Ich ersuche um kurze Hilfe: Sind diese Ports wirklich offen? / Sicherheitsproblem?

[stoney]

Hallo Leute, liebes Team!

Ich habe meinen Server über einen Online Port Scanner gerade überprüft und dabei festgestellt dass viele Ports als "Filtered" dargestellt werden.

Dass der ssh Port offen ist ist beabsichtigt, allerdings verwirrt mich dass hier ms-wbt-server / microsoft-ds , pop3, imap etc. als "Filtered" aufscheinen. Ich bilde mir ein dass das vor dem Update auf Debian Stretch nicht der Fall war.

Hier der Output:

PORT STATE SERVICE VERSION
21/tcp filtered ftp
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u2 (protocol 2.0)
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp closed http
110/tcp filtered pop3
143/tcp filtered imap
443/tcp filtered https
445/tcp filtered microsoft-ds
3389/tcp filtered ms-wbt-server
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Nach dem Update waren plötzlich alle möglichen Dienste installiert und aktiv (etwa httpd). Da ich gerne nur die minimalsten Dienste die benötigt werden installieren möchte, verwirrt mich dies etwas.

Zusätzlich würde mich interessieren ob man die Informationsfreudigkeit von sshd auch irgendwie deaktivieren kann, so dass dieser keine Versionsnummer ausgibt.

Vielen Dank schon mal und Liebe Grüße

Eric

[DeletedUserReAsG]

„filtered“ bedeutet, dass ein Paketfilter dazwischen sitzt und entsprechende Pakete aussortiert. Landläufig auch „Firewall“ genannt. Bedeutet, dass dein Portscanner nicht sagen kann, ob der Port nun offen ist, oder nicht.

Meine erste Anlaufstelle beim Gucken, ob lokal Ports offen sind, wäre netstat. Etwa via netstat -pltun alle TCP- und UDP-Ports anzeigen lassen, die von Programmen für eingehende Verbindungen geöffnet worden sind.

[stoney]

Vielen Dank, ja, iptables hätte ich bereits konfiguriert.

Dann bedeutet das also nur dass dies der Standardport der dort angegebenen Dienste ist, nicht aber dass tatsächlich dieser Dienst dahinter läuft, wenn ich das korrekt verstanden habe.

Die netstat Ausgabe werde ich heute noch prüfen.

LG

Eric

[TomL]

Dann bedeutet das also nur dass dies der Standardport der dort angegebenen Dienste ist, nicht aber dass tatsächlich dieser Dienst dahinter läuft,...

Nein, es bedeutet das, was 'niemand' schon gesagt hat, der Portscanner weiss nicht, ob der Port offen ist oder nicht. Der vom Dienst geöffnete Port wird anscheinend vom Paketfilter behandelt, aber allein daraus geht nicht hervor, ob der Port jetzt offen ist oder nicht. Der Paketfilter kann ja auch ACCEPT'n, dann wäre er offen, oder DROP'n, dann wäre er zu, oder eins von beiden je nach Paket, womit er mal auf ist und mal zu ist. Und ja, der Dienst dahinter läuft trotzdem und lauscht auch auf diesem Post. Aus Sicht des laufenden Dienstes wird der Port also offen sein, wenn der Paketfilter allerdings alle Pakete DROP'd, wäre der Port faktisch wieder zu.... aber das ist eben hier nicht bekannt, weil der eingestellte Paketfilter unbekannt ist.

Bei einigen meiner Dienste ist es so, dass Ports zwar für bestimmte Pakete offen sind, aber ansonsten wird gedropt.... also, was ist das jetzt...?... ist der Port nun offen oder doch zu? Die Antwort ist... "beides, ist relativ"

[BenutzerGa4gooPh]

Scan mit nmap auf TCP:
open: SYN-ACK erhalten
closed: RST-ACK erhalten (*)
filtered: keine Antwort erhalten

(*)

80/tcp closed http

Ein Paketfilter kann auch Deny/Rueckmeldung (neben Accept und Drop/stilles Verwerfen).

Ausführlich und UDP: https://www.secuvera.de/blog/nmap-ergeb ... ebersicht/