Lukke port vs Stealth - er stealth relevant i praksis

:TEORI:

en port kan være åben, lukket eller "ikke tilgængelig"!

åben = trafik "flyder frit" ind og ud gennem denne!

lukket = programmet det prøvede at åbne en socket på denne port får svaret "porten er lukket!"

"ikke tilgængelig" = din computer slukket, og kan af gode grunde ikke svare!

---

stealth er så når computeren bevidst lader være på at svare på et kald, for på den måde at ligne den er "ikke tilgængelig" (den blokkere selvfølgelig trafikken så den ikke kommer ind til din computer)

---

læg også mærke til at når det er "dit" program der "åbner" porten, fvs laver et udgående kald gennem dem port, vil trafik godt kunne opretholdes - men trafik kan ikke komme "uopfordret"

---

det ShieldsUp! gør er så at prøve at - "uopfordret" - tage kontakt på den port og se hvad computeren svare! svare den "velkommen", "porten er lukket" eller svare den ikke
når den ikke svare for den lablen "stealth" da din computer jo er tændt, da den får vidst internetsiden!

håber det hjalp lidt!

Moretn

Ja - takker. Jeg forstår det derhen, at om en port er lukket eller er i stealth ikke gør den store forskel rent sikkerhedsmæssigt og at jeg fortsat kan føle mig rimelig sikker.
Men på en eller anden måde føler jeg der er et misforhold. At kunne lukke sine porte har man vel (næsten) altid kunnet gøre med en firewall. Idag ser det da ud til at være tilfældet. Hvorfor så alt det hurlumhej hver gang der kommer noget ubehageligt fra nettet og der efterfølgende kommer nye produkter fra FW udviklerne der er bedre end det sidste? Er en port lukket når den er lukket? Eller hvad er det de forsøger at fortælle mig jeg skal være bange for?
Er det virus, som FW jo ikke direkte skal tage sig af, der vil forsøge at åbne porte, som FWsne bliver bedre til at behandle? Eller noget helt andet.

Husk at lægge svar hvis du er interesseret i points!

Forskellen på Stealth og lukket er der rent faktisk.

når en port er lukket, så får en computer som prøver at connecte svar med det samme. Dette er jo meget rart, hvis man som hacker er ved at port scanne en ip-adresse for åbne porte.

Hvis en port er stealthed, så kommer der ikke noget svar, og portscanneren må vente på tcp timeout, som kan være fx 30 sekunder. Dette gør at en port scanning tager meget lang tid.

Kort sagt kan man sige at stealth er med til at gøre det surt for hackere, men at det sikkerhedsmæssigt ikke er bedre.

nye versioner af firewalls for bare bedre funktionalitet!

fx blevet bedre til at se om et program er blevet ændret siden sidst det var på nettet (og derfor kan have været fusket ved)

---

du får lige et svar med på vejen ;)

Morten

Lukket port=hurtigt svar til en evt. hacker, og dermed er hurtige portscanning, da hackerens program kan hoppe videre til næste portnr med det samme.

Stealth=intet svar, og dermed langsom portscanning, dette kan måske afskrække en hacker for at portscanne, da det tager værdifuld tid fra en scanning som måske omfatter mange computere.

Fornemt! Det hjalp på forståelsen. Forsøger at fordele p rimeligt!

Ikke helt enig i forklaringene over.

Det finnes ingen forskjell på "Stealth" og "Closed" hva firwalls anngår.

Firewals som er lukket dropper normalt den samtlige av de pakker de mottar på den aktuelle porten. Det vil således i utgangspunktet ikke være noen forskjell mellom "Stealth" og "Closed".

"Stealth scan" er vel ellers egentlig navnet på en spesiell scanneteknikk (som rett nok kan ta litt lengere tid.)

Ellers så har vel enkelte leverandører av scannetjenester lånt dette uttrykker slik at man opplyser at en port er "Stealth" når den egentlig er "Closed".

Jeg testet for eksempel akkurat nå med shields up.

Den indikerer med "Stelth" helt likt enten det dreier seg om porter der det egentlig finne en server funksjon bak firewall og der det ikke finnes noen server funksjon i det hele tatt.

Eksempel:

110 POP3 Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

113 IDENT Stealth There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

Bak port 110 kjører det faktisk en pop server som er lukket inne bak en firewall som er satt opp til å droppe disse pakkene.

Bak port 113 finnes det ingen ting. Det finnes ingen serverfunksjon på denne porten.

Shields up indikerer dette likt.

Det finnes vel enkelte spesielle scanneteknikker som i noen grad kan scanne gjennom alminnelige firewalls og delvis "se" hva slags nettverksstruktur som finnes bak, og delvis hva slags server funksjoner som kjører bak firewall.

Forskjellige firewalls vil kanskje ha forskjellig evne til å skjule "det som er bak". Tror ikke det er noen fast terminologi for hva som eventuelt er "stealth" og hva som er "closed" (??)

"Normale" firewalls vil ikke gi noe svar overhodet for de portene som er lukket ved en "normal"/ordinær portscan.

Ved spesielle scanneteknikker så kan man kanskje få noe informasjon til å lekke ut allikevell.

Enhver informasjon som lekker ut er i seg selv en sikkerhetsrisiko, mere eller mindre.

Største forskjellen mellom gamle og nye firewalls er vel "statefull inspection", dvs at pakkene ikke bare betraktes eller vurderes enkeltvis, men firewall ser på serier av pakker som et hele.

Dette vil "normalt" gi høyere sikkerhet. Firewall blir samtidig lettere sårbar for dos angrep, hvilket kan bidra til lavere sikkerhet. Et tradisjonelt statisk pakkefilter er kanskje mest robust, samtidig som det er mere åpent enn en statefull firewall.

Håper jeg ikke har skrevet noe tull og tøys over. Så ikke rubrikken "Personal firewall - Zone Alarm". Hadde hardware firewalls i tankene når jeg skrev linjene over. Mulig det blir noen andre problemstillinger for Zone Alarm.

Installerte og testet 2 stk ZoneAlarm akkurat nå for å sjekke.
Testet den nyeste og den gamle 2.6 Den gamle 2.6 er da 100 ganger bedre enn den nyeste ! I den nyeste er jo alle konfigureringsmulighetene tatt vekk !! Det finnes jo ingen instilling for "Stealth" eller "Closed" hverken hos den nye eller den gamle. Har laget en del tsting med den gamle 2.6 mht portscanning og slik. Den klarer oppgaven meget bra !! Ingen lekasjer overhodet !!

Mon ikke mit kendskab til firewalls er noget nær det samme som til norsk. Jeg har en nogenlunde idé om hvad 'tull og tøys' kan være, men bed mig ikke om at forklare en anden det. ;-)
Alt ialt er det glædeligt, at man med lidt sund fornuft kan føle sig rimelig sikker på nettet. Og at ZA og stealth har sin berettigelse.

Takker for deltagelse.

Det spørs om ikke svaret til websmith allikevell kan være korrekt, eller om det faktisk kan ha noe for seg.

Jeg har mesteparten av min firewall erfaring fra Linux, og jeg har alltid programmert eller konfigurert alle mine Linux firewaals på en slik måte at de mere eller mindre absorberer de mottatte ip pakkene, altså null svar.

Nå sitter jeg og leser i en bok om Linux firewall og her står det faktisk beskrevet hvordan man kan konfigurere en Linux firewall til å avvise ippakkene samtidig som avsenderen vil motta en "ICMP error".

Det er altså ikke en selvfølge at alle firewalls er tause og helt uten svar ..

Har ikke funnet noen beskrivelse som direkte beskriver dette som stealth eller ikke stealt firewall.

"Stealth" betyr vel noe i rening av "usynlig" og hvis man setter firewall til å sluke ip pakkene uten svar så blir den jo "usynlig" og hvis man i stedet setter den til å gi en slags "feilmelding" da blir den jo "synlig".

Hvis beskjeden tilnbake til scanner en "pakken avvist" så vil jo ikke dette gi noen redusert sikkerhet.

Hvis det der i mot blir sendt en beskjed om hvilke serverfunksjoner som befinner seg bak firewall eller hva slags nettverk som befinner seg bak så vil jo dette kunne bidra til litt redusert sikerhet. Ved spruk av spesielle scanneteknikker så skal det også noen ganger være mulig å hente ut slike opplysninger.