Portscan // Stealth

[Pretender 10]

Nun habe ich selber mal wieder eine Frage....

 

Habe heute versucht die ACL's auf meinem Router so zu konfigurieren, das bei einem Portscan von aussen die Ports als Stealth ausgegeben werden. Bisher hatte ich keinen Erfolg. Jemand da, der weiß ob es behaupt möglich ist mit einem CISCO Router?

[Zion 10]

Hey Pret,

 

was verstehst du unter 'stealth' ich würd die Mühle auf jedenfall so konfigurieren das du aus deinem Netz mit deinen Ports nach ANY darfst,...und zurück (established :D ). Willst du von aussen auf dein internes Netz auch zugreifen?

 

Gruss Z. :suspect:

[Pretender 10]

Hi Zion,

 

mit Stealth meine ich, das der Port einem anderen System nicht als Closed oder Open gemeldet wird, sondern als nicht vorhanden. Ich brauche von aussen keinen Zugriff auf den Router. Nur aus dem internen Netz.

[jpzueri 10]

Hi Predender,

 

vielleicht hast Du schon Deine Frage beantwortet bekommen, falls nicht:

 

- incoming Access-Liste auf dem äusseren Interfaces zum Ausfiltern der unerwünschten Source-IPs (Anti-Spoofing, RFC1918er Netze, 127er etc...)

- desweiteren sämtlichen Verkehr auf das Router-Interface verbieten.

steht der Router im Internet und spricht BGP? Falls ja, musst Du BGP auf den Router erlauben.

- no ip unreachable auf den Interfaces: es werden keine ICMP

administartively prohibited Messages an den Absender des verworfenen

Paketes gesendet! (Wozu dem Angreifer sagen, dass sein Paket am Punkt X

verworfen wird?

 

Gruss

[tom12 10]

Hi,

 

nur mit access-listen hast du einen Paketfilter.

 

Mit dem IOS welches das FW-Featureset beinhaltet kannst du Stateful-Inspection machen. Somit werden nur von innen inizieerte Sessions wieder durch die FW durchgelassen.

ACL auf deinem WAN-Interface dynamisch an (show access-list).

 

Bei einem Portscan bekommst du vermutlich "filtered" als Ergebnis.

 

Grüsse