Allgemeine Einstellungen

1. offizieller Beitrag

    Hallo,
    Ich habe etwas sehr erstaunliches rausgefunden mit Nmap was mich auch zu der allgemeinsten der Firewallfragen für Endian führt:
    und zwar bin ich mit meinem Netzwerk per VPN verbunden und habe in der VPN-firewall explizit alle Verbindungen von VPN-Usern (all) zu VPN-User x gesperrt (ABLEHNEN). ausser Dateifreigabe mittels SMB(all) also Port 137,139,445. Nun endeckt Nmap eine weitere offene Verbindung:
    Discovered open port 49154/tcp

    Wie kann das sein ?

    Somit möchte ich mich verunsichert mit Folgender Frage vorwagen:

    Muss ich erst nachdem ich Endian installiert habe absolut die Firewall konfigurieren?
    oder ist die Standard-Einstellung gerade von ROT aus betrachtet werksmäßig save?

    Ich habe Endian hinter einen Speedport gehängt und habe gerade mal von aussen einen Test durchlaufen lassen und weitere beunruhigende Ergebnisse erhalten:
    80/tcp open http
    5060/tcp open sip

    Weiter zeigt mir Nmap mehrere andere Ports als open|filtered an und identifiziert mir das Betriebsystem als IPCop firewall 1.3.10-1.4.18
    Bitte schreibt mir Meinungen und Kommentare, dafür wäre ich sehr dankbar

    • Offizieller Beitrag

    Hallo,
    ich hab das gerade mit meiner EFW-Soft-Appliance(2.2)
    probiert dort ist Port 80 offen, aber nur wenn ich von Intern das ROTE IF mit NMAP prüfen lasse.
    Dann wird auch das OS als IPCop erkannt.
    Wenn ich intern bei mir die dyndns.org Adresse öffne lande ich später via Port 80 und mit Umleitung auf 10443 auf der Admin oberfläche, das klappt aber nur wenn ich von Intern grün bei mir auf extern eigenes ROT IF zugreife.

    hier das Log aus NMAP

    Nun Teste ich gerade eine andere Firewall aber nicht von intern ans ROTE sondern von meiner Seite aus direkt auf das Rote IF der entfernten FW.

    Da macht er weder ein Tracert, noch zeigt er mit ein Port an,

    Code
    Starting Nmap 5.21 ( http://nmap.org ) at 2010-01-27 08:03 Mitteleuropäische Zeit
NSE: Loaded 36 scripts for scanning.
Initiating Ping Scan at 08:03
Scanning dydnsns.name.dyndns.org (xxx.xxx.xxx.xxx) [8 ports]
Completed Ping Scan at 08:03, 2.26s elapsed (1 total hosts)
Nmap scan report for dydnsns.name.dyndns.org (xxx.xxx.xxx.xxx) [host down]
Read data files from: C:\Program Files\Nmap
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Nmap done: 1 IP address (0 hosts up) scanned in 5.51 seconds
Raw packets sent: 16 (640B) | Rcvd: 0 (0B)

    Ich habe jetzt nochmal einen slow comprehensive scan gemacht und da werden nur 2 offene ports von aus Rot angezeigt.
    Also
    meine Konfiguration ist:
    _______________________________________________
    ------ROT--------> SPEEDPORT -----ENDIAN------LAN
    -----------------1194UDP-----------VPN--|^|
    __________________________________________________

    Eigentlich sollte mir ein Portscanhöchstens den geforwardeten Port 1194 als Open anzeigen, aber anscheinend blockt Endian diesen bei unrechtmäßiger Anfrage, bzw Portscan.
    Aber weiter werden mir bei diesem "slow comprehensive Scan" folgende Informationen offenbart (Von ROT aus):
    PORT STATE SERVICE VERSION

    80/tcp open http-proxy Squid webproxy 2.6.STABLE22

    | http-open-proxy: Potentially OPEN proxy.

    |_ Methods successfully tested: GET HEAD

    |_ http-iis-webdav-vuln: ERROR: This web server is not supported.

    5060/tcp open sip?

    So und nun meine Frage:
    Welche FW-Einstellung beiEndian legt fest welche Ports von aussen erreichbar sind und welche nicht ?

    • Offizieller Beitrag

    Das sind die Systemzugriffsregeln,
    die erlauben oder erlauben nicht Zugriffe auf die EFW

    Scannst du intern bei dir dein ROT oder über eine seperate Leitung die nicht an der EFW hängt?

    Ich scanne von ganz aussen über eine andere ip aus dem Internet!

    Ähm , also ist die EndianFIrewall nicht vorkonfiguriert in Bezug auf Sicherheit? Muss ich wohl erst bei Systemzugriff alle einkommenden von ROT auf ABLEHNEN setzen und nur z.B. 1194 UDP freigeben bei Systemzugriff oder hab ich da was falsch verstanden?
    Eigentlich darf kein Webproxy von aussen erreichbar sein weil ich weder eine Gelbe noch Blaue Zone habe, bzw Webdenst läuft.

    • Offizieller Beitrag

    Hallo,
    also eigentlich nicht, ich hab bisher mehrere 2.2 im Einsatz sowohl Community als auch Appliance.
    Diese Probleme hatte ich bisher noch nicht, kann das aber gerne mal nachprüfen gegen später und installiere die 2.3 auf einen ESXi Server.

    Standard ist erstmal alles gesperrt bis auf die internen Dienste der EFW
    aber selbst die sind von Rot nicht zu erreichen nur grün.

    gruß

    Ich habe auch grad feststellen müssen dass ich eigetnlich keine Dienste anbieten/nutzen möchte von Endian ausser VPN, aber der Webserver-dienst lässt sich nicht deaktivieren. vielleicht ist der ja verantwortlich dafür das Port 80 offen steht... wo schalte ich denn squid ab ? ich habe eigetnlich alle Proxydienste deaktiviert und trotzdem ist der noch angeschalten!
    Systemzugriffsregeln habe ich jetzt 2 manuell erstellt: eine Zulassen für mein OpenVPN-Port von Quellschnittstelle Rot und die andere Regel ALLES von ROT ABLEHNEN als zweite. Bin mal gespannt

    • Offizieller Beitrag

    Hab wie gesagt keine 2.3 zur Hand,
    sobald OpenVPN aktiv ist erstellt er eine Regel das 1194 Zugriff auf UDP hat.

    Von außen darf kein 80 erreichbar sein, Proxy läuft Standard auf Port 8080.
    Wenn du die IP von Rot eingibst öffnet sich eine Seite?


    gruß

    • Offizieller Beitrag

    Hat der Speedport irgend welche Ports offen oder Weiterleitungen ?

    Ich hab bei einem Kunden ein Speedport in Betrieb als Modem, und leite aber alle anfragen die auf den Speedport kommen direkt auf die EFW.

    Machte gerade ein Scann auf diese Firewall 2.2 Appliance Mini,
    Speedport tauchte auf 5060
    u.a. fand NMAP raus das es dahinter ein HP ProCurve gibt :)

    Also eigentlich soll das Speedport als Vor Firewall dienen, das den ganzen normalen Schmutz erstmal draussen lässt.
    An dem Speed port ist lediglich als Weiterleitung aktiviert: 1194 UDP für VPN zum Endian
    dann hängt die Endian dahinter und noch ein T-Home Reciever.

    bzgl 5060 habe ich gelesen, dass der offen wegen Voice over IP ist standartmäßig. lässt sich auch nicht austellen.

    "Easy Support" ist wenn ich mich recht entsinne noch aktiv.
    Mein Endian ist die letzte Release 2.3 der Community Version

    /edit:
    Nachdem ich die Systemzugriffsfirewall wie im letzten Post beschrieben konfiguriert habe und übernommen habe ist der Port 80 immernoch offen

    • Offizieller Beitrag

    Du hast Port 80 nicht weiter geleitet vom Speedport?
    kann mir nur vorstellen das der von dem kommt, weil was du nicht weiterleitest wird ja am Speedport geblockt.

    Müsste nacher mal schauen ob ich an die Settings von dem Speedport komme. Dann kann ich mal schauen was gesetzt ist,
    kann auch gern den Log posten.

    gruß

    Nein ich habe ledeglich 1194 udp weitergeleitet zu endian...
    aber bin ein bisschen beruhigt, da ich bei shieldup https://www.grc.com/x/ne.dll?rh1dkyd2 bei common ports alles grün angezeigt bekomme, nur wenn ich von aussen teste.

    Mit nmap mit den Einstellungen nur jetzt für port 80:
    nmap -sS -p 80-80 -T1 -O -A -v -PE -PS22,25,80
    wird mir angeizeigt:
    PORT STATE SERVICE VERSION

    80/tcp open http-proxy Squid webproxy 2.6.STABLE22

    | http-open-proxy: Potentially OPEN proxy.

    |_ Methods successfully tested: GET HEAD

    hm ist das jetzt ein Problem?
    P.S: Auf Ping antwortet der Speedport anscheinend und auf 5060 ist er sogar offen (sip protokoll für voip), kann man die probleme lösen wenn ich den Ping Port und den 5060 port einfach auf Endian umleite oder ins leere laufen lass als Forwardregel?

    • Offizieller Beitrag

    also wie gesagt
    den Speedport den ich hier hab da kein Standalone Modem da war hab ich alles direkt an die Firewall geschickt, weil sonnst muss ich extra jedes mal Ports weiterleiten, denn dahinter ist nun auch ein Exchange in Betrieb.

    Ich Poste mal das Log gleich..

    • Offizieller Beitrag

    Intense Scan NMAP

    Wie gesagt wobei mich das wundert mit dem 5060 da ich alles auf die EFW Leiten lasse.

    Also diverse onlinescanner bestätigen mir dass mein prt 80 stealth ist, aber nmap sagt mir was anderes mit der Einstellung
    nmap -sS -p 1-65535 -T1 -O -A -v -PE -PS22,25,80 http://www.xxx.yyy.zzz :

    Ich poste dann mal die Ergebnisse wenn der lange test durch ist.
    Aber
    -Pingen lässt sich sowohl eine Fritzbox als auch der Speedport <- gefällt mir nicht
    -HTTP Port 80 läuft laut Nmap squid <- gefällt mir schon gar nicht und ich weiß nicht im geringesten was ich dagegen tun kann, bzw woher das kommt, ausser dass der nichtabschlatbare Webserver dient in Endian aktiviert ist
    -Port 5060 scheint wie ja schon gesagt voip zu sein, lässt sich leiter auch nicht ändern dass der offen ist.. komisch

    Mir ist grad auch noch mit nmap aufgefallen dass obgleich ich in der VPN Firewall nur Dateifreigabenports erlaubt habe und den Rest für alle gesperrt habe in einem Quickscan von nmap mir folgendes angezeigt wurde:

    Der Scan ist von VPN-client nach VPN-client

    wie kann das denn bitteschön sein? Ist die Endianfirewall nur Augenwischerei mit den VPN-Firewall Einstellungen oder wie seht ihr das?

    Hallo ffischer,
    sehr gute Idee den Dienst zu beenden , aber wie beende ich den Webserverdienst per ssh? oder in der Konsole dauerhaft ? also mit putty z.b. per ssh oder halt in der Koonsole als Root, aber mit welchem Befehl den Webserverdienst dauerhaft killen?
    Der Portscan ist jetzt fertig falls du mal drübersehen willst :
    Gescannt wurde von aussen (also noch vor dem speedport:
    Mit der Nmap einstellung "intense scan, all TCP ports"
    Diesmal anscheinend ohne offenen 5060 port für sip (voip) :)

    nmap -p 1-65535 -T4 -A -v -PE -PS22,25,80 -PA21,23,80,3389 XXX.dyndns.org

    ABER

    was mich sehr verwundert ist, dass ich bei einem internen SCAN von VPN User zu VPN User offene Ports endecke, die ich eigentlich explizit geschlossen habe in der VPN-Firewall...also sollte ich da doch keine OPENs bekommen, sonst ist doch der Sinn verfehlt!?!
    irgendwo ist da wohl der Wurm drinn? Hier der volle Report auch , bitte auch mal ansehen:

    • Offizieller Beitrag

    Hallo
    also via SSH ein Login auf die Firewall und dann

    Code
    /etc/init.d/httpd stop

    das hält beendet den WebServer du kannst dann später das StartScript für den WebServer auch deaktivieren,
    denk aber drann das du dann nicht ohne weiteres auf die Endian kommst du musst vorher immer den HTTP Dienst starten, damit du das Admin GUI öffnen kannst.


    Beende mal den Dienst und dann schau nochmal nach ob der Port 80 auftaucht.

    Bzgl. dem VPN Problem, du kannst in der EFW dir die Verbindungen anzeigen lassen, Source Port nach Dest. Port denn der Sour.Port scheint mit der 3260 zu sein nur wo ist dein Dest.Port vielleicht baut nur ein Client eine Verbindung über einen HighPort zu einem Low Port auf, da die Ports Dynamisch sind.


    gruß

    Also eigentlich kann dieser thread geclosed werden, ich hab den grund endeckt warum mir port 80 squid als open angezeigt wird:
    Der Grund war das ich durch eine Endianfirewall den Speedport router gescannt habe, und nmap hat mir dann oben stehende Meldungen zurückgegeben. Verständlich wenn ein Proxie davor hängt.
    Neue Ergebnisse :
    Das Speedport 770V (oder so) wurde hindurch durch eine Fritzbox gescannt von einem MAC aus und folgendes festgestellt:

    5060 tcp+udp OPEN (scheint aber bei allen VOIP fähigen Routern standard zu sein)
    80 UDP open|filtered (wegen zustandslosen Paket wahrscheinlch kein Problem)
    7547 TCP CLOSED (Geschlossen passt ja auch, aber warum das Speedport den closed und nicht stealthed keine Ahnung)
    7547 UDP FILTERED (OK)
    80 TCP FILTERED (OK)

    Mich würde interessieren warum obenstehendes endeckt wird und warum die allermeisten router (Fritzbox oder Speedport o.Ä. sich Pingen lassen, aber das ist wahrscheinlich, bzw offensichtlich das falsche Forum für diese Frage ;) )

    Aber vielen Dank für die Antworten ffischer !!