PC-Sicherheit.net

[ externes Bild ]
Fritz!Box 7490 Firewall Stealth Modus
[ externes Bild ]

Der Port-Scan

Die Ergebnisse des Port-Scans fallen in drei Kategorien: geschlossene, gefilterte und offene Ports. Beim Komplett-Check werden nur die potentiell gefährlichen offenen Ports angezeigt; der spezielle Port-Scan-Test listet alle Ergebnisse auf.

[ externes Bild ]

meine Ports mit angepaßter Eset Firewall


[ externes Bild ]

https://www.heise.de/security/dienste/p ... ?scanart=1

Brandenburger hat geschrieben:Grüße!

Mal eine Frage aus reiner Interesse:

Es geht um die ganzen Tests bei Malwaretips.

ESET fällt ja dort so gut wie bei jedem Test durch. Das System ist immer infiziert. (Malware).

Klar, es sind nur private Tests, aber trotzdem stößt sowas etwas sauer auf.

Sollte man auf diese Tests was geben oder eher nicht?

Gibt es spezielle Einstellungen bei ESET um alles etwas zu schärfen ohne das man alles manuell abklicken muss?

• Ich würde das nicht so global sehen,
  das so wie bei Eset momentan einige der Privat test bei Malwaretips nicht so gut
  abschneiden ist eher als eine Momentaufnahme zu sehen.

• Diese haben alle anderen großen Hersteller von Antimalware Produkten von zeit zu zeit.
  Wenn ich z.b auf das letzte Jahr z.b zurückschaue hat Eset sehr gut abgeschnitten,
  im Übergang 2015/2016 waren sie zwischen durch mal schwächer.

• Wie gesagt das haben zwischen durch alle Hersteller, des weiteren hat sich auch
  seit erscheinen von Windows 10 gezeigt das bei den jeweiligen Test verfahren mit
  einer Virtualbox auch das Betriebssystem womit getestet wird eine Rolle spielt.

• So gab es einige test wo : Virtualbox mit Windows 10 und z.b Eset gut abschnitt
  und im selben Test Virtualbox mit Windows 7 schlechter abschnitt.
  Das gab es bei einigen Test und Herstellern von AVs

Zu der Port 445 Diskussion

• Port 445 =
  445 TCP Microsoft-DS Active Directory, Windows-Freigaben (CIFS) =
  https://de.wikipedia.org/wiki/Liste_der ... rten_Ports
  Active Directory
  https://de.wikipedia.org/wiki/Active_Directory

• Windows unterstützt Datei- und Druckerfreigabeverkehr über das SMB-Protokoll (SMB = Server Message Block) direkt auf TCP
  Port 445 "SMB over IP". (SMB ist bekannt als "Samba" und steht für "Server Message Blocks".
  Umgang mit Port 445
  Zitat:
  Unnötig zu sagen, du willst nicht, dass der Port 445 dem Internet ausgesetzt ist. Wie Windows- Port 135 (das ist ein ganz anderes Problem) Port 445 ist tief in Windows eingebettet und kann schwierig oder unmöglich sein, sicher zu schließen. Während seine Schließung möglich ist, werden andere abhängige Dienste wie DHCP (dynamisches Host-Konfigurationsprotokoll), die häufig zum automatischen Erhalten einer IP-Adresse von den DHCP-Servern verwendet wird, die von vielen Unternehmen und ISPs verwendet werden, nicht mehr funktionieren.
  Aus den oben beschriebenen Sicherheitsgründen hat Port 445 so viele Probleme verursacht, dass viele ISPs Sicherheitsangelegenheiten in ihre eigenen Hände nehmen und diesen Port im Namen ihrer Nutzer blockieren. Wenn unsere Port-Überprüfung Ihren Port 445 als "Stealth" zeigt, während Sie nicht anderweitig durch einen NAT-Router oder eine persönliche Firewall geschützt sind, vermisst Ihr ISP vermutlich Port 445-Verkehr, der Sie erreicht.
  
  Quelle: https://www.grc.com/port_445.htm

• Port 445-Details
  Bekannte Schädlinge die über diesen Port den PC angreifen können:
  https://www.speedguide.net/port.php?port=445

Was macht die Emsi IS beim Port 445?
Die Emsi Firewall verhindert den Zugriff von außen auf Port 445.
Das heißt aber nicht das Microsoft Dienste blockiert werden!

Claudia hat geschrieben:Der Port-Scan
Die Ergebnisse des Port-Scans fallen in drei Kategorien: geschlossene, gefilterte und offene Ports.
https://www.heise.de/security/dienste/p ... ?scanart=1

Geschlossen - Gefiltert - Offen - Port
heise.de Check bei mir:

darktwillight hat geschrieben:

• Windows unterstützt Datei- und Druckerfreigabeverkehr über das SMB-Protokoll (SMB = Server Message Block) direkt auf TCP
  Port 445 "SMB over IP". (SMB ist bekannt als "Samba" und steht für "Server Message Blocks".
  Umgang mit Port 445
  Zitat:
  Unnötig zu sagen, du willst nicht, dass der Port 445 dem Internet ausgesetzt ist. Wie Windows- Port 135 (das ist ein ganz anderes Problem) Port 445 ist tief in Windows eingebettet und kann schwierig oder unmöglich sein, sicher zu schließen. Während seine Schließung möglich ist, werden andere abhängige Dienste wie DHCP (dynamisches Host-Konfigurationsprotokoll), die häufig zum automatischen Erhalten einer IP-Adresse von den DHCP-Servern verwendet wird, die von vielen Unternehmen und ISPs verwendet werden, nicht mehr funktionieren.
  Aus den oben beschriebenen Sicherheitsgründen hat Port 445 so viele Probleme verursacht, dass viele ISPs Sicherheitsangelegenheiten in ihre eigenen Hände nehmen und diesen Port im Namen ihrer Nutzer blockieren. Wenn unsere Port-Überprüfung Ihren Port 445 als "Stealth" zeigt, während Sie nicht anderweitig durch einen NAT-Router oder eine persönliche Firewall geschützt sind, vermisst Ihr ISP vermutlich Port 445-Verkehr, der Sie erreicht.
  
  Quelle: https://www.grc.com/port_445.htm

@darktwillight
das kann man auch in #167 in den dort verlinkten Giga Link nachlesen, dass eine "einfache" Blockierung des gesamten Ports per Firewall weder ratsam noch zweckmäßig ist, weil davon noch anderes im Betriebssystem abhängt.

Deshalb ist für mich der Begriff "Stealth" Modus immer wieder leicht irreführend, da er ja nicht bedeutet unsichtbar zu sein, sondern eben "nur" zu filtern.
Quelle: http://www.crn.de/security/artikel-1219.html

Somit kann ich davon ausgehen, dass Port 445 bei mir zwar "offen" lt. Portscanner ist und auf Abhören steht , mit
cmd - netstat -an
Test jedoch den Port 445 filtert?

@darktwillight
wenn du diesen Test machst, kommt dann ebenfalls "Status - Abhhören" als Ergebnis bei dir ?

In meinem Post #169 ist der Begriff Stealth Modus in der FRITZ!Box-Firewall 7490 (Version: FRITZ!OS 6.83)
folgendermaßen erklärt:

FRITZ!Box 7490
Firewall im Stealth Mode
Die FRITZ!Box-Firewall verwirft im Stealth-Modus unangeforderte Anfragen aus dem Internet, anstatt
mit ICMP-Kontrollnachrichten zu antworten. Von Programmen oft benötigte Anfragen werden weiterhin
beantwortet. Aktivieren Sie diese Option dann, wenn Sie die Identifikation Ihrer FRITZ!Box gegenüber
Portscans erschweren wollen.

Es werden somit unangeforderte Anfragen aus dem Internet verworfen, aber von Programmen benötigte Anfragen
weiterhin beantwortet. Deswegen ist der Stealth Modus (auch beim Port 445) für mich die beste Lösung bei meiner
FRITZ!Box 7490 (FRITZ!OS 6.83). Ob eine Personal Firewall (Internet Security) auch eine identische Lösung beim
Stealth Mode bietet, vermag ich nicht zu beurteilen.

Stealth-Modus Auszug von Wiki
Der Nutzen des von manchen Firewall-Produkten angebotenen Stealth-Modus (siehe weitere Funktionen) wird kritisch gesehen. Entgegen den Empfehlungen der RFCs verwirft der Paketfilter im Stealth-Modus alle Anfragen kommentarlos (DROP), anstatt mit ICMP-Kontrollnachrichten zu antworten. Administratoren haben beobachtet, dass Rechner, die auf Pings nicht antworten, vergleichsweise seltener gescannt und seltener angegriffen werden. Aus technischer Sicht kann der Stealth-Modus weder einen Angriff noch einen Scan der TCP-Ports verhindern: Wenn der Router des Providers auf Pings nicht mit „Destination unreachable“ antwortet, weiß ein Angreifer, dass der Rechner existiert. Ein Portscanner kann das Problem, dass es bei Anfragen zu einer Zeitüberschreitung (engl. Timeout) kommt, umgehen: Er sendet die Anfragen parallel und sammelt alle Antworten. Kommt keine Antwort, wird der Zustand des entsprechenden Ports als „gefiltert“ angezeigt. Der Portscan wird ausgebremst, aber nicht verhindert.

Hallo Claudia,

ich gehe davon aus, dass du aus diesem Link kommentiert hast?
"(Quelle: https://de.wikipedia.org/wiki/Personal_ ... alth-Modus)"

In dem Link werden die Funktionen und Schutzfunktionen einer Personal Firewall auf dem Windows Betriebssystem -
auch bezüglich Stealth Modus - ausführlich beschrieben. Es mag dahingestellt sein, ob die FRITZ!Box Firewall auch
eine Personal Firewall in diesem Sinne ist. Auf den Stealth Modus in der FRITZ!Box Firewall möchte ich trotz der
Negativzeilen im geposteten Link nicht verzichten. Und dass der Stealth Modus einen Portscan nicht verhindern kann
hatte ich bereits wie folgt in meinem Post #169 kommentiert: "Aktivieren Sie diese Option dann, wenn Sie die Identifikation
Ihrer FRITZ!Box gegenüber Portscans erschweren wollen".

Claudia hat geschrieben: Stealth-Modus Auszug von Wiki
Der Nutzen des von manchen Firewall-Produkten angebotenen Stealth-Modus (siehe weitere Funktionen) wird kritisch gesehen. Entgegen den Empfehlungen der RFCs verwirft der Paketfilter im Stealth-Modus alle Anfragen kommentarlos (DROP), anstatt mit ICMP-Kontrollnachrichten zu antworten.
Administratoren haben beobachtet, dass Rechner, die auf Pings nicht antworten, vergleichsweise seltener gescannt und seltener angegriffen werden. Aus technischer Sicht kann der Stealth-Modus weder einen Angriff noch einen Scan der TCP-Ports verhindern: Wenn der Router des Providers auf Pings nicht mit „Destination unreachable“ antwortet, weiß ein Angreifer, dass der Rechner existiert.

In der Vergangenheit haben ja nicht wenige Anbieter von Software Firewalls mit ihrem Stealth Modus geworben.
Wenn ich mich recht erinnere war das auch u.a. Agnitum mit ihrer Outpost Firewall.
Dort konnte man wohl auch die Pings sich anzeigen lassen, ab einer gewissen Anzahl.
Glaube, dies war auch so bei Check Point, besser bekannt unter dem Namen ZoneAlarm
Quelle: https://de.wikipedia.org/wiki/Check_Point
Diese interpretierte Pings als Angriff, jedenfalls erzählte man mir dies so. Und der dazugehörige User war dann ganz "Stolz" darauf dass ZoneAlarm seinen PC geschützt hat ... <-
Nennt man dann wohl Scheinsicherheit.

Claudia hat geschrieben: Ein Portscanner kann das Problem, dass es bei Anfragen zu einer Zeitüberschreitung (engl. Timeout) kommt, umgehen: Er sendet die Anfragen parallel und sammelt alle Antworten. Kommt keine Antwort, wird der Zustand des entsprechenden Ports als „gefiltert“ angezeigt. Der Portscan wird ausgebremst, aber nicht verhindert.

Dies wäre eine mögliche Erklärung, dass der Portscanner, Port 445 als "offen" angezeigt hat ?!
#170 post110423.html#p110423

Wir könnten jetzt eine Schlangenöldiskussion bezüglich der "Pings" führen,
ob diese Aussage im Post von Claudia:

Wenn der Router des Providers auf Pings nicht mit „Destination unreachable“
antwortet, weiß ein Angreifer, dass der Rechner existiert.

Annähernd identisch mit diesem Ergebnis ist:
There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!

Google-Übersetzung:
Es gibt KEINE BEWEISE, dass ein Port (oder sogar irgendein Computer) bei dieser IP-Adresse existiert!

Wenn ich auf meinen beiden Windows Klapprechnern einen Portscan bei ShieldsUP!!!
(FRITZ!Box-Firewall Stealth Modus) mache, dann erhalte ich die Antwort:
There is NO EVIDENCE WHATSOEVER that a port (or even any computer) exists at this IP address!
bei allen geprüften Ports.

Vielleicht liegt ja die Wahrheit genau in der Mitte.

Portscan ShieldsUP!
"(Quelle: https://www.grc.com/x/ne.dll?bh0bkyd2)"