Re: Aussage von AVM zu offenen Ports der FritzBox

bauzent@xxxxxxxxxxxx <bauzent@xxxxxxxxxxxx>:

Speziell dieser Scan hier zeigte wilde Ergebnisse
http://port-scan.de/cgi-bin/p_scan.cgi?text=udp

Lol...

"Das angegebene Ziel kann leider nicht gescannt werden.
Die IP-Adresse 213.183.3.132 kann nicht gescannt werden,
da diese indiziert wurde, d.h. der zuständige Administrator
hat das Scannen dieser Maschine untersagt.
Bitte überprüfen sie ihre Browsereinstellungen, und deaktivieren
die Verwendung eines Proxyservers.
Oder setzen sie sich mit ihrem zuständigen Administrator in
Verbindung."

*Ich* bin der Administrator der zustaendig ist fuer diese IP.
Und bis zu diesem Posting war mir dieser Verein voellig Unbekannt.

Die sollten besser gleich die Wahrheit hinschreiben, naemlich dass sie
keine HTTP-Proxies scannen.

Spacken.

aber auch viele andere, wie sygate zeigten offene Ports an, andere

Hersteller von Sicherheitsprodukten haben ein vordringliches Interesse
daran, ihre Produkte an den Mann oder die Frau zu bringen.

widerum zeigten an, dass ebendiese Ports zu wären. Wenig
aussagekräftig das ganze, würde aber gern wissen, was Sache ist.

Ich habe den AVM Support angeschrieben, der mir daraufhin ein PDF
zusandte aus dem ich nicht schlau werde, auch wenn es wohl beruhigen
soll:

Inhalt wie folgt:

Portscan meldet fälschlich offene UDP-Ports in der Firewall der FRITZ
!Box

Immerhin ist das unabhaengig von AVM-Produkten korrekt. Es gibt keine
prinzipielle, korrekte Methode einen offenen UDP-Port von einem
durch Haluksche Schwarzlochfilter blockierten Port zu unterscheiden.
(Ein Server, der einen UDP Port offen hat, antwortet nicht jedem,
sondern nur den Gegenstellen, mit denen die Applikation hinter
diesem Port auch reden moechte.)

Einzig Paketfilter, die auf UDP Pakete an blockierte Ports mit einem
ICMP Port Unreachable antworten, kann ein Scanner zuverlaessig als
"gefiltert" erkennen.

(So erklaert das jemand, der Verstanden hat, wie UDP funktioniert ;)

Auf einigen Internetseiten (z.B. http://scan.sygate.com/quickscan)

Ist schon traurig, dass AVM auf einen Voreingenommenen Scan-dienst
eines anderen Firewall-Herstellers verweist.

können Sie einen
Online-Sicherheitstest durchführen. Dabei sendet ein Portscanner
Datenpakete an Ihren
Computer bzw. Router (z.B. FRITZ!Box), um zu überprüfen, ob dort
Ports offen sind und es
daher zu unerwünschten Zugriffen auf Ihren Computer kommen kann.
Bei solchen Portscans kann es vorkommen, dass UDP-Ports in der Firewall
einer FRITZ!Box
als offen gemeldet werden, obwohl diese Ports nicht offen sind.
Tatsächlich werden
Datenpakete, die an einen in der Portfreigabe der FRITZ!Box nicht
freigegebenen UDP-Port
gesendet werden, von der FRITZ!Box niemals in das lokale Netzwerk
weitergeleitet.
Wie kann es zu falschen Meldungen von Portscannern kommen?
UDP-Datenpakete, die ein Portscanner an einen in der Firewall der
FRITZ!Box gesperrten
Port sendet, werden von der Firewall in den allermeisten Fällen
negativ beantwortet. Der

Wus? Die AVM Paketfilter sind doch Haluksche ICMP-Senken, seit wann
versenden sie negative Antworten? Hat deren Entwickler doch mal der
Blitz der Einleuchtung getroffen?

Absender erhält die Antwort "ICMP Protocol unreachable" oder "ICMP
Port unreachable".

Ja, so sehen es die IP Standards vor. (genauer: RfC 768 und 1122)
Einige Paketfilter halten sich nicht daran, was in Szenarien mit
gefaelschten Absenderadressen durchaus nicht ganz verkehrt ist.

Würden immer alle nicht weitergeleiteten UDP-Datenpakete negativ
beantwortet, könnte es
jedoch passieren, dass die Antworten den DSL-Upstream vollständig
auslasteten. Daher

Krass. Haben die doch tatsaechlich Verstanden? Ich muss wohl noch mal
bei Geglegenheit aktuelle AVM-Produkte genauer anschauen. (nicht dass
sich die Kompetenten Leute auf das Schreiben von PDFs beschraenken).

verfügt die Firewall der FRITZ!Box über eine so genannte
Limiter-Funktion. Wenn so viele
UDP-Pakete ankommen, dass die negativen Antworten den DSL-Upstream
vollständig
auslasten würden, werden einige der UDP-Pakete verworfen und nicht
beantwortet. Die

Ja, Rate-limiting ausgehender Negativer Antworten ist sog. BCP (Best
Current Practice) fuer Paketfilter, um einen Kompromiss zwischen
Standarderfuellung (und Diagnostizierbarkeit von NEtzwerkproblemen zu
ermoeglichen) und DDoS (Reflektor/Amplifyer) Bekaempfung.

Limiter-Funktion verhindert so, dass Ihre FRITZ!Box bei einer Flut
ankommender
UDP-Pakete arbeitsunfähig wird (z.B. bei Denial-of-Service-Angriffen).

Schmarrn. NIcht der Paketfilter, der mit UDP Paketen beworfen wird,
ist Ziel solcher Attacken (und DoS-bar), sondern die Absender-IP der
UDP-Pakete (in solchen Faellen vom wahren Absender gefaelscht auf die
IP des eigentlichen Opfers des DoS).

Einige Portscanner interpretieren das Ausbleiben einer negativen
Antwort jedoch falsch, und
melden die entsprechenden UDP-Ports als "offen". Portscanner dagegen,

Das stimmt. Denn UDP funktioniert nunmal so (Siehe auch RfC 768).

die aus dem
Ausbleiben negativer Antworten nicht fälschlich auf offene Ports
schließen, melden die
entsprechenden Ports auch nicht als offen.

Halbwegs (sprich <2 Jahre) Versionen von nmap - dem freien Scan-Tool,
dass die meisten Online-Scanner auch verwenden - beruecksichtigt dies
in seiner Ausgabe, und meldet den Port als "offen oder gefiltert".

Nun weiss ich nicht, wie ich das deuten soll - sind die dort einfach
nicht in der Lage, die Ports wirklich zu schliessen und beruhigen mich

1.) Paketfilter "schliessen" keine Ports. Die verhindern das
Weiterleiten von Paketen anhand bestimmter Kriterien.

Einen Port "schliessen" kannst du nur am Host selbst (deinem
Wintendo-PC), indem du den Dienst abschaltest, der diesen Port
benutzt.

nur, oder was steckt technisch dahinter, dass angeblich etwas zu ist,
was aber offen angezeigt wird - mir tut sich da die Logik nicht auf.

Das Protokoll UDP ist ein verbindungsloses, zustandsloses Protokoll.
Ein Dienst, der per UDP Pakete annimmt, tut das oftmals nicht von
ueberall. Wenn also jemand an seinen Port ein Paket sendet, mit dem
der Dienst (das Programm, dass den Port geoeffnet hat) nichts Anfangen
will/kann, dann ignoriert er dieses Paket und schmeist es
unbeantworteterweise weg.

Das Betriebsystem (genauer: der TCP/IP-Stack) hingegen versendet bei
UDP paketen an Ports, die von keinem Dienst geoeffnet wurden, negative
Antworten (ICMP Port Unreachable) and den Absender, womit dieser dann
weis, "Ah, der Port ist zu!".

Keine Antwort bedeutet in einer Welt ohne Paketfilter "Ah, da lauscht
ein Dienst (der Port ist "offen"), der will aber nicht mit mir reden".

Ich hoffe damit ist das ganze jetzt klarer.

HTH,
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.

Relevant Pages

  • Re: Block UDP Ports?
    ... I'm using Checkpoint Firewall-1. ... reasonable that Firewall-1 would leave UDP wide open. ... > UDP ICMP port unreachable scanning: This scanning method varies from the ...
    (comp.security.firewalls)
  • UDP DoS attack in Win2k via IKE
    ... This memo should clarify the issue discovered with the UDP DOS ... Sending of UDP traffic to port 500 UDP will cause windows to ... attacked host is an IPSec gateway). ...
    (Bugtraq)
  • Re: LDAP UDP Port Problem
    ... The correct fix is to identify that the network gear is tossing out the UDP ... Then I did some portqry's on the LDAP port ... > Sending LDAP query to TCP port 389... ...
    (microsoft.public.windows.server.networking)
  • Re: Block UDP Ports?
    ... UDP scanning is questionable to many - if the port is open, ... closed ports aren't even required to send an error packet. ...
    (comp.security.firewalls)
  • Re: LDAP UDP Port Problem
    ... The correct fix is to identify that the network gear is tossing out the UDP ... Then I did some portqry's on the LDAP port ... > Sending LDAP query to TCP port 389... ...
    (microsoft.public.windows.server.setup)