Portscan mit Nmap

Rund um die Sicherheit des Systems und die Applikationen
ecki
Posts: 25
Joined: 2003-07-14 17:47
Location: Erde

Portscan mit Nmap

Post by ecki » 2003-07-21 23:13

Hallo,

Ich habe mal mit "Nmap" (Windows) einen IP-Portscan mit den Optionen
"TCP+ICMP-Ping"durchgeführt. Das Ergebnis habe ich gepostet:

Code: Select all

23:07 21.07.2003
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting protocols on domain.de (217.XXX.XXX.XXX):
(The 252 protocols scanned but not shown below are in state: closed)
Protocol   State       Name
1          open        icmp                    
6          open        tcp                     
17         open        udp                     
Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds
Ist das aus sicherheitstechnischer Sicht o.k. so,
oder weist dieses Ergebnis ungewöhnliche Sicherheitslöcher auf meinem Server aus? (Kann man da etwas verbessern?)

Gruß, Ecki

dopefish
Posts: 142
Joined: 2003-02-06 12:57
Location: Karlsruhe

Re: Portscan mit Nmap

Post by dopefish » 2003-07-22 00:21

wäre schon tragisch wenn dein server kein ICMP, TCP und UDP könnte ;) poste mal den gesammten aufrufzeile von nmap

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Portscan mit Nmap

Post by dodolin » 2003-07-22 00:47

Code: Select all

(The 252 protocols scanned but not shown below are in state: closed) 
Ist das echt oder hast du das geschummelt? Es gibt a) keine 252 "Protocols" und b) können "Protocols" nicht "closed" sein, sondern höchstens Ports.

Weiters wäre es äusserst seltsam, wenn dein Rechner nicht mal SSH offen hätte. Oder wie willst du ihn sonst fernadministrieren?

ecki
Posts: 25
Joined: 2003-07-14 17:47
Location: Erde

Re: Portscan mit Nmap

Post by ecki » 2003-07-22 09:39

Hallo,

das Ergebnis habe ich über die Zwischenablage reinkopiert. Geschummelt ist da gar nix. Wozu auch? Schließlich will ich ja wissen, ob der Server halbwegs sicher läuft oder nicht.

Hier die Kommandozeile des Scans:

Code: Select all

CMD: nmap -sO -PT -PI -R -T 3 217.160.XXX.XXX
Und das Egebnis hier (aktuell):

Code: Select all

Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting protocols on domain.de (217.160.XXX.XXX):
(The 252 protocols scanned but not shown below are in state: closed)
Protocol   State       Name
1          open        icmp                    
6          open        tcp                     
17         open        udp                     
Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds
Noch ein Scan:

Code: Select all

CMD: nmap -sO -PT -PI -R -vv -T 3 217.160.XXX.XXX
Und das Ergebnis:

Code: Select all

Starting nmap V. 3.00 ( www.insecure.org/nmap )
Host domain.de (217.160.XXX.XXX) appears to be up ... good.
Initiating IPProto Scan against domain.de (217.160.XXX.XXX)
The IPProto Scan took 2 seconds to scan 255 ports.
Adding open port 6/udp
Adding open port 1/udp
Adding open port 17/udp
Interesting protocols on domain.de (217.160.XXX.XXX):
(The 252 protocols scanned but not shown below are in state: closed)
Protocol   State       Name
1          open        icmp                    
6          open        tcp                     
17         open        udp                     
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds
Die Programmversion ist: "NmapWin v1.31".
Warum der hier "protocols" schreibt weiss ich nicht. Wenn jemand den Aufruf kennt. mit dem man eine anderes, vielleicht aussagekräftigeres Ergebnis erzielt, möge er (sie) es mir bitte mitteilen.
PS @dodolin: Ich benutze natürlich "SSH" zur Fernadministration des Servers (u.a. mit Putty, Webmin und WinSCP).

Viele Grüße, Ecki

sascha
Posts: 1325
Joined: 2002-04-22 23:08

Re: Portscan mit Nmap

Post by sascha » 2003-07-22 13:00

Mach doch einfach mal nen normalen Scan ohne besondere Optionen.

olaf.dietsche
Posts: 401
Joined: 2002-12-19 02:06
Location: Siegburg

Re: Portscan mit Nmap

Post by olaf.dietsche » 2003-07-22 13:08

Ecki wrote:

Code: Select all

CMD: nmap -sO -PT -PI -R -T 3 217.160.XXX.XXX
man nmap sagt:

Code: Select all

-sO    IP protocol scans: This method is used to determine which IP protocols are supported on a host.
D.h. damit ermittelst du welche Protokolle unterstützt werden, aber nicht welche Ports offen sind.

ecki
Posts: 25
Joined: 2003-07-14 17:47
Location: Erde

Re: Portscan mit Nmap

Post by ecki » 2003-07-30 13:28

Hallo,

habe nochmal einen Portscan mit "NmapWin 1.31" gemacht:

Code: Select all

Aufruf gestartet mit "CMD: nmap -sU -PT -PI -v -T 3 217.XXX.XXX.XXX"


Starting nmap V. 3.00 ( www.insecure.org/nmap )
Host domain.de (217.XXX.XXX.XXX) appears to be up ... good.
Initiating UDP Scan against domain.de (217.XXX.XXX.XXX)
Too many drops ... increasing senddelay to 50000
Too many drops ... increasing senddelay to 100000
Too many drops ... increasing senddelay to 200000
Too many drops ... increasing senddelay to 400000
Too many drops ... increasing senddelay to 800000
The UDP Scan took 1504 seconds to scan 1468 ports.
Adding open port 138/udp
Adding open port 123/udp
Adding open port 1434/udp
Adding open port 68/udp
Interesting ports on domain.de (217.XXX.XXX.XXX):
(The 1464 ports scanned but not shown below are in state: closed)
Port       State       Service
68/udp     open        dhcpclient
123/udp    open        ntp
138/udp    open        netbios-dgm
1434/udp   open        ms-sql-m
Nmap run completed -- 1 IP address (1 host up) scanned in 1504 seconds
Ist das ok? Oder kann (soll) ich noch was an den Sicherheitseinstellungen ändern?

Danke & Gruß, Ecki

olaf.dietsche
Posts: 401
Joined: 2002-12-19 02:06
Location: Siegburg

Re: Portscan mit Nmap

Post by olaf.dietsche » 2003-07-30 16:07

Jetzt hast du die UDP Ports überprüft. Es fehlen also noch die TCP Ports.

Ich bezweifle allerdings, daß auch nur einer dieser Ports nach außen hin benötigt wird. Oder ist deine Maschine wirklich Server für diese Dienste?

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Portscan mit Nmap

Post by oxygen » 2003-07-30 17:12

Hier mal zum Vergleich ein üblicher (informativer!) nmap Aufruf:

www /root# nmap -sS -O 217.160.x.x

Starting nmap V. 2.53 by fyodor@insecure.org ( http://www.insecure.org/nmap/ )
Interesting ports on xxx.net (217.160.x.x):
(The 1511 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
113/tcp open auth
6667/tcp open irc
7000/tcp open afs3-fileserver
7001/tcp open afs3-callback
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
Uptime 70.923 days (since Tue May 20 19:09:43 2003)

ecki
Posts: 25
Joined: 2003-07-14 17:47
Location: Erde

Re: Portscan mit Nmap

Post by ecki » 2003-07-30 19:23

Hallo,

hier nochmal ein aktueller Portscan:

Code: Select all

Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting ports on domain.de (217.XXX.XXX.XXX):
(The 1590 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
25/tcp     open        smtp
80/tcp     open        http
110/tcp    open        pop-3
443/tcp    open        https
465/tcp    open        smtps
474/tcp    filtered    tn-tl-w1
725/tcp    filtered    unknown
995/tcp    open        pop3s
3306/tcp   open        mysql
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
Uptime 9.206 days (since Mon Jul 21 14:18:01 2003)
Nmap run completed -- 1 IP address (1 host up) scanned in 311 seconds
Jetzt sind die TCP-Ports gescannt worden.
Ist da so OK?

PS: Wie schliesse ich offene, nicht benötigte UDP- und/oder TCP-Ports?
Z. B. mit Webmin?

Danke und Gruß, Ecki

olaf.dietsche
Posts: 401
Joined: 2002-12-19 02:06
Location: Siegburg

Re: Portscan mit Nmap

Post by olaf.dietsche » 2003-07-30 20:00

Wenn du die Dienste nicht benötigst, dann kannst du sie deinstallieren. Bei den Diensten, die auf deiner Maschine bleiben, aber nicht nach außen hin sichtbar sein sollen, mußt du die Konfiguration so anpassen, daß der Daemon nur noch auf localhost horcht. Die Dienste, die nach außen hin verfügbar sein sollen, kannst du so lassen wie sie sind.

ecki
Posts: 25
Joined: 2003-07-14 17:47
Location: Erde

Re: Portscan mit Nmap

Post by ecki » 2003-07-30 20:25

@ olaf.dietsche

Hallo,

danke schon mal für deine Antwort. Da ich erst ziemlich frisch bei Linux dabei bin, weiss ich nicht genau, welche der UDP-/TCP-Ports ich schliessen kann (soll). Ich betreibe einen "normalen" Webserver, auf dem ich sozusagen alleine bin; d.h. keine anderen Dienste, kein Gameserver etc. und auch keine anderen Domains.

Ich benötige und betreibe:
1. normalen Zugang zur Domain (per Internet) [funzt]
2. SSL-Zugang für den Webmin [funzt]
2. E-Mail-Postfächer [funzt]
3. MySQL-Zugriff per SSL [funzt]
4. verschlüsselten FTP-Zugang (mit WinSCP) [funzt]
5. normalen FTP-Zugang [funzt]
6. verschlüsselten Shell-Zugang (mit Putty) [funzt]
7. verschlüsselten Zugriff auf die MySQL-DB von Win-PC aus [funzt nicht! :cry: ]

Das wars eigentlich schon... Vielleicht kannst Du mir dazu was sagen, wäre super-nett von Dir.
PS: Kann ich in der Datei /etc/services die nicht benötigten Services einfach auskommentieren?
Und: Gibt es noch derartige Dateien an anderen Stellen?
Wie kann ich die Ã?nderungen zuweisen?

Daaaaaaanke. Gruß, Ecki

olaf.dietsche
Posts: 401
Joined: 2002-12-19 02:06
Location: Siegburg

Re: Portscan mit Nmap

Post by olaf.dietsche » 2003-07-30 22:27

Wenn du Dienste aus der /etc/services auskommentierst, dann hilft das überhaupt nichts. Das ist als würdest du Einträge aus deinem Telefonbuch durchstreichen, aber deswegen kannst du die Leute trotzdem noch anrufen.

Wenn das die Dienste sind, die du benötigst, dann bist du fast komplett. Zu den UDP Ports kann vielleicht jemand anderes was sagen. Ich denke mal, daß du zumindest die Ports 138 und 1434 schließen kannst. Versuch mal mit

Code: Select all

lsof -i :138
lsof -i :1434
herauszufinden, welche Prozesse auf diesen Ports horchen.

Allerdings würde ich mir noch mal überlegen, ob du wirklich Mysql und FTP öffentlich zugänglich machen willst. Das gleich gilt für POP3, wenn du bereits POP3S installiert hast.

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Portscan mit Nmap

Post by oxygen » 2003-07-30 22:44

olaf.dietsche wrote:Wenn das die Dienste sind, die du benötigst, dann bist du fast komplett. Zu den UDP Ports kann vielleicht jemand anderes was sagen. Ich denke mal, daß du zumindest die Ports 138 und 1434 schließen kannst. Versuch mal mit

Code: Select all

lsof -i :138
lsof -i :1434
herauszufinden, welche Prozesse auf diesen Ports horchen.
Das geht auch einfacher:

Code: Select all

netstat -nlp

ecki
Posts: 25
Joined: 2003-07-14 17:47
Location: Erde

Re: Portscan mit Nmap

Post by ecki » 2003-07-30 22:44

Danke für deine Antworten.
Werde mal einen neuen Thread starten, in dem ich das mit dem Schliessen der UDP-Ports nachfrage.

Danke & Ende
Gruß, Ecki

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Portscan mit Nmap

Post by dea » 2003-07-30 22:49

In Bezug auf den DB-Zugriff solltest Du Dir vll. mal "stunnel" ansehen oder Dir überlegen, ob der Zugang (ich nehme mal an, Du brauchst es für die Administration der DB für Dich alleine) nicht auch simpel über einen SSH-Tunnel (PuTTY und der ssh.com-Client können das auch auf WinDoze) zu realisieren wäre. Zu letzterem ist iirc in der vorletzten c't ein schöner Artikel (inkl. Anleitung).

Die UDP-Ports 137-139 inkl. kannst Du bedenkenlos dicht machen, genauso wie TCP/UDP 443 (es sei denn Du hast einen SSL-Apachen am drehen). Sie werden hauptsächlich von WinDoze-Clients verwendet und haben im öffentlichen I-Net eigentlich nichts zu suchen.

Da Du wahrscheinlich keinen MS SQL Server betreibst kannst Du auch UDP 1434 bedenkenlos schließen :)

ecki
Posts: 25
Joined: 2003-07-14 17:47
Location: Erde

Re: Portscan mit Nmap

Post by ecki » 2003-07-31 09:37

Guten Morgen,

danke euch allen für die Infos und Statements.

@dea: Stimmt. Ich brauch das zur Administration vom Kleinweich-Fensters-Rechner aus. Mit dem "stunnel" habe ich bisher keinen Erfolg gehabt. Welche Nummer der ct meinst Du? Weißt du zufällig auch WIE man die Ports schliesst? :roll:

Danke und Gruß, Ecki

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Portscan mit Nmap

Post by dea » 2003-07-31 16:15

Ecki wrote:@dea: Stimmt. Ich brauch das zur Administration vom Kleinweich-Fensters-Rechner aus. Mit dem "stunnel" habe ich bisher keinen Erfolg gehabt.
Dann nimm besser SSH-Tunnel. Wenn man es einmal geblickt hat, scheint es fat schon peinlich einfach ;)
Welche Nummer der ct meinst Du? Weißt du zufällig auch WIE man die Ports schliesst? :roll:
Die genaue Ausgabe der c't müsst' ich mal nachschauen, es war aber iirc eine der letzten. Wird nachgereicht.

Ports tust Du unter UNIX/Linux dadurch schließen, dass Du:

1. Den "lauschenden" Dienst deinstallierst (Grundvoraussetzung, sonst ist der Rest schmock)

2. Dem Internet Super Server (inetd, xinetd, ...) die Informationen zu den Ports vorenthältst (alles, was der nicht kennt behandelt er auch nicht). Das erreichst Du unter Debian mit 'update-inetd' (Manpages lesen, es ist nicht kompliziert), in anderen Distros mag es ähnliche Tools geben, die kenne ich aber nicht. Wenn Du kein Debian verwendest und keine passenden Tools vorhanden sind, kannst Du auch einfach die entsprechenden Zeilen in der /etc/inetd.con bzw. xinetd.conf löschen oder auskommentieren. Vorher solltest Du aber auf alle Fälle die Manpages zu inetd.conf lesen!!!

Jetzt kannst Du noch mal einen Portscan laufen lassen (nmap kennst Du ja mittlerweile *g*). Wenn dann immer noch Ports offen sind und Du (z.B. mit lsof) keine dazugehörigen Anwendungen ausfindig machen kannst dann beibt Dir noch die Möglichkeit, mit IPTables zu arbeiten und dort die Ports einfach zu sperren (nimm die Rule DROP). Aus dem Kopf raus sähe dass für UPD/123456 ungefähr so aus:

Code: Select all

iptables -t filter  INPUT --insert -p udp --in-interface eth0 --destination-port 123456 --jump DROP
Für Deine MySQL-Administration solltest Du unbedingt darauf achten, MySQL auch beizubringen, dass es auf einem lokalen Port horcht (aber ich glaub, das steht auch in dem Artikel)

dea
Posts: 532
Joined: 2002-08-13 12:05

Nachtrag

Post by dea » 2003-08-01 09:27

Habe den angesprochenen Artikel zu SSH-Tunneln gefunden.

Michael Renner: "Tunnelverkehr", Aktuelle iX (08/2003), Seite 112

Da steht alles prima drin :)