Firewall - Kennt jemand ne Uebersichtslite der diversen Ports
Hallo Leute, ich hab mir hier jetzt eine Firewall aufgebaut und lass dabei alle abgelehnten Pakete mitloggen, dabei sind mir einige unge- wöhnliche Sachen aufgefallen, deshalb wollte ich fragen, ob jemand eine Liste der unterschiedlichen Ports und ihrer Bedeu- tung kennt. Hab bisher den Firewall-Artikel in der c't 17/1999, Internet Professional 10/1999, das Firewall-Handbuch von www.little- idiot.de, manpages und howtos vergeblich nach einer Portüber- sicht gesucht, die mehr als die üblichen handvoll Nummern hergibt. Insbesondere iritieren mich die Schwafelein über die Ports: 113 - Kommunikation wärend des Mailabholens (Fetchmail/Sendmail/ Procmail), wenn ich den Port dichtmache, kommen die Mails aber trotzdem an... Initiiert wird die Kommunikation vom Mailserver (input mit SYN-Bit) 2064 - Bei FTP-Kontakt über xmftp Passwortgeschützt auf nen 2071 FTP-Server (die ganze Liste links in genannter Reihen- 2076 folge von meinem Rechner initiert - output mit SYN-Bit) 2078 Wenn ich die Ports dichtmache, krieg ich nach dem login- 2084 noch die Begrüsungsseite und das wars. 2102 2106 2108 2111 2116 2119 2122 PS: Ist es normal, Paranoid zu werden, wenn man sich ne Firewall aufzieht und die Logs so durchschaut, oder verwechsle ich da Ursache mit Wirkung? -- Machs gut Manfred http://www.iiv.de/schwinde/buerger/tremmel/ http://www.knightsoft.de , http://www.knightsoft-net.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Gude, At 02:39 21.02.00 +0100, you wrote: ch die Schwafelein über die Ports:
113 - Kommunikation wärend des Mailabholens (Fetchmail/Sendmail/ Procmail), wenn ich den Port dichtmache, kommen die Mails aber trotzdem an... Initiiert wird die Kommunikation vom Mailserver (input mit SYN-Bit)
das sind einfach nur ident Abfragen, wenns dich stoert -> identd runterfahren
2064 - Bei FTP-Kontakt über xmftp Passwortgeschützt auf nen 2071 FTP-Server (die ganze Liste links in genannter Reihen- 2076 folge von meinem Rechner initiert - output mit SYN-Bit) 2078 Wenn ich die Ports dichtmache, krieg ich nach dem login- 2084 noch die Begrüsungsseite und das wars. 2102 2106 2108 2111 2116 2119 2122
das wird mit passive FTP zusammenhaengen, entweder bei deinem Client mal enablen/disablen, je nachdem was gerade eingeschaltet ist.
PS: Ist es normal, Paranoid zu werden, wenn man sich ne Firewall aufzieht und die Logs so durchschaut, oder verwechsle ich da Ursache mit Wirkung?
Eine gesunde Portion Paranioa hat noch niemandem geschadet ;) ciao - Think global - http://www.egelsbach.nu http://www.paritaet.org/user/matthias --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Manfred Tremmel wrote:
Hallo Leute,
Hi Manfred!
... nach einer Portübersicht gesucht, die mehr als die üblichen handvoll Nummern hergibt. Sehr gut finde ich http://www.robertgraham.com/pubs/firewall-seen.html, http://rgfsparc.cr.usgs.gov:8090/sysadmin/ports.html, http://www.networkice.com/advice/Exploits/Ports/.
Rgds. Heiko. -- Die Etikette der SuSE-Liste kann man folgerndermaßen beziehen: Mail-Adresse: mailings-suse@gmx.de Betreff: send etikette --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi, Manfred Tremmel wrote:
Hallo Leute,
ich hab mir hier jetzt eine Firewall aufgebaut und lass dabei alle abgelehnten Pakete mitloggen, dabei sind mir einige unge- wöhnliche Sachen aufgefallen, deshalb wollte ich fragen, ob jemand eine Liste der unterschiedlichen Ports und ihrer Bedeu- tung kennt.
Das mitloggen der DENY packete ist der normale weg.
Hab bisher den Firewall-Artikel in der c't 17/1999, Internet Professional 10/1999, das Firewall-Handbuch von www.little- idiot.de, manpages und howtos vergeblich nach einer Portüber- sicht gesucht, die mehr als die üblichen handvoll Nummern hergibt.
Was verstehts Du unter der ueblichen handvoll nummern ? /etc/services gibt zumindest fast alles <1024 aus und noch einige drueber.
Insbesondere iritieren mich die Schwafelein über die Ports:
113 - Kommunikation wärend des Mailabholens (Fetchmail/Sendmail/ Procmail), wenn ich den Port dichtmache, kommen die Mails aber trotzdem an... Initiiert wird die Kommunikation vom Mailserver (input mit SYN-Bit)
Das ist auth/ident, sprich der sendende mailserver versuch einen identlookup. Von intern nach draussen wuerde ich das zulassen bzw. in der sendmail.cf den timeout auf 1s stellen, sonst dauert es ewig bis die mail rausgeht.
2064 - Bei FTP-Kontakt über xmftp Passwortgeschützt auf nen 2071 FTP-Server (die ganze Liste links in genannter Reihen- 2076 folge von meinem Rechner initiert - output mit SYN-Bit) 2078 Wenn ich die Ports dichtmache, krieg ich nach dem login- 2084 noch die Begrüsungsseite und das wars. 2102 2106 2108 2111 2116 2119 2122
Das ist passiv FTP, da versucht der Client die Verbindung aufzubauen. FTP in der Firewall ist immer das Problem, wo die meisten leute drueber stuerzen. Problem ist dabei, das bei passiv FTP Kommunikation zwischen unpriviligierten Ports >1024 benoetigt wird, die vom clienten zum server aufgebaut wird. Also nicht nur port 20/21 Uebersicht ueber die Ports gibts in jeder besseren RFC sammlung.
PS: Ist es normal, Paranoid zu werden, wenn man sich ne Firewall aufzieht und die Logs so durchschaut, oder verwechsle ich da Ursache mit Wirkung?
Nein, das ist ganz normal ;-) -- MfG, M.Stahn ++ Have you seen Quasimoto? I have a hunch he's back! ++ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Mon, 21 Feb 2000 schrieb Martin Stahn:
Das mitloggen der DENY packete ist der normale weg.
Mach ich doch auch, aber ich geb nicht einfach alles frei, was mir in den Logs landet. Das würde den Sinn der Firewall "etwas" in Frage stellen. Genau aus diesem Grund interessiert mich eine Liste der Ports mit ihrer Bedeutung.
Was verstehts Du unter der ueblichen handvoll nummern ? /etc/services gibt zumindest fast alles <1024 aus und noch einige drueber.
Besten Dank, /etc/services bringt mich schon ein gutes Stück weiter. Unter der üblichen Handvoll Nummern versteh ich ftp (20, 21), ssh (22), telnet (23), smtp (25), www (80), pop3 (110) und impa2 (143), talk (517), netnews (532) und uucp (540) die gebräuchlichsten eben. Ok, ich hab keine 11 Finger an einer Hand ;-)
PS: Ist es normal, Paranoid zu werden, wenn man sich ne Firewall aufzieht und die Logs so durchschaut, oder verwechsle ich da Ursache mit Wirkung?
Nein, das ist ganz normal ;-)
Dann ist ja gut. Hm, ist da jemand hinter dem Vorhang ... -- Machs gut Manfred http://www.iiv.de/schwinde/buerger/tremmel/ http://www.knightsoft.de , http://www.knightsoft-net.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Manfred Tremmel wrote:
Am Mon, 21 Feb 2000 schrieb Martin Stahn:
Das mitloggen der DENY packete ist der normale weg.
Mach ich doch auch, aber ich geb nicht einfach alles frei, was mir in den Logs landet. Das würde den Sinn der Firewall "etwas" in Frage stellen.
Ack.
Genau aus diesem Grund interessiert mich eine Liste der Ports mit ihrer Bedeutung. Eine (die umfangreichste) Liste findet sich auf http://www.isi.edu/in-notes/iana/assignments/port-numbers.
... Ok, ich hab keine 11 Finger an einer Hand ;-) <eklig> Mit "einer Handvoll" Fingern koennen trotzdem 11 gemeint sein. </eklig>
Rgds. Heiko. -- Die Etikette der SuSE-Liste kann man folgerndermaßen beziehen: Mail-Adresse: mailings-suse@gmx.de Betreff: send etikette --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Tue, 22 Feb 2000, Manfred Tremmel wrote:
Besten Dank, /etc/services bringt mich schon ein gutes Stück weiter. Unter der üblichen Handvoll Nummern versteh ich ftp (20, 21), ssh (22), telnet (23), smtp (25), www (80), pop3 (110) und impa2 (143), talk (517), netnews (532) und uucp (540) die gebräuchlichsten eben. Ok, ich hab keine 11 Finger an einer Hand ;-)
finger wäre 79 TCP und UDP :-))) Carsten --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi, Manfred Tremmel wrote:
Das mitloggen der DENY packete ist der normale weg. Mach ich doch auch, aber ich geb nicht einfach alles frei, was mir in den Logs landet. Das würde den Sinn der Firewall "etwas" in Frage stellen.
Richtig, deshalb loggt man die pakete mit um zu sehen obs ein portscan/angriff war oder schlicht und ergreifend einfach nur ne fehlkonfiguration.
Was verstehts Du unter der ueblichen handvoll nummern ? /etc/services gibt zumindest fast alles <1024 aus und noch einige drueber.
Besten Dank, /etc/services bringt mich schon ein gutes Stück weiter. Unter der üblichen Handvoll Nummern versteh ich ftp (20, 21), ssh (22), telnet (23), smtp (25), www (80), pop3 (110) und impa2 (143), talk (517), netnews (532) und uucp (540) die gebräuchlichsten eben. Ok, ich hab keine 11 Finger an einer Hand ;-)
Na also ;-)
Nein, das ist ganz normal ;-) Dann ist ja gut. Hm, ist da jemand hinter dem Vorhang ...
Naja, uebertreiben muss man es auch nicht gleich ;-) -- MfG, M.Stahn ++ I feel so inar-inar-inar tic-u-late ++ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, 21 Feb 2000, Manfred Tremmel wrote:
Hallo Leute,
ich hab mir hier jetzt eine Firewall aufgebaut und lass dabei alle abgelehnten Pakete mitloggen, dabei sind mir einige unge- wöhnliche Sachen aufgefallen, deshalb wollte ich fragen, ob jemand eine Liste der unterschiedlichen Ports und ihrer Bedeu- tung kennt.
Schau mal in /etc/services, da findest Du die Zuordnung der Ports zu den entsprechenden Diensten. Gruß Thomas -- Marciniak Online Service fon: (0231) 58 90 154 Thomas Marciniak fax: (0231) 58 90 155 Schachtstrasse 1 http://www.marciniak.de 44149 Dortmund e-mail: tmarcin@marciniak.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Am Mon, 21 Feb 2000 schrieb Manfred Tremmel:
113 - Kommunikation wärend des Mailabholens (Fetchmail/Sendmail/
identd. in Ordnung.
2064 - Bei FTP-Kontakt über xmftp Passwortgeschützt auf nen
passive ftp connects. das ist normal und in Ordnung.
PS: Ist es normal, Paranoid zu werden, wenn man sich ne Firewall aufzieht und die Logs so durchschaut, oder verwechsle ich da Ursache mit Wirkung?
Paranoya ist angewandte Sicherheit. Ciao, Bjørn -- o_) Bjoern Buerger http://bbuerger.home.pages.de .-. _/\ .--------------------------------------------------- --/---\-/(/-' Linux User Group Braunschweig (LUG - BS) `-' http://www.tu-bs.de/initiativen/LUG/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (7)
-
b.buerger@tu-bs.de -
cmeyer@mail.com -
heiko.degenhardt@sentec-elektronik.de -
Manfred.Tremmel@iiv.de -
martin.stahn@sskm.de -
matthias@egelsbach.nu -
tm@marciniak.de