrauf hinzuweisen, dass ein Webserver (vielleicht!) läuft.
    Nebenbei angemerkt: Der Test hat übersehen, das auf dem ziel-rechner SSH läuft(!).

    Für einen "leicht um seine Sicherheit besorgten" Mac-Nutzer mag es reichen, um eventuell dadrauf hingewiesen zu werden, dass der Webserver nach aussen offen ist ("huch!").

    Anzumerken: Der "Trojan Scan" ist auch nur ein port-scan nach anderen ports. Wenn ich mein Webserver auf port "12331" laufen lasse, wird das ding sicherlich auch alarm schlagen :)
     

Diese Seite empfehlen