_en

Andreas Beck

Sicherheit - FTP-NAT-Test

Logo

FTP-NAT - Auswertung

Bin ich verwundbar?
(Kurzfassung)

Ja, falls irgendwo in den Ausgaben "200 Port open." steht.

Für technisch Interessierte werden die einzelnen Ausgaben und die Bedeutung der verschiedenen Ports gleich noch weiter erklärt.

Falls Sie nur wissen wollen, wie gefährlich diese Lücke ist, und was Sie dagegen tun können, klicken Sie direkt auf "Weiter".

Weiter

Ergebniscodes

CodeBedeutung
IO error in Socket() Der Testserver konnte nicht erreicht werden.
Evtl. ist er gerade nicht verfügbar oder Ihre Firewall blockiert ausgehende Verbindungen des Applets.
200 Port open. Der Testserver konnte erfolgreich zum genannten Port auf ihrem Rechner verbinden.
Überprüfen Sie, ob der Port lokal geöffnet ist (netstat). Falls das Muster der als geöffnet gemeldeten Ports zu ihren lokalen Ports paßt, ist Ihr System durch das active-FTP-NAT Problem angreifbar.
300 Port closed. Der Testserver konnte die Verbindung zu Ihrem Rechner auf dem betreffenden Port aufbauen, aber der Port war geschlossen.
Vergleichen Sie das Ergebnis mit den lokal geöffneten Ports. Falls der Port dort auch geschlossen ist, ist das normal und es kann nichts über das Vorhandensein der Lücke geschlossen werden.
Falls der Port lokal geöffnet ist, blockiert irgendetwas den Zugriffsversuch - vermutlich ein gutes Zeichen.
Falls keiner der Ports im Test bei Ihnen lokal geöffnet ist, kann der Test keine verläßlichen Resultate liefern.
Sie können netcat oder ein ähnliches Programm verwenden, um einen Port lokal zu öffnen, um verwertbare Resultate zu erhalten.
300 Port filtered. Der Testserver konnte nicht innerhalb einer vernünftigen Zeitspanne die Verbindung zu Ihrem Rechner aufbauen.
Entweder war das Netzwerk überlastet, oder irgendetwas filtert Pakete von/zu diesem Port.
Bezüglich der Sicherheit vor diesem Angriff ist das ein gutes Ergebnis.
Allerdings ist es in der Regel keine gute Idee, Pakete zu verwerfen, ohne den Absender geeignet zu informieren, da es die Fehlersuche bei Netzwerkproblemen erschwert. Da die Filter in Ihrem Netzwerk arbeiten, und externe Personen keinen Zugang haben sollen (sonst würden Sie ja den Test nicht machen, oder?), ist das allerdings lediglich Ihr eigenes Problem.
400 PORT Error. Das PORT Kommando der FTP-Verbindung wurde vom Testserver nicht akzeptiert.
Dies geschieht, wenn die IP Adresse im PORT Kommando von der Adresse der FTP-Kontrollverbindung abweicht.
Falls Sie nicht ein sehr ungewöhnliches Setup haben (multihomed Host), ist dies normalerweise ein Zeichen, daß ihr active-FTP-NAT-Helper nicht funktioniert, was nebenbei bedeutet, daß Sie sicher vor diesem Angriff sind.
Natürlich können Sie dann auch kein active FTP verwenden. Es gibt aber auch wenig Grund, das heutzutage zu tun. Daher empfehlen wir diesen Zustand.

Was bedeuten die verschiedenen Portnummern?

Der Test probiert eine ganze Reihe verschiedener Ports, um für möglichst viele Systeme direkt Ergebnisse zu liefern.
Falls Sie keinen einzigen dieser Ports lokal offen haben, kann der Test keine sicheren Ergebnisse liefern.
In diesem Fall, können Sie netcat verwenden, um einen der getesteten Ports zu öffnen und den Test zu wiederholen.

Es ist nicht sicher, daß die Meldung "200 Port open." bedeutet, daß eine Verbindung zu diesem Port auf Ihrem PC aufgebaut wurde. Es ist auch möglich, daß der Router die Verbindung an einen anderen PC weitergeleitet hat (Portforwarding) oder dort selbst einen Dienst (oft das Webinterface auf Port 80) betreibt.

Portliste:

22 SSH.Secure Shell.
Möchten Sie Fernwartungszugang von außen?
80 HTTP.
Betreiben Sie einen Webserver?
Evtl. handelt es sich um die Konfigurationsseite des Routers?
111 Unix Portmapper.
Dieser Dienst sollte niemals von außerhalb eines geschlossenen Netzes verfügbar sein.
135 epmap. Windows endpoint mapper.
Sollte nicht von außen verfügbar sein.
GEFAHR! Falls Ihr Windows nicht vollständig gepatcht ist, kann dieser Dienst genutzt werden, um in Ihre Maschine einzudringen. Diverse bekannte Angriffsprogramme existieren!
137 netbios-ns. Windows netbios nameservice.
Sollte nicht von außen verfügbar sein.
139 netbios-ssn. Windows netbios session.
Sollte nicht von außen verfügbar sein.
445 SMB-DS. Windows shares.
Sollte nicht von außen verfügbar sein.
1900/
5000
ssdp. Simple Service Discovery Protocol.
Sollte nicht von außen verfügbar sein.
3000 alg. Application Level Gateway.
Sollte nicht von außen verfügbar sein.
3389 RDP - Windows Remote Desktop
Sollte nicht von außen verfügbar sein.
580x/
590x
VNC - Ein anderer üblicher Remote Desktop
Sollte nicht von außen verfügbar sein.
6000 First X11 Server (:0).
Wollen Sie diesen Dienst wirklich nach außen anbieten?
47115 TestPort.
Falls dieser Port als "open" angezeigt ist, stimmt vermutlich etwas nicht mit dem Test. Außer natürlich Sie haben den Port absichtlich zu Testzwecken geöffnet.
Oder haben Sie wirklich ausgerechnet dort einen Dienst laufen?

Bin ich verwundbar?

Sie sind verwundbar, wenn die Ausgabe der Kommandos "netstat -a" (Windows) oder "netstat -nlt" (Unix) zu den "200 Port open."-Meldungen des Tests paßt.

Beachten Sie aber, daß einige Firewalls bzw. NAT-Module FTP-Daten nur von Port 20 an einen Port >=1024 erlauben. Falls Sie keinen Dienst auf einem solchen "high port" laufen haben, könnte es sein, daß Sie ein verwundbares NAT-Gerät mit diesem Test nicht bemerken. Versuchen Sie den Testport zu öffnen, um das auszuschließen.

Weiter

Web Design by Andreas Beck      mailto:webmaster-wwbdt-spam@bedatec.de
Ihr Internet Explorer ist veraltet und kann diese Seite nicht optimal darstellen.
Bitte verwenden Sie Windowsupdate um IE7 zu erhalten oder installieren Sie Mozilla