Wie lässt sich "Service Scanning" verhindern?

maxb · 27.05.2004, 17:08

Code:

>nmap 213.143.XXX.XXX -v -P0 -p 22 -sV

Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-05-27 17:00 Westeuro
põische Sommerzeit
Host 213.143.xxx.xxx appears to be up ... good.
Initiating SYN Stealth Scan against 213.143.XXX.XXX at 17:00
Adding open port 22/tcp
The SYN Stealth Scan took 0 seconds to scan 1 ports.
Initiating service scan against 1 service on 1 host at 17:00
The service scan took 37 seconds to scan 1 service on 1 host.
Interesting ports on 213.143.xxx.xxx:
PORT   STATE SERVICE       VERSION
22/tcp open  microsoft-rdp Microsoft Terminal Service (Windows 2000 Server)

nicht schön!

Noch schlimmer beim ftp port, da spuckte er zuerst SW inklusive Versionsnummer aus. Dann hab' ich den FTP Begrüssungstext neutralisiert, jetzt spuckt er noch immer SW Hersteller aus.

Kann man das irgendwie unterbinden

Auch mit einfachen Mitteln, oder ist das egal?

Ich meine das bietet doch Angriffsfläche wenn ein Sicherheitsloch bekannt wird ...

Grüße
Max

_m3 · 27.05.2004, 17:27

Der Terminal Server haengt auf Prt 22?

Wuerg.

Die Verbindung auf der FW kappen und alles via VPN machen?

maxb · 27.05.2004, 17:41

Zitat:

Original geschrieben von _m3
Der Terminal Server haengt auf Prt 22? Wuerg.

Die Verbindung auf der FW kappen und alles via VPN machen?

Ja, was soll ich machen, komm nur auf 21,22 und 80 raus wo ich untertags bin, sonst würd er eh auf 4711 hängen

ok, VPN wäre eine lösung für den remote desktop

eAnic · 28.05.2004, 07:09

Du kannst eine IPTables Regel erstellen, um SYN stealth scans zu unterbinden.
Mir fällt die entsprechende Regel grad nicht ein, aber wenn du möchtest, dann schau ich am Nachmittag nach.

msdn · 28.05.2004, 12:22

Meiner Meinung nach sollte kein HomePC ohne Firewall am Netz hängen. Du hast lediglich Port 22 gescannt. Viel interessanter sind die reinen MS-Ports (so 137, 138 und 139 - das sind die Netbios Ports).

Für diese Ports gibt es eine Reihe von xploits, die viel Schlimmeres anrichten als der TS-Dienst.

Eine SPI-Firewall unterbindet die ganzen SYN - SYN/ACK Tests und Attacken und erschwert erheblich mitm-Attacken (man in the middle).

TNC.Phil · 29.05.2004, 13:40

ziemlich egal, kein wurm überprüft zuerst ob das richtige service rennt, sondern startet gleich die exploit routine...

maxb · 06.06.2004, 20:37

Zitat:

Original geschrieben von TNC.Phil
ziemlich egal, kein wurm überprüft zuerst ob das richtige service rennt, sondern startet gleich die exploit routine...

naja, ein wurm nicht, aber einer der sich gezielt reinhacken will, auch wenn das unwahrscheinlich ist.

27.05.2004, 17:08	#1
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	Wie lässt sich "Service Scanning" verhindern? Code: >nmap 213.143.XXX.XXX -v -P0 -p 22 -sV Starting nmap 3.48 ( http://www.insecure.org/nmap ) at 2004-05-27 17:00 Westeuro põische Sommerzeit Host 213.143.xxx.xxx appears to be up ... good. Initiating SYN Stealth Scan against 213.143.XXX.XXX at 17:00 Adding open port 22/tcp The SYN Stealth Scan took 0 seconds to scan 1 ports. Initiating service scan against 1 service on 1 host at 17:00 The service scan took 37 seconds to scan 1 service on 1 host. Interesting ports on 213.143.xxx.xxx: PORT STATE SERVICE VERSION 22/tcp open microsoft-rdp Microsoft Terminal Service (Windows 2000 Server) nicht schön! Noch schlimmer beim ftp port, da spuckte er zuerst SW inklusive Versionsnummer aus. Dann hab' ich den FTP Begrüssungstext neutralisiert, jetzt spuckt er noch immer SW Hersteller aus. Kann man das irgendwie unterbinden Auch mit einfachen Mitteln, oder ist das egal? Ich meine das bietet doch Angriffsfläche wenn ein Sicherheitsloch bekannt wird ... Grüße Max ____________________________________ www.maxb.cc und www.bikeandbeer.info

27.05.2004, 17:27	#2
_m3 Inventar Registriert seit: 24.09.2001 Beiträge: 7.335	Der Terminal Server haengt auf Prt 22? Wuerg. Die Verbindung auf der FW kappen und alles via VPN machen? ____________________________________ Weiterhin zu finden auf http://martin.leyrer.priv.at , http://twitter.com/leyrer , http://www.debattierclub.net/ , http://www.tratschen.at/ und via Instant Messaging auf Jabber: m3 <ät> cargal.org .

28.05.2004, 07:09	#4
eAnic Inventar Registriert seit: 23.01.2000 Alter: 46 Beiträge: 2.135	Du kannst eine IPTables Regel erstellen, um SYN stealth scans zu unterbinden. Mir fällt die entsprechende Regel grad nicht ein, aber wenn du möchtest, dann schau ich am Nachmittag nach. ____________________________________ ... back in business

28.05.2004, 12:22	#5
msdn Newbie Registriert seit: 28.05.2004 Beiträge: 8	Meiner Meinung nach sollte kein HomePC ohne Firewall am Netz hängen. Du hast lediglich Port 22 gescannt. Viel interessanter sind die reinen MS-Ports (so 137, 138 und 139 - das sind die Netbios Ports). Für diese Ports gibt es eine Reihe von xploits, die viel Schlimmeres anrichten als der TS-Dienst. Eine SPI-Firewall unterbindet die ganzen SYN - SYN/ACK Tests und Attacken und erschwert erheblich mitm-Attacken (man in the middle).

29.05.2004, 13:40	#6
TNC.Phil Master Registriert seit: 02.07.2000 Beiträge: 727	ziemlich egal, kein wurm überprüft zuerst ob das richtige service rennt, sondern startet gleich die exploit routine...

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)