10. november 2004 - 17:33Der er
29 kommentarer og 1 løsning
Sygate: ports "closed"
Efter at jeg har skiftet fra modem til ADSL (og desuden har jeg omlagt Windows) foretog jeg et sikkerhedstjek v.hj.a. http://scan.sygate.com/ Under Stealth scan rapporterede den følgende i går: 1) Web, port 80: ”closed”, This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities. 2) Source port, port 2695 “closed” This is the port you are using to communicate to our Web Server. A firewall that uses Stateful Packet Inspection will show a 'BLOCKED' result for this port.
I dag ved samme test er der udover ovenstående pkt. 1) yderligere kommentaren "Closed" + "This port has responded to our probes. This means that you are not running any application on this port, but it is still possible for someone to crash your computer through known TCP/IP stack vulnerabilities" til:
POP3 port 110, Ident port 113, NetBIOS port 139, HTTPS port 443, Server Message Block port 445, SOCKS PROXY port 1080, SOURCE PORT port 1380.
Jeg vil godt vide: 1) Hvilken sikkerhedsrisiko udgør disse problemer? 2) Hvad betyder det, der ovenfor står under 2)? 2) Hvordan løser jeg de problemer, der bør løses?
Da jeg tidligere brugte modem, viste samme test Stealth overalt og absolut ingen problemer.
Som jeg læser det er sygate indstillet til at lukke for porten, men at svare at porten er lukket. Det der i firewall sproget hedder reject og ikke drop. Dette betyder at porten er blokkeret, men firewallen fortæller at den er det. Deteri nogle tilfælde en fornuftig ide, i andre tilfælde er det bedst at lade firewallen være stille så en evt. hacker ikke får nogle oplysninger han kan lege med
Risikoen i dit tilfælde er til at overse, ingen tvivl om at det er bedst hvis firewallen slet ikke svare (for private med normalt brug og hvor der ikke er særlige forhold gældende), men det er ikke kritisk.
Hvorfor din sygate svare ved jeg faktisk ikke, jeg kunne mistænke at det er firewallen fra XP der også er aktiveret, og da den ligger lavere i stack hirarkiet vil det være den der svare og ikke sygate, men deter bare min mistanke.
Hvis du ikke selv har været inde og rode med sygates eller XP firewallens opsætning, ville jeg ikke ofre mange timer på at silence den, måske højest hente nyeste udgave af sygate, afinstallere den gamle og installere den nye og se om det ikke ændre på sagen
XP's firewall er slået fra. Jeg har intet rørt ved Sygates indstillinger. Og det er (vistnok) den nyeste udgave jeg har (version 5.5 build 2710)downloadet 29/9 04.
"...og den du får ved ipconfig i en cmdprompt" forstår jeg ikke. Jeg kan kun konstatere at jeg får samme IP adresse ved sygate-tjekket og på www.myip.dk. Det forekommer mig, at det er min computer jeg scanner, idet firewall'en reagerer omgående med "port scan", når jeg igangsætter en testscanning fra sygate.
Nå, nu skete der alligevel noget: Jeg prøvede at afinstallere og geninstallere Sygate, og nu blokerer den alt! Jeg tror nu selv, at problemet er opstået ved at jeg ved omlægning af computeren installerede Sygate FØR Service Pack2, og så har SP2 lavede kludder, selv om jeg fra starten har slået XP firewall fra og markeret at jeg selv ville overvåge firewall.
Tja, men jeg foretog nu lige et ekstra tjek her et par timer senere. Og Nu siger Web port 80, SOCKS PROXY port 1080 og SOURCE PORT 1081 igen "closed" og altså ikke "blocked". Der lader til ikke at være noget fast mønster. Jeg kan i hvert fald ikke blive klog på noget mønster, og jeg føler mig ikke tryg. Ideer?
Genstart og scan, så vil den sikkert være helt silenced. scan derefter med jævne mellemrum for at identificer hvor lang tid der går. Synderen kan være et memory leek eller noget ander der får sygate til at reagere på forespørgsler på lukkede porte.
Du skal dog ikke være bekyrmet for du identificere flere og forskellige scanninger mod din IP adresse, eller gentagende scanninger mod mange eller kritiske porte
Fejl i programmer, dårlig håndtering af memory kan få programmer til at gå ned, eller opfører sig mærkeligt. Memory leaks viser sig typisk først efter noget tid, bufferen skal lige fyldes op først. Det er naturligt at en stor SP som SP2 giver nogle uforudsete ting de første måneder efter den er frigivet. Disse ting rettes typisk af de forskellige producenter i tiden efter. Hold øje med sygates hjemmeside og hent den næse opdatering, den har forhåbendlig rettet tingene
Jeg genstartede, scannede: ingen problemer. Har scannet 4-5 gange indenfor det sidste kvarter. OK indtil nu (efter et kvarter), hvor der nu igen er 8 problemer med "closed" og ikke "blocked". (Så det handlede nok ikke om nyinstallation alligevel.) Betyder dit svar, at jeg er sikker nok og dermed ikke behøver foretage mig yderligere, og at testens rapporteringer handler om andre problemer (memory leaks), eller hvad? Kort sagt: gør Sygate det den skal, eller svigter den efter et kvarter?
Og for lige at komolicere det i forvejen kaotiske billede: Jeg genstartede, scannede med det samme, problemer med "closed" ved WEB port 80 og SOURCE PORT port 1042...
Jeg hentede så lige den allernyeste fra Sygate, for at se om det skulle hjælpe. Første scan umiddelbart efter installation (og lige efter genstart af maskinen), og 8 porte var "closed" (ikke "blocked"), en scanning udført et par minutter senere viser 2 problemer. >bufferzone. Det jeg synes jeg har brug for at vide er, det som jeg spurgte om i går 20:46:42: Betyder dit svar, at jeg er sikker nok og dermed ikke behøver foretage mig yderligere, og at testens rapporteringer handler om andre problemer (memory leaks), eller hvad? Kort sagt: gør Sygate det den skal, eller svigter den efter et kvarter?
Siden dag 1, har sygate aldrig 'blokeret' eller vist fuld stealth. Derfor jeg ikke bruger den firewall - XP's egen firewall kan endda finde ud af det, det er en gåde hvorfor Sygate ikke kan
Hmm .. Altså hvis alle dine porte er grønne (stealth) efter testen, så er du sikret alt det du kan. Det som sygate testen scanner for, er det som browseren sender med.
Nej. Det jeg kunne se, var at den kun tester browseren, og ikke porte. IE sender alt det afsted som den tester for. Jeg har set en mere gennemgående test derinde, men den tager flere timer at gennemføre.
Ja, det er jeg med på, men probelemet er jo at Sygate teksten ind imellem hos mig viser "closed" og ikke "blocked" færre eller flere steder. Prøv at læse det oprindelige spørgsmål.
Jeg er ked af at sige det, men jeg ved stadig ikke hvor jeg har Sygate. >wickedd: du skriver "Jeg har set en mere gennemgående test derinde, men den tager flere timer at gennemføre." Hvis du kender en ordentlig og pålidelig test, så er jeg helt ligeglad med at den tager timer at gennemføre. Det tager nemlig også mange, mange timer at rydde op efter et godt hacker-angreb. Jeg vil vide hvordan jeg skal tolke de tests jeg har udført - og dermed om jeg kan regne med Sygate eller ej - før spørgsmålet kan afsluttes.
Jeg er desværre ikke blevet klogere mht om jeg kan stole på Sygate eller ej, og jeg kan stadig ikke forstå Sygate-testens uregelmæssige "opførsel". Jeg har fulgt alle forslag uden at det har ændret noget. Så jeg vælger at køre videre sådan som det nu fungerer og håbe på det bedste. Tak for alle forsøg på hjælp.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
