WCM Forum - Wie lässt sich "Service Scanning" verhindern?

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Wie lässt sich "Service Scanning" verhindern? (http://www.wcm.at/forum/showthread.php?t=135344)

maxb	27.05.2004 18:08

Wie lässt sich "Service Scanning" verhindern?

Code:

>nmap 213.143.XXX.XXX -v -P0 -p 22 -sV



Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-05-27 17:00 Westeuro

põische Sommerzeit

Host 213.143.xxx.xxx appears to be up ... good.

Initiating SYN Stealth Scan against 213.143.XXX.XXX at 17:00

Adding open port 22/tcp

The SYN Stealth Scan took 0 seconds to scan 1 ports.

Initiating service scan against 1 service on 1 host at 17:00

The service scan took 37 seconds to scan 1 service on 1 host.

Interesting ports on 213.143.xxx.xxx:

PORT   STATE SERVICE       VERSION

22/tcp open  microsoft-rdp Microsoft Terminal Service (Windows 2000 Server)

nicht schön!

Noch schlimmer beim ftp port, da spuckte er zuerst SW inklusive Versionsnummer aus. Dann hab' ich den FTP Begrüssungstext neutralisiert, jetzt spuckt er noch immer SW Hersteller aus.

Kann man das irgendwie unterbinden :confused:
Auch mit einfachen Mitteln, oder ist das egal?

Ich meine das bietet doch Angriffsfläche wenn ein Sicherheitsloch bekannt wird ...

Grüße
Max

_m3	27.05.2004 18:27

Der Terminal Server haengt auf Prt 22? :eek: Wuerg.

Die Verbindung auf der FW kappen und alles via VPN machen?

maxb	27.05.2004 18:41

Zitat:

Original geschrieben von _m3
Der Terminal Server haengt auf Prt 22? :eek: Wuerg.

Die Verbindung auf der FW kappen und alles via VPN machen?

Ja, was soll ich machen, komm nur auf 21,22 und 80 raus wo ich untertags bin, sonst würd er eh auf 4711 hängen :D

ok, VPN wäre eine lösung für den remote desktop :rolleyes:

eAnic

28.05.2004 08:09

Du kannst eine IPTables Regel erstellen, um SYN stealth scans zu unterbinden.
Mir fällt die entsprechende Regel grad nicht ein, aber wenn du möchtest, dann schau ich am Nachmittag nach.

msdn	28.05.2004 13:22

Meiner Meinung nach sollte kein HomePC ohne Firewall am Netz hängen. Du hast lediglich Port 22 gescannt. Viel interessanter sind die reinen MS-Ports (so 137, 138 und 139 - das sind die Netbios Ports).

Für diese Ports gibt es eine Reihe von xploits, die viel Schlimmeres anrichten als der TS-Dienst.

Eine SPI-Firewall unterbindet die ganzen SYN - SYN/ACK Tests und Attacken und erschwert erheblich mitm-Attacken (man in the middle).

TNC.Phil

29.05.2004 14:40

ziemlich egal, kein wurm überprüft zuerst ob das richtige service rennt, sondern startet gleich die exploit routine...

maxb	06.06.2004 21:37

Zitat:

Original geschrieben von TNC.Phil
ziemlich egal, kein wurm überprüft zuerst ob das richtige service rennt, sondern startet gleich die exploit routine...

naja, ein wurm nicht, aber einer der sich gezielt reinhacken will, auch wenn das unwahrscheinlich ist.

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:56 Uhr.