---

Hej
Er der en web side eller lign hvorfra man kan teste sin firewall, portscan
eller lign der tester om der er åbne porte. Jeg vil gerne have testet min
adsl forbindelse for åbne porte

MVH
Ove Hvam Andersen

---

Hi Ove Hvam Andersen du skrev:

> Er der en web side eller lign hvorfra man kan teste sin firewall,
> portscan eller lign der tester om der er åbne porte. Jeg vil gerne
> have testet min adsl forbindelse for åbne porte

Besøg <http://grc.com/default.htm> og vælg shieldsup!

--
Claus U
Takt er evnen til at beskrive andre
Sådan som de ser sig selv

---

Den 6 Mar 2002 19:30:29 GMT skrev Claus U:
>Hi Ove Hvam Andersen du skrev:
>
>> Er der en web side eller lign hvorfra man kan teste sin firewall,
>> portscan eller lign der tester om der er åbne porte. Jeg vil gerne
>> have testet min adsl forbindelse for åbne porte
>
>Besøg <http://grc.com/default.htm> og vælg shieldsup!

Ikke specielt pålidelig... Ved min sagde den "Closed" hele vejen ned,
selvom jeg VED at jeg har en ÅBEN port - som jeg har brugt til at
connecte til maskinen udefra idag, så der er ingen tvivl om at den
er åben.

Derudover giver den flg. tekst ud for port 23 (telnet):

Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any
computer) exists at this IP address!

Og hvordan opfatter han så den fine ICMP-pakke han fik tilbage fra
den port?

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - Ny tegning uploadet.

---

kfr@fleggaard.dk (Kent Friis) wrote:

>Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any
>computer) exists at this IP address!

Jeg synes da, beskeden ved åben port 23 er meget værre:

"Det skal du ikke tænke over. Vi kan ikke forestille os, at du kører
en telnet-service, så det er nok bare en fejl, at porten ser ud til at
være åben."

(!)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Den Wed, 06 Mar 2002 22:40:25 +0100 skrev Allan Olesen:
>kfr@fleggaard.dk (Kent Friis) wrote:
>
>>Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any
>>computer) exists at this IP address!
>
>Jeg synes da, beskeden ved åben port 23 er meget værre:
>
>"Det skal du ikke tænke over. Vi kan ikke forestille os, at du kører
>en telnet-service, så det er nok bare en fejl, at porten ser ud til at
>være åben."


Yikes...

iptables -t nat -I PREROUTING 1 -p tcp --dport 23 -j REDIRECT --to-ports 7
iptables -I INPUT 1 -p tcp --dport 7 -j ACCEPT

Det ser sg* ud til at du har ret... LOL. Den mand aner ikke hvad han
snakker om.

Gad vide om der er flere af den slags...

iptables -t nat -I PREROUTING 1 -p tcp -j REDIRECT --to-ports 7

Den her er da også lidt morsom - ud fra den betragtning at jeg først
lige har åbnet for porten (445)...

"This impossible-to-close port first appeared on Windows 2000
and was carried over to Windows XP. Since several insecure
Microsoft services use this port, it should never be left "open"
to the outside world. Since it is impossible to close you'll need a
personal firewall to block it from external access. Do it soon!"

- og så det store spørgsmål til alle wanna-be eksperterne... Hvor stor
er sikkerhedsrisikoen når nu jeg får alle porte markeret som "OPEN"?

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - Ny tegning uploadet.

---

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:a65s2v$9ne$2@sunsite.dk...
> Den 6 Mar 2002 19:30:29 GMT skrev Claus U:
[...]
> >Besøg <http://grc.com/default.htm> og vælg shieldsup!
>
> Ikke specielt pålidelig... Ved min sagde den "Closed" hele vejen ned,
> selvom jeg VED at jeg har en ÅBEN port - som jeg har brugt til at
> connecte til maskinen udefra idag, så der er ingen tvivl om at den
> er åben.

Har du prøvet at kontakte grc vedr. dette problem?

>
> Derudover giver den flg. tekst ud for port 23 (telnet):
>
> Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any
> computer) exists at this IP address!
>
> Og hvordan opfatter han så den fine ICMP-pakke han fik tilbage fra
> den port?

Det kan være hans superspecielle hjemmeimplementerede protokol troede at
det var et DoS-angreb
Spøg til side... send en e-mail til grc og spørg!

/Jens Ulrik

---

Den Thu, 7 Mar 2002 09:55:23 +0100 skrev Jens U. K.:
>"Kent Friis" <kfr@fleggaard.dk> wrote in message
>news:a65s2v$9ne$2@sunsite.dk...
>> Den 6 Mar 2002 19:30:29 GMT skrev Claus U:
>[...]
>> >Besøg <http://grc.com/default.htm> og vælg shieldsup!
>>
>> Ikke specielt pålidelig... Ved min sagde den "Closed" hele vejen ned,
>> selvom jeg VED at jeg har en ÅBEN port - som jeg har brugt til at
>> connecte til maskinen udefra idag, så der er ingen tvivl om at den
>> er åben.
>
>Har du prøvet at kontakte grc vedr. dette problem?

Nope.

>> Derudover giver den flg. tekst ud for port 23 (telnet):
>>
>> Stealth! There is NO EVIDENCE WHATSOEVER that a port (or even any
>> computer) exists at this IP address!
>>
>> Og hvordan opfatter han så den fine ICMP-pakke han fik tilbage fra
>> den port?
>
>Det kan være hans superspecielle hjemmeimplementerede protokol troede at
>det var et DoS-angreb

He he... Bare fordi den ikke har set end ICMP-protocol-unreachable før


>Spøg til side... send en e-mail til grc og spørg!

Er det ikke ham der tror han ved meget mere om sikkerhed end alle andre?
Ham skal jeg sg* ikke op og diskutere med. Han anbefaler sikkert bare
at jeg skal installere Windows XP (GYS) og downloade ZoneAlarm (Yikes).

Mvh
Kent
--
http://www.celebrityshine.com/~kfr/ - Ny tegning uploadet.

---

Kent Friis wrote:

(snipped)
>
> Er det ikke ham der tror han ved meget mere om sikkerhed end alle
> andre? Ham skal jeg sg* ikke op og diskutere med. Han anbefaler
> sikkert bare at jeg skal installere Windows XP (GYS) og downloade
> ZoneAlarm (Yikes).
>
> Mvh
> Kent


Saa er det vist paa tide med noget godnatlaesning:

www.grcsucks.com

Manden er uduelig, to say the least..

---

Claus U wrote:
>
> Hi Ove Hvam Andersen du skrev:
>
> > Er der en web side eller lign hvorfra man kan teste sin firewall,
> > portscan eller lign der tester om der er åbne porte. Jeg vil gerne
> > have testet min adsl forbindelse for åbne porte
>
> Besøg <http://grc.com/default.htm> og vælg shieldsup!

Jeg opdagede, at hvis serveren modtager en HTTP request
uden User-Agent header bliver IP addressen banlyst. Er
det ikke en dårlig idé, at lade en server opføre sig på
den måde?

Gad vide hvor længe de gemmer listen over banlyste IP
addresser.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

On Wed, 6 Mar 2002 11:01:40 +0100, "Ove Hvam Andersen"
<oha@kpk-vinduer.dk> wrote:

>Er der en web side eller lign hvorfra man kan teste sin firewall, portscan
>eller lign der tester om der er åbne porte.

http://www.dslreports.com/


@skotte

---

Kim Skotte wrote:

> http://www.dslreports.com/


Sødt,

# telnet www.dslreports.com. 80
Trying 209.123.109.175...
telnet: connect to address 209.123.109.175: Connection refused

---

"Christian E. Lysel" wrote:
>
> Kim Skotte wrote:
>
> > http://www.dslreports.com/
>
> Sødt,
>
> # telnet www.dslreports.com. 80
> Trying 209.123.109.175...
> telnet: connect to address 209.123.109.175: Connection refused

Underligt, jeg har da ellers ikke noget problem:

[kasperd:pts/2] telnet www.dslreports.com. 80
Trying 209.123.109.175...
Connected to www.dslreports.com (209.123.109.175).
Escape character is '^]'.
GET /robots.txt HTTP/1.0

HTTP/1.1 200 OK
Date: Thu, 07 Mar 2002 14:17:45 GMT
Server: Apache/1.3.12 (Unix)
Last-Modified: Mon, 03 Dec 2001 07:20:40 GMT
ETag: "9bdb9-1c7-3c0b27c8"
Accept-Ranges: bytes
Content-Length: 455
Connection: close
Content-Type: text/plain

User-agent: *
Disallow: /forgot/
Disallow: /bug/
Disallow: /login
Disallow: /redir/
Disallow: /who/
Disallow: /dsl_diary/
Disallow: /usenet/
Disallow: /secret/
Disallow: /mktplace/
Disallow: /coinfo/
Disallow: /prequal_watch/
Disallow: /prequal/
Disallow: /mailshot/
Disallow: /useremail/
Disallow: /monitored/
Disallow: /metashare/
Disallow: /speak/
Disallow: /gbu
Disallow: /allreviews
Disallow: /r1/
Disallow: /bug/
User-agent: MSIECrawler
Disallow: /
Connection closed by foreign host.
[kasperd:pts/2]

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

>>Sødt,
>>
>># telnet www.dslreports.com. 80
>>Trying 209.123.109.175...
>>telnet: connect to address 209.123.109.175: Connection refused
>>
>
> Underligt, jeg har da ellers ikke noget problem:


Yep, de er oppe igen, jeg prøvede fra 3 forskellige IP adresser, icmp
request svarede de på, men ikke tcp/ip port 80.

---

"Ove Hvam Andersen" <oha@kpk-vinduer.dk> wrote in message
news:lMlh8.1511$ng4.126390@news000.worldonline.dk...
> Hej
> Er der en web side eller lign hvorfra man kan teste sin firewall, portscan
> eller lign der tester om der er åbne porte. Jeg vil gerne have testet min
> adsl forbindelse for åbne porte
>
> MVH
> Ove Hvam Andersen
>

www.hackerwhacker.com

Har et testscan lavet med nmap, samt noget begrænset "exploit-probing" (Av
for et grimt ord) i forbindelse med webserver etc.

---

Yarrel wrote:

> www.hackerwhacker.com
>
> Har et testscan lavet med nmap, samt noget begrænset "exploit-probing" (Av
> for et grimt ord) i forbindelse med webserver etc.


securityspace.com er en nessus scanner

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>securityspace.com er en nessus scanner

Den så umiddelbart ret tilforladelig ud. Så kørte jeg en gratis test
mod min ip og fik at vide, at man havde fundet 1 sårbarhed i
kategorien "Low".

Og hvad gik den så ud på? Tja, hvis jeg læser det rigtigt, bryder de
sig ikke om, at man kan lave en traceroute frem til sidste hop før min
maskine:

>Details of Low Risk Vulnerabilities ID Service/Description
>10287Traceroute
>general/udp
>For your information, here is the traceroute to 80.196.142.67 :
>216.201.108.17
>64.251.76.177
>204.209.215.213
>66.163.76.69
>64.215.181.77
>208.49.59.213
>206.132.249.170
>208.48.234.214
>194.192.19.65
>195.249.2.233
>195.249.2.38
>195.249.6.114
>195.249.7.230
>194.182.253.148
>?
>
>Makes a traceroute to the remote host.
>
>Risk factor : Low

Så kan man jo godt blive lidt i tvivl om deres kompetence...


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

>>Makes a traceroute to the remote host.
>>Risk factor : Low
> Så kan man jo godt blive lidt i tvivl om deres kompetence...


Det er nessus der snakker.

Hvorfor bliver du i tvivl om deres kompetance, skal den måske rates
højere, eller lavere (den kan dog ikke rates lavere da de har low,
medium, high).

De gør et langt bedre stykke arbejde end grc (eller hvad de nu hedder).

Problemet med denne slags scanneringer er at der fortages en rating uden
at tage hensyn til sikkerhedspolitiken.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Det er nessus der snakker.

Uden at have set det output, en ren Nessus ville være kommet med, vil
jeg tillade mig at påstå, at svaret i høj grad ser ud til at være
pakket ind i sitens egen fortolkning.

>Hvorfor bliver du i tvivl om deres kompetance, skal den måske rates
>højere, eller lavere (den kan dog ikke rates lavere da de har low,
>medium, high).

Jamen, hvor er den påståede sårbarhed? Man kan da altid lave en
traceroute til en anden maskine. Sådan som jeg fortolker resultatet,
svarede min maskine ikke engang.

>De gør et langt bedre stykke arbejde end grc (eller hvad de nu hedder).

Det skulle de dæleme også helst.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

>>Det er nessus der snakker.
> Uden at have set det output, en ren Nessus ville være kommet med, vil
> jeg tillade mig at påstå, at svaret i høj grad ser ud til at være
> pakket ind i sitens egen fortolkning.


Nessus kommentere også traceroute.

>>Hvorfor bliver du i tvivl om deres kompetance, skal den måske rates
>>højere, eller lavere (den kan dog ikke rates lavere da de har low,
>>medium, high).
> Jamen, hvor er den påståede sårbarhed? Man kan da altid lave en
> traceroute til en anden maskine. Sådan som jeg fortolker resultatet,
> svarede min maskine ikke engang.


Nogle betragter det som en sårbarhed at man kan udfører et traceroute
til hosten, i nogle tilfælde er det da også rigtig da man kan få
oplysninger om den interne topologi og router afstande (målt i hop). Men
generelt afslører det ikke mere end man i forvejen ved :)

>>De gør et langt bedre stykke arbejde end grc (eller hvad de nu hedder).
> Det skulle de dæleme også helst.


Alt andet bør også være umuligt :)

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Nogle betragter det som en sårbarhed at man kan udfører et traceroute
>til hosten,

Hvordan vil du beskytte dig mod, at maskiner uden for dit eget net
svarer på traceroute?

Det var jo ikke maskiner i _mit_ net, der svarede på traceroute.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

>>Nogle betragter det som en sårbarhed at man kan udfører et traceroute
>>til hosten,
> Hvordan vil du beskytte dig mod, at maskiner uden for dit eget net
> svarer på traceroute?


Det vil jeg ikke beskytte mig imod.


> Det var jo ikke maskiner i _mit_ net, der svarede på traceroute.


Nej, men hvis det var tilfældet, kunne man se dit interne netværk.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Nej, men hvis det var tilfældet, kunne man se dit interne netværk.

Ja, _hvis_ det var tilfældet.

Forklar mig så igen meget, meget langsomt, hvilken sårbarhed der blev
fundet ved min test, for jeg kan ikke se noget som helst, der
overhovedet berettiger til kategorien "Low".


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

>>Nej, men hvis det var tilfældet, kunne man se dit interne netværk.
> Ja, _hvis_ det var tilfældet.
>
> Forklar mig så igen meget, meget langsomt, hvilken sårbarhed der blev
> fundet ved min test, for jeg kan ikke se noget som helst, der
> overhovedet berettiger til kategorien "Low".


Prøv at forklar mig hvordan den skal kunne vide om det er dit interne
netværk eller ej.

Det er ikke muligt for en automatisk scanner at afgører om traceroute
indeholder oplysninger om dit internet net eller ej.

Firewalk kan bagefter hjælpe med at kortligge din evt. firewalls regler.

I dit og mit tilfælde, bliver pakker ikke routet inde på vores interne
netværk og derfor indeholder traceroute ikke oplysninger om dette. Men
andre fx HP, Texas Instrument, ectetera, har et internt netværk der er
lige så stort om Internet, i udbredelse. Her vil en traceroute kunne
afslører meget mere.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Prøv at forklar mig hvordan den skal kunne vide om det er dit interne
>netværk eller ej.

Tak for, at du gentager min pointe.

Den kan ikke vide, om den er inde i mit netværk eller 20 hop uden for
mit netværk, og netop derfor er det komplet tåbeligt at kategorisere
resultatet som en sikkerhedsrisiko.

Det er da fint nok, at de laver en traceroute for generel information,
så man kan se, hvor sporet stopper, men så burde de smide det i en
kategori, der hed "Output, som du selv må checke, da vi ikke har
tilstrækkelig viden om dit netværk."


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

> Det er da fint nok, at de laver en traceroute for generel information,
> så man kan se, hvor sporet stopper, men så burde de smide det i en


Jeg tror faktisk at nessus blot rater det som "general information".

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Jeg tror faktisk at nessus blot rater det som "general information".

Det er jeg da glad for at høre. Jeg havde også i forvejen det indtryk,
at Nessus i sig selv - altså uden et tilfældigt websites mere eller
mindre brugbare indpakning - var et seriøst stykke værktøj.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Yarrel wrote:

> www.hackerwhacker.com
>
> Har et testscan lavet med nmap, samt noget begrænset "exploit-probing" (Av
> for et grimt ord) i forbindelse med webserver etc.


Sødt, man kan slå gamle scanninger op:

Her er fx min:

http://networkscan.com:4000/doretrieve.dyn?email=&scancode=62.61.140.19

Hmm, jeg er ikke helt enig i deres scanning.

1. Jeg kører ikke sendmail

2. Deres dns opslag fejler, selvom det burde give et baglæns opslag.

3. De fleste af UDP portene de mener er åbne er faktisk lukket.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C874235.8090000@example.net...

>
> Sødt, man kan slå gamle scanninger op:
>
> Her er fx min:
>
> http://networkscan.com:4000/doretrieve.dyn?email=&scancode=62.61.140.19
>
> Hmm, jeg er ikke helt enig i deres scanning.
>
> 1. Jeg kører ikke sendmail

Du har vel "forhåbentlig" port 25 åben ?
Ellers er det vist en major bummer !

> 2. Deres dns opslag fejler, selvom det burde give et baglæns opslag.

Det burde den.
Eftersom både http-headers og SMTP-banners er nævnt, kan man vel også med
rimelighed forvente en at din reverseDNS bliver trykt. (Er det BIND ?)

Harvey Hackerwhacker må være på crack. *LOL*

---

Yarrel wrote:

>>1. Jeg kører ikke sendmail
> Du har vel "forhåbentlig" port 25 åben ?
> Ellers er det vist en major bummer !


Jeg har en listner på port 25, men det er ikke sendmail som de påstår.

>>2. Deres dns opslag fejler, selvom det burde give et baglæns opslag.
>>
>
> Det burde den.
> Eftersom både http-headers og SMTP-banners er nævnt, kan man vel også med
> rimelighed forvente en at din reverseDNS bliver trykt. (Er det BIND ?)


Nej ikke bind, men et baglæns opslag virker fint ude fra, men ikke fra
deres værktøj.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C8745BF.3010001@example.net...

>
> Jeg har en listner på port 25, men det er ikke sendmail som de påstår.

Gad vide om det er en "generalisering". Ment således:
Maskinen kører Apache, bla, bla, bla...
Ergo er det nok en art UNIX, ergo er det nok Sendmail..


>
> Nej ikke bind, men et baglæns opslag virker fint ude fra, men ikke fra
> deres værktøj.


Næææ..
Spørgsmålet er om de overhovedet har forsøgt opslaget.
Der står blot at de vil forsøge en fuld zonetransfer til yderligere
enumerering af dit netværk. Dette er naturligvis ikke sket, hvis du ej
tillader zonetransfers.

---

Yarrel wrote:

> Næææ..
> Spørgsmålet er om de overhovedet har forsøgt opslaget.
> Der står blot at de vil forsøge en fuld zonetransfer til yderligere
> enumerering af dit netværk. Dette er naturligvis ikke sket, hvis du ej
> tillader zonetransfers.


Men jeg tillader zoneoverførelser, dog kun for de zoner der er sat op i
navneserveren.

Endvidere skriver de, når jeg tilgår siden fra IE:

Result Attempting: /usr/bin/host -r -a -l . 62.61.140.19
Using domain server 62.61.140.19:
Trying 62.61.140.19

Men hvis jeg tilgår siden fra Netscape, står ovennævnte ikke i reporten.

De bør teste for:

host -r -a -l 19.140.61.62.in-addr.arpa 62.61.140.19

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C874235.8090000@example.net...

>
> Sødt, man kan slå gamle scanninger op:
>
[snipped]

Ja, det er kært...