Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Shields up!

03-07-2019, 17:03 door Anoniem, 18 reacties
Bij shields up! (Grc) Krijg ik bijna alles uit op “stealth” mits ik met mijn vpn app verbonden ben. Als ik dit niet ben, staan ze closed.

Kan ik er dan van uit gaan dan bij verbinding met vpn app de router ook minder toegankelijk is? Of is het een schijnveiligheid?

Ook blijf ik hoe dan ook krijgen dat “Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet” terwijl ik op de router heb aangevinkt:
“Discard Ping To WAN Interface”
Reacties (18)
04-07-2019, 05:00 door Anoniem
Stealth of Closed maakt niets uit. Dit varieert per modem.

Als er een poort open staat moet je wel opletten dat er geen port forward naar je computer is. Want als je computer staat te luisteren, en er draait een service die kwetsbaar is, dan heb je een probleem op het internet.

Zelf heb ik alle inkomende poorten op mijn modem uit staan. En Universal Plug and Play heb ik ook uit staan op mijn modem. En ik heb in mijn Windows 10 firewall ook alle inkomende verbindingen geblokkeerd. "Block all connections including applications on the list of allowed applications". Ook staat mijn connectie op "Guest or public networks". Hierdoor is een verbinding met mijn thuisnetwerk niet mogelijk.

Je VPN is wel schijnveiligheid. Want een aanvaller scant gewoon het hele IPv4 internet. Dus jouw VPN adres, maar ook het adres van je internet provider. Een aanvaller hoeft dus niet via jouw VPN te gaan maar kan direct je echte IP aanvallen.

Krijg je de Ping melding als je op je VPN zit, of als je op je echte IP zit?
04-07-2019, 09:14 door Bitje-scheef
Shields Up vroeger veel gebruikt (toen nog één van de weinige), maar kreeg weleens false positives op bepaalde modems/routers of juist alles stealth op poorten die open stonden. Dit was toen modem/router merk afhankelijk (slechte logging etc). Die modems/routers worden niet meer gebruikt tegenwoordig gelukkig.
04-07-2019, 10:48 door Anoniem
Hoe krijg ik die open poort gesloten?
En hoe weet ik of er geen “port forward” naar mijn computer is?
04-07-2019, 12:17 door Anoniem
https://archive.org/details/stevegibsoninterviewrawsocketsgrc
04-07-2019, 13:16 door Anoniem
Door Anoniem: Hoe krijg ik die open poort gesloten?
En hoe weet ik of er geen “port forward” naar mijn computer is?
Hangt er mogelijk vanaf om welk poortnummer het gaat.
In elke geval om te beginnen uPnP (universal Plug and Play) in modem/router uitzetten.
Verzeker je er ook van dat de mogelijkheid om op afstand ("remote") in te loggen op de modem/router is uitgeschakeld.
Hierrna modem/router uitzetten, en na enkele seconden weer aan. Vervolgens weer testen met Shields Up

Ook blijf ik hoe dan ook krijgen dat “Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet” terwijl ik op de router heb aangevinkt:
“Discard Ping To WAN Interface”
Is er een configuratie optie om de WAN-ping op "ignore" te zetten? Zo ja, kies dit en test opnieuw.
04-07-2019, 15:36 door Anoniem
Door Anoniem: Stealth of Closed maakt niets uit. Dit varieert per modem.

Een stealth configuratie verstuurt geen ICMP replies terwijl een closed configuratie wel ICMP replies terugstuurt als reactie op verkeer naar gesloten poorten. Als je geen enkele poort geopend hebt is een stealth configuratie daarmee voor scans onzichtbaar op het internet terwijl een closed configuratie dat niet is. Daarnaast geeft niet elke IP stack op precies dezelfde manier ICMP replies waardoor een aanvaller bij een closed configuratie middels een scan achterhalen kan om wat voor soort modem of OS het gaat en hij meer gericht op zoek kan gaan naar eventuele lekken in het systeem.
04-07-2019, 17:45 door Anoniem
Een goede scan om hier naast te zetten:
http://securitypreview.zscaler.com/

luntrus
04-07-2019, 18:03 door Anoniem
Door Anoniem:
Door Anoniem: Stealth of Closed maakt niets uit. Dit varieert per modem.

Een stealth configuratie verstuurt geen ICMP replies terwijl een closed configuratie wel ICMP replies terugstuurt als reactie op verkeer naar gesloten poorten. Als je geen enkele poort geopend hebt is een stealth configuratie daarmee voor scans onzichtbaar op het internet terwijl een closed configuratie dat niet is. Daarnaast geeft niet elke IP stack op precies dezelfde manier ICMP replies waardoor een aanvaller bij een closed configuratie middels een scan achterhalen kan om wat voor soort modem of OS het gaat en hij meer gericht op zoek kan gaan naar eventuele lekken in het systeem.

Waarschijnlijk disinfo of PEBKAC
04-07-2019, 23:03 door Anoniem
Beter dan stealth is de aanduiding krijgen van "filtered port".
Dan is zelfs niet vast te stellen of de poort stealth, dan wel open of gesloten is.
"Filtered" houdt in dat een firewall, filter, of ander netwerk obstakel de poorten blokkeert,
zodat Nmap niet weet uit te maken of ie open ofwel dicht staat.

#sockpuppet
04-07-2019, 23:25 door Anoniem
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC

Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?
05-07-2019, 12:00 door Anoniem
Door Anoniem:
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC

Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?

Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.
05-07-2019, 13:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC

Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?

Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.

Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.
05-07-2019, 21:21 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC

Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?

Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.

Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.

Maar er is geen enkele noodzaak om dan het door Steve gepropageerde 'Stealth', oftewel het droppen van het verkeer te gebruiken. Sterker nog, je hebt kans dat je met het blind blokkeren van ICMP (alle ICMP!) noodzakelijke dingen zoals pMTU kapot maakt.
06-07-2019, 00:09 door Anoniem
Door Anoniem: Maar er is geen enkele noodzaak om dan het door Steve gepropageerde 'Stealth', oftewel het droppen van het verkeer te gebruiken. Sterker nog, je hebt kans dat je met het blind blokkeren van ICMP (alle ICMP!) noodzakelijke dingen zoals pMTU kapot maakt.
Zodra een poort een functie gaat vervullen wordt hij uit stealth gehaald, en blijft daarna nog even open staan om de respons te ontvangen en door te geven. (afkomstig van het IP-adres dat werd aangesproken)

In principe is het mogelijk dat de poort "stealth" blijft voor IP-adressen die niet zijn bezocht,
maar een beperkte tijd open staat voor het IP-adres dat pas was bezocht. (om de respons te ontvangen)
06-07-2019, 13:45 door Anoniem
Door Anoniem:
Door Anoniem: Maar er is geen enkele noodzaak om dan het door Steve gepropageerde 'Stealth', oftewel het droppen van het verkeer te gebruiken. Sterker nog, je hebt kans dat je met het blind blokkeren van ICMP (alle ICMP!) noodzakelijke dingen zoals pMTU kapot maakt.
Zodra een poort een functie gaat vervullen wordt hij uit stealth gehaald, en blijft daarna nog even open staan om de respons te ontvangen en door te geven. (afkomstig van het IP-adres dat werd aangesproken)

In principe is het mogelijk dat de poort "stealth" blijft voor IP-adressen die niet zijn bezocht,
maar een beperkte tijd open staat voor het IP-adres dat pas was bezocht. (om de respons te ontvangen)

Ik herhaal: stealth is onzinnig en breekt zaken als pMTU. Het heeft geen enkele toegevoegde waarde.
06-07-2019, 16:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC

Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?

Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.

Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.

Wat stel je dan voor in stealth firewalling? Pakketjes droppen of denyen (ook ICMP filteren) geeft aan dat je een firewall hebt. Of wil je een complete sinkhole (niet echt stealth... dan weet je dat er gefilterd wordt).

Packetjes rejecten stuurt inderdaad traffic terug maar je weet niet welke poorten open staan (sommige firewalls zijn wel te detecteren door xmas, fin, ack enz scans met bijv nmap). Dit lijkt dus het meest op een normale tcp stack. Dus stealth want je weet met scannen niet of er een firewall op draait. Zit ik goed?

ICMP blokkeren is heel stom eigenlijk want het is het fundamentele protocol voor routering van IP verkeer. Ik zie geen enkele reden waarom je ICMP volledig wil sinkholen in een normale werksituatie zeker als bedrijf of als kleine ISP. Stel dat deze dat gaat doen om jou een "firewall dienst" aan te bieden.
06-07-2019, 18:51 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Waarschijnlijk disinfo of PEBKAC

Hoezo PEBKAC, leg jij dan eens uit wat een steath configuratie van een firewall is, champ?

Dat je niet weet dat er een Firewall draait. Een voor de hand liggende implementatie is bijv. port closed reacties.

Zodra een host "port closed reacties" (oftewel ICMP replies) verstuurt is hij dus niet in stealth mode want hij babbelt terug. En voor die "port closed reacties" hoef je geen firewall te draaien, dat is de standaard reactie van de IP stack zodra er verkeer op een poort ontvangen wordt waar geen service op draait. Je draait en firewall om poorten waarop wel services draaien af te schermen van het internet.

Wat stel je dan voor in stealth firewalling? Pakketjes droppen of denyen (ook ICMP filteren) geeft aan dat je een firewall hebt. Of wil je een complete sinkhole (niet echt stealth... dan weet je dat er gefilterd wordt).

Nee dus. Als je alle inkomende verkeer dropt (op een stateful firewall die wel inkomend verkeer toelaat aan voorafgaand gerelateerd uitgaand verkeer) dan heeft dat tot gevolg dat de host op geen enkele poort antwoord geeft wanneer hij ge-portscanned wordt. Voor de portscanner geeft dat hetzelfde effect als wanneer de host er helemaal niet is en de scanner kan dus niet eens concluderen dat er iets online is achter het gescande ip adres. Dat is het idee achter stealth firewalling en het heeft alleen zin wanneer de host echt geen enkele openstaande poort nodig heeft (hetgeen onder andere niet het geval is wanneer je internet telefonie gebruikt of handmatig poorten opengezet/geforward hebt).
07-07-2019, 20:33 door Anoniem
Als een poort 53 open staat en de rest gesloten, is dat normaal?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.