Page 1 of 1
Portscan mit Nmap
Posted: 2003-07-21 23:13
by ecki
Hallo,
Ich habe mal mit "Nmap" (Windows) einen IP-Portscan mit den Optionen
"TCP+ICMP-Ping"durchgeführt. Das Ergebnis habe ich gepostet:
Code: Select all
23:07 21.07.2003
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting protocols on domain.de (217.XXX.XXX.XXX):
(The 252 protocols scanned but not shown below are in state: closed)
Protocol State Name
1 open icmp
6 open tcp
17 open udp
Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds
Ist das aus sicherheitstechnischer Sicht o.k. so,
oder weist dieses Ergebnis ungewöhnliche Sicherheitslöcher auf meinem Server aus? (Kann man da etwas verbessern?)
Gruß, Ecki
Re: Portscan mit Nmap
Posted: 2003-07-22 00:21
by dopefish
wäre schon tragisch wenn dein server kein ICMP, TCP und UDP könnte ;) poste mal den gesammten aufrufzeile von nmap
Re: Portscan mit Nmap
Posted: 2003-07-22 00:47
by dodolin
Code: Select all
(The 252 protocols scanned but not shown below are in state: closed)
Ist das echt oder hast du das geschummelt? Es gibt a) keine 252 "Protocols" und b) können "Protocols" nicht "closed" sein, sondern höchstens Ports.
Weiters wäre es äusserst seltsam, wenn dein Rechner nicht mal SSH offen hätte. Oder wie willst du ihn sonst fernadministrieren?
Re: Portscan mit Nmap
Posted: 2003-07-22 09:39
by ecki
Hallo,
das Ergebnis habe ich über die Zwischenablage reinkopiert. Geschummelt ist da gar nix. Wozu auch? Schließlich will ich ja wissen, ob der Server halbwegs sicher läuft oder nicht.
Hier die Kommandozeile des Scans:
Code: Select all
CMD: nmap -sO -PT -PI -R -T 3 217.160.XXX.XXX
Und das Egebnis hier (aktuell):
Code: Select all
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting protocols on domain.de (217.160.XXX.XXX):
(The 252 protocols scanned but not shown below are in state: closed)
Protocol State Name
1 open icmp
6 open tcp
17 open udp
Nmap run completed -- 1 IP address (1 host up) scanned in 4 seconds
Noch ein Scan:
Code: Select all
CMD: nmap -sO -PT -PI -R -vv -T 3 217.160.XXX.XXX
Und das Ergebnis:
Code: Select all
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Host domain.de (217.160.XXX.XXX) appears to be up ... good.
Initiating IPProto Scan against domain.de (217.160.XXX.XXX)
The IPProto Scan took 2 seconds to scan 255 ports.
Adding open port 6/udp
Adding open port 1/udp
Adding open port 17/udp
Interesting protocols on domain.de (217.160.XXX.XXX):
(The 252 protocols scanned but not shown below are in state: closed)
Protocol State Name
1 open icmp
6 open tcp
17 open udp
Nmap run completed -- 1 IP address (1 host up) scanned in 3 seconds
Die Programmversion ist: "NmapWin v1.31".
Warum der hier "protocols" schreibt weiss ich nicht. Wenn jemand den Aufruf kennt. mit dem man eine anderes, vielleicht aussagekräftigeres Ergebnis erzielt, möge er (sie) es mir bitte mitteilen.
PS @dodolin: Ich benutze natürlich "SSH" zur Fernadministration des Servers (u.a. mit Putty, Webmin und WinSCP).
Viele Grüße, Ecki
Re: Portscan mit Nmap
Posted: 2003-07-22 13:00
by sascha
Mach doch einfach mal nen normalen Scan ohne besondere Optionen.
Re: Portscan mit Nmap
Posted: 2003-07-22 13:08
by olaf.dietsche
Ecki wrote:Code: Select all
CMD: nmap -sO -PT -PI -R -T 3 217.160.XXX.XXX
man nmap sagt:
Code: Select all
-sO IP protocol scans: This method is used to determine which IP protocols are supported on a host.
D.h. damit ermittelst du welche Protokolle unterstützt werden, aber nicht welche Ports offen sind.
Re: Portscan mit Nmap
Posted: 2003-07-30 13:28
by ecki
Hallo,
habe nochmal einen Portscan mit "NmapWin 1.31" gemacht:
Code: Select all
Aufruf gestartet mit "CMD: nmap -sU -PT -PI -v -T 3 217.XXX.XXX.XXX"
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Host domain.de (217.XXX.XXX.XXX) appears to be up ... good.
Initiating UDP Scan against domain.de (217.XXX.XXX.XXX)
Too many drops ... increasing senddelay to 50000
Too many drops ... increasing senddelay to 100000
Too many drops ... increasing senddelay to 200000
Too many drops ... increasing senddelay to 400000
Too many drops ... increasing senddelay to 800000
The UDP Scan took 1504 seconds to scan 1468 ports.
Adding open port 138/udp
Adding open port 123/udp
Adding open port 1434/udp
Adding open port 68/udp
Interesting ports on domain.de (217.XXX.XXX.XXX):
(The 1464 ports scanned but not shown below are in state: closed)
Port State Service
68/udp open dhcpclient
123/udp open ntp
138/udp open netbios-dgm
1434/udp open ms-sql-m
Nmap run completed -- 1 IP address (1 host up) scanned in 1504 seconds
Ist das ok? Oder kann (soll) ich noch was an den Sicherheitseinstellungen ändern?
Danke & Gruß, Ecki
Re: Portscan mit Nmap
Posted: 2003-07-30 16:07
by olaf.dietsche
Jetzt hast du die UDP Ports überprüft. Es fehlen also noch die TCP Ports.
Ich bezweifle allerdings, daß auch nur einer dieser Ports nach außen hin benötigt wird. Oder ist deine Maschine wirklich Server für diese Dienste?
Re: Portscan mit Nmap
Posted: 2003-07-30 17:12
by oxygen
Hier mal zum Vergleich ein üblicher (informativer!) nmap Aufruf:
www /root# nmap -sS -O 217.160.x.x
Starting nmap V. 2.53 by
fyodor@insecure.org (
http://www.insecure.org/nmap/ )
Interesting ports on xxx.net (217.160.x.x):
(The 1511 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
113/tcp open auth
6667/tcp open irc
7000/tcp open afs3-fileserver
7001/tcp open afs3-callback
Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
Uptime 70.923 days (since Tue May 20 19:09:43 2003)
Re: Portscan mit Nmap
Posted: 2003-07-30 19:23
by ecki
Hallo,
hier nochmal ein aktueller Portscan:
Code: Select all
Starting nmap V. 3.00 ( www.insecure.org/nmap )
Interesting ports on domain.de (217.XXX.XXX.XXX):
(The 1590 ports scanned but not shown below are in state: closed)
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop-3
443/tcp open https
465/tcp open smtps
474/tcp filtered tn-tl-w1
725/tcp filtered unknown
995/tcp open pop3s
3306/tcp open mysql
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
Uptime 9.206 days (since Mon Jul 21 14:18:01 2003)
Nmap run completed -- 1 IP address (1 host up) scanned in 311 seconds
Jetzt sind die TCP-Ports gescannt worden.
Ist da so OK?
PS: Wie schliesse ich offene, nicht benötigte UDP- und/oder TCP-Ports?
Z. B. mit Webmin?
Danke und Gruß, Ecki
Re: Portscan mit Nmap
Posted: 2003-07-30 20:00
by olaf.dietsche
Wenn du die Dienste nicht benötigst, dann kannst du sie deinstallieren. Bei den Diensten, die auf deiner Maschine bleiben, aber nicht nach außen hin sichtbar sein sollen, mußt du die Konfiguration so anpassen, daß der Daemon nur noch auf localhost horcht. Die Dienste, die nach außen hin verfügbar sein sollen, kannst du so lassen wie sie sind.
Re: Portscan mit Nmap
Posted: 2003-07-30 20:25
by ecki
@ olaf.dietsche
Hallo,
danke schon mal für deine Antwort. Da ich erst ziemlich frisch bei Linux dabei bin, weiss ich nicht genau, welche der UDP-/TCP-Ports ich schliessen kann (soll). Ich betreibe einen "normalen" Webserver, auf dem ich sozusagen alleine bin; d.h. keine anderen Dienste, kein Gameserver etc. und auch keine anderen Domains.
Ich benötige und betreibe:
1. normalen Zugang zur Domain (per Internet) [funzt]
2. SSL-Zugang für den Webmin [funzt]
2. E-Mail-Postfächer [funzt]
3. MySQL-Zugriff per SSL [funzt]
4. verschlüsselten FTP-Zugang (mit WinSCP) [funzt]
5. normalen FTP-Zugang [funzt]
6. verschlüsselten Shell-Zugang (mit Putty) [funzt]
7. verschlüsselten Zugriff auf die MySQL-DB von Win-PC aus [
funzt nicht! 
]
Das wars eigentlich schon... Vielleicht kannst Du mir dazu was sagen, wäre super-nett von Dir.
PS: Kann ich in der Datei /etc/services die nicht benötigten Services einfach auskommentieren?
Und: Gibt es noch derartige Dateien an anderen Stellen?
Wie kann ich die Ã?nderungen zuweisen?
Daaaaaaanke. Gruß, Ecki
Re: Portscan mit Nmap
Posted: 2003-07-30 22:27
by olaf.dietsche
Wenn du Dienste aus der /etc/services auskommentierst, dann hilft das überhaupt nichts. Das ist als würdest du Einträge aus deinem Telefonbuch durchstreichen, aber deswegen kannst du die Leute trotzdem noch anrufen.
Wenn das die Dienste sind, die du benötigst, dann bist du fast komplett. Zu den UDP Ports kann vielleicht jemand anderes was sagen. Ich denke mal, daß du zumindest die Ports 138 und 1434 schließen kannst. Versuch mal mit
herauszufinden, welche Prozesse auf diesen Ports horchen.
Allerdings würde ich mir noch mal überlegen, ob du wirklich Mysql und FTP öffentlich zugänglich machen willst. Das gleich gilt für POP3, wenn du bereits POP3S installiert hast.
Re: Portscan mit Nmap
Posted: 2003-07-30 22:44
by oxygen
olaf.dietsche wrote:Wenn das die Dienste sind, die du benötigst, dann bist du fast komplett. Zu den UDP Ports kann vielleicht jemand anderes was sagen. Ich denke mal, daß du zumindest die Ports 138 und 1434 schließen kannst. Versuch mal mit
herauszufinden, welche Prozesse auf diesen Ports horchen.
Das geht auch einfacher:
Re: Portscan mit Nmap
Posted: 2003-07-30 22:44
by ecki
Danke für deine Antworten.
Werde mal einen neuen Thread starten, in dem ich das mit dem Schliessen der UDP-Ports nachfrage.
Danke & Ende
Gruß, Ecki
Re: Portscan mit Nmap
Posted: 2003-07-30 22:49
by dea
In Bezug auf den DB-Zugriff solltest Du Dir vll. mal "stunnel" ansehen oder Dir überlegen, ob der Zugang (ich nehme mal an, Du brauchst es für die Administration der DB für Dich alleine) nicht auch simpel über einen SSH-Tunnel (PuTTY und der ssh.com-Client können das auch auf WinDoze) zu realisieren wäre. Zu letzterem ist iirc in der vorletzten c't ein schöner Artikel (inkl. Anleitung).
Die UDP-Ports 137-139 inkl. kannst Du bedenkenlos dicht machen, genauso wie TCP/UDP 443 (es sei denn Du hast einen SSL-Apachen am drehen). Sie werden hauptsächlich von WinDoze-Clients verwendet und haben im öffentlichen I-Net eigentlich nichts zu suchen.
Da Du wahrscheinlich keinen MS SQL Server betreibst kannst Du auch UDP 1434 bedenkenlos schließen :)
Re: Portscan mit Nmap
Posted: 2003-07-31 09:37
by ecki
Guten Morgen,
danke euch allen für die Infos und Statements.
@dea: Stimmt. Ich brauch das zur Administration vom Kleinweich-Fensters-Rechner aus. Mit dem "stunnel" habe ich bisher keinen Erfolg gehabt. Welche Nummer der ct meinst Du? Weißt du zufällig auch WIE man die Ports schliesst? :roll:
Danke und Gruß, Ecki
Re: Portscan mit Nmap
Posted: 2003-07-31 16:15
by dea
Ecki wrote:@dea: Stimmt. Ich brauch das zur Administration vom Kleinweich-Fensters-Rechner aus. Mit dem "stunnel" habe ich bisher keinen Erfolg gehabt.
Dann nimm besser SSH-Tunnel. Wenn man es einmal geblickt hat, scheint es fat schon peinlich einfach ;)
Welche Nummer der ct meinst Du? Weißt du zufällig auch WIE man die Ports schliesst? :roll:
Die genaue Ausgabe der c't müsst' ich mal nachschauen, es war aber iirc eine der letzten. Wird nachgereicht.
Ports tust Du unter UNIX/Linux dadurch schließen, dass Du:
1. Den "lauschenden" Dienst deinstallierst (Grundvoraussetzung, sonst ist der Rest schmock)
2. Dem Internet Super Server (inetd, xinetd, ...) die Informationen zu den Ports vorenthältst (alles, was der nicht kennt behandelt er auch nicht). Das erreichst Du unter Debian mit 'update-inetd' (Manpages lesen, es ist nicht kompliziert), in anderen Distros mag es ähnliche Tools geben, die kenne ich aber nicht. Wenn Du kein Debian verwendest und keine passenden Tools vorhanden sind, kannst Du auch einfach die entsprechenden Zeilen in der /etc/inetd.con bzw. xinetd.conf löschen oder auskommentieren. Vorher solltest Du aber auf alle Fälle die Manpages zu inetd.conf lesen!!!
Jetzt kannst Du noch mal einen Portscan laufen lassen (nmap kennst Du ja mittlerweile *g*). Wenn dann immer noch Ports offen sind und Du (z.B. mit lsof) keine dazugehörigen Anwendungen ausfindig machen kannst dann beibt Dir noch die Möglichkeit, mit IPTables zu arbeiten und dort die Ports einfach zu sperren (nimm die Rule DROP). Aus dem Kopf raus sähe dass für UPD/123456 ungefähr so aus:
Code: Select all
iptables -t filter INPUT --insert -p udp --in-interface eth0 --destination-port 123456 --jump DROP
Für Deine MySQL-Administration solltest Du unbedingt darauf achten, MySQL auch beizubringen, dass es auf einem lokalen Port horcht (aber ich glaub, das steht auch in dem Artikel)
Nachtrag
Posted: 2003-08-01 09:27
by dea
Habe den angesprochenen Artikel zu SSH-Tunneln gefunden.
Michael Renner: "Tunnelverkehr", Aktuelle iX (08/2003), Seite 112
Da steht alles prima drin :)