Nicht freigegebene Ports nach außen offen?

[mr-wichtig]

Weiß hier jemand, warum an der FB 7170 (Firmware 29.04.57) die Ports 21, 25, 80, 110, 3128, 8080, 5060 und 8080 erreichbar sind.

ok, der 5060 ist SIP für's VoIP, aber von dem Rest ist nichts an Ports freigeben worden - wozu ist das gut - kann man die Ports schließen (- ok, sie werden nicht weiter ins Netz geroutet, aber trotzdem....)

 

[frank_m24]

Hallo,

also bei mir sind die nicht offen auf dem WAN Port. Wie hast du das denn herausgefunden, dass die Ports offen sind?

 

[mr-wichtig]

Ich habe mit "Axence NetTools" den Anschluss meines Bruders getestet (Scan Host).
Der versicherte mir, dass er die Dienste NICHT nutzt und die Ports nicht freigegeben hat.

Darauf hin habe ich auch bei mit mittels der ext. IP gestestet. Bis auf dem Port für VoIP vollkommen identisch - mein Bruder nutzt kein VoIP).


Komisch ist, das man die Ports zwar im Scan-Programm dragestellt bekommt- es scheint aber keine Verbindung auf die Ports möglich zu sein (läuft ja auch kein entsprechender Dienst / server).

 

[frank_m24]

Hallo,

was auch immer dieses Tool da veranstaltet, es zeigt vollkommenen Unfug an. Bei einer Fritzbox funktionieren gar keine Portscans, sobald sie eine gewisse Anzahl Anfragen von der gleichen IP abbekommt, macht sie alle Schotten dicht und blockt alles. Selbst tatsächlich offene Ports werden dann als geblockt vermeldet.
Das geschlossene Ports als offen dargestellt werden, ist schlicht und ergreifend lächerlich.

 

[mr-wichtig]

Ist schon komisch.

Ich habe jetzt mal andere Tools verwendet (Scan aus dem Internet) - und da sieht alles aus, wie es soll.
Schon seltsam - kennt jemand "Axence NetTools" und weiß wieso es zu diesen seltsamen Anzeigen kommt?

 

[sf3978]

Mein Portscan mit nmap auf eine FritzBox 7170 (Firmware 29.04.57) mit nicht freigegebenen Ports:

1. Scan: im VPN auf die Subnet-Adresse (7170 <----> 7170 / Lan - Lan):

DELTA07# nmap -v -e ath0 -S 192.168.155.14 -PN -sS 192.168.143.1

Starting Nmap 4.62 ( [url]http://nmap.org[/url] ) at 2008-06-14 21:44 CEST
Initiating SYN Stealth Scan at 21:44
Scanning fritz2.box (192.168.143.1) [1715 ports]
Discovered open port 80/tcp on 192.168.143.1
Discovered open port 21/tcp on 192.168.143.1
Increasing send delay for 192.168.143.1 from 0 to 5 due to 53 out of 175 dropped probes since last increase.
Increasing send delay for 192.168.143.1 from 5 to 10 due to max_successful_tryno increase to 4
sendto in send_ip_packet: sendto(4, packet, 44, 0, 192.168.143.1, 16) => No buffer space available
Offending packet: TCP 192.168.155.14:59188 > 192.168.143.1:727 S ttl=51 id=22321 iplen=11264  seq=1583962861 win=4096 <mss 1460>
Sleeping 15 seconds then retrying
Increasing send delay for 192.168.143.1 from 10 to 20 due to max_successful_tryno increase to 5
SYN Stealth Scan Timing: About 20.92% done; ETC: 21:46 (0:01:55 remaining)
Increasing send delay for 192.168.143.1 from 20 to 40 due to max_successful_tryno increase to 6
Increasing send delay for 192.168.143.1 from 40 to 80 due to max_successful_tryno increase to 7
Increasing send delay for 192.168.143.1 from 80 to 160 due to 11 out of 14 dropped probes since last increase.
Increasing send delay for 192.168.143.1 from 160 to 320 due to max_successful_tryno increase to 8
Discovered open port 5060/tcp on 192.168.143.1
SYN Stealth Scan Timing: About 41.10% done; ETC: 21:50 (0:03:30 remaining)
Discovered open port 8080/tcp on 192.168.143.1
Discovered open port 2049/tcp on 192.168.143.1
SYN Stealth Scan Timing: About 79.64% done; ETC: 21:51 (0:01:31 remaining)
Discovered open port 445/tcp on 192.168.143.1
Discovered open port 139/tcp on 192.168.143.1
Completed SYN Stealth Scan at 21:52, 478.18s elapsed (1715 total ports)
Host fritz2.box (192.168.143.1) appears to be up ... good.
Interesting ports on fritz2.box (192.168.143.1):
Not shown: 1708 closed ports
[B]PORT     STATE SERVICE
21/tcp   open  ftp
80/tcp   open  http
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
2049/tcp open  nfs
5060/tcp open  sip
8080/tcp open  http-proxy[/B]

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 478.262 seconds
           Raw packets sent: 1934 (85.096KB) | Rcvd: 1851 (74.212KB)
DELTA07#

2. Scan: auf die öffentliche IP-Adresse der anderen FritzBox (DynDNS), VPN deaktiviert:

DELTA07# nmap -v -e re0 -S 192.168.17.15 -PN -sS h*********.***.cx

Starting Nmap 4.62 ( http://nmap.org ) at 2008-06-14 21:54 CEST
Initiating Parallel DNS resolution of 1 host. at 21:54
Completed Parallel DNS resolution of 1 host. at 21:54, 0.01s elapsed
Initiating SYN Stealth Scan at 21:54
Scanning R*****.r.ppp-pool.de (***.***.***.***) [1715 ports]
SYN Stealth Scan Timing: About 8.54% done; ETC: 22:00 (0:05:21 remaining)
Discovered open port 5060/tcp on ***.***.***.***
SYN Stealth Scan Timing: About 51.98% done; ETC: 21:56 (0:00:55 remaining)
Completed SYN Stealth Scan at 21:55, 70.81s elapsed (1715 total ports)
Host R*****.r.ppp-pool.de (***.***.***.***) appears to be up ... good.
Interesting ports on R*****.r.ppp-pool.de (***.***.***.***):
Not shown: 1714 filtered ports
[B]PORT     STATE SERVICE
5060/tcp open  sip[/B]

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 71.036 seconds
           Raw packets sent: 3433 (151.052KB) | Rcvd: 12 (552B)
DELTA07#

@mr-wichtig und @frank_m24:

OK, mit der FritzBox funktionieren keine "normalen" Portscans. Aber gegen "versteckte" Scans (SYN Stealth Scan) ist auch die FritzBox machtlos, denn eine Verbindung zwischen Scanner und FritzBox kommt erst gar nicht richtig zustande. Die FritzBox bekommt nicht mit, dass sie gescannt wird.

Das nmap-tutorial sagt Folgendes zu einem SYN Stealth Scan:

To initiate a TCP connection, the initiating system sends a SYN packet to the destination, which will respond with a SYN of its own, and an ACK, acknowledging the receipt of the first packet (these are combined into a single SYN/ACK packet). The first system then sends an ACK packet to acknowledge receipt of the SYN/ACK, and data transfer can then begin.

SYN or Stealth scanning makes use of this procedure by sending a SYN packet and looking at the response. If SYN/ACK is sent back, the port is open and the remote end is trying to open a TCP connection. The scanner then sends an RST to tear down the connection before it can be established fully; often preventing the connection attempt appearing in application logs. If the port is closed, an RST will be sent. If it is filtered, the SYN packet will have been dropped and no response will be sent. In this way, Nmap can detect three port states - open, closed and filtered. Filtered ports may require further probing since they could be subject to firewall rules which render them open to some IPs or conditions, and closed to others.

Modern firewalls and Intrusion Detection Systems can detect SYN scans, but in combination with other features of Nmap, it is possible to create a virtually undetectable SYN scan by altering timing and other options (explained later).