Hi,
auf dem Login server meines icq accounts laufen:
1663
ports, die syn packete mit rst beantworten (!!!!!!!!!!).
Unter anderem telnet.
Wie mir scheint sollte ich meinen icq account absichern, da die
Konfiguration dieses Loginservers betreffend der Internetsicherheit eine
absolute Unverschaemtheit ist.
Reicht es aus wenn ich mit adduser einen neuen user fuer den X server
anlege, dann mit <STRG>+<ALT>+<F*> auf diesen x server wechsel, und
auf die ports dann nur mit diesem speziellen User lausche?
Maximal koennte jemand der dort eingebrochen ist, und eben einen dieser
Serverdienste (von den 1663 an der Zahl), packete an meinen speziellen
User senden, was mir dann echt egal waere.
Kann ich gaim, den ich nutze, zusaetzlich zu einem eigenen X-Server der
nicht auf port 6000 lauscht, in einer chroot-Umgebung laufen lassen?
ICQ Sicherheitsfrage
Re: ICQ Sicherheitsfrage
Entschuldige bitte meine unwissende Frage, aber wieso ist so eine Antwort unverschaemt oder irgendwie die Sicherheit beeintraechtigend?deb_sarge hat geschrieben:Hi,
auf dem Login server meines icq accounts laufen:
1663
ports, die syn packete mit rst beantworten (!!!!!!!!!!).
Unter anderem telnet.
Wie mir scheint sollte ich meinen icq account absichern, da die
Konfiguration dieses Loginservers betreffend der Internetsicherheit eine
absolute Unverschaemtheit ist.
Grüße
Heiner
Jeder offene Port bietet bietet Spielraum für Angreifer um Sicherheitslücken zu entdecken.
Ich finde 1663 offenen Ports auch wenn ich mich im Moment noch nicht über Telnet einloggen kann, sind einfach zu viel.
Ich kann dir gerne mal die Ports zeigen die offenen sind, und da sind auch absolut unsichere Dienste, die man sonst eigentlich eher nicht auf einem Authetifizierungsserver nutzen sollte.
Also es ist nicht port 1663 der offen ist, es sind über 1600 offenene Serverdienste auf dem sich jeder weltweit einloggen kann.
Ich finde 1663 offenen Ports auch wenn ich mich im Moment noch nicht über Telnet einloggen kann, sind einfach zu viel.
Ich kann dir gerne mal die Ports zeigen die offenen sind, und da sind auch absolut unsichere Dienste, die man sonst eigentlich eher nicht auf einem Authetifizierungsserver nutzen sollte.
Also es ist nicht port 1663 der offen ist, es sind über 1600 offenene Serverdienste auf dem sich jeder weltweit einloggen kann.
Ach so. Ich dachte, die Aussage bezieht sich darauf, dass ein "RST" geantwortet wird.
Wenn ich einen Port aufmache, der jedes SYN-Paket mit einem RST beantwortet, ist das auch kein sonderlich grosses Sicherheitsrisiko. Was soll passieren, der Angreifer kann ja nicht mal eine TCP/IP Verbindung aufbauen, höchstens flooden, dann fällt der Server halt aus, ein Sicherheitsrisiko sehe ich da unbedingt noch nicht. Man könnte die Pakete genauso gut droppen, aber ausser den Netzwerkverkehr zu reduzieren aendert das doch nicht wesentlich etwas. Zumindest, wenn das RST immer sofort auf das SYN geantwortet wird, ohne dass vorher irgendwelche IPs geprueft werden oder sowas. Oder nicht?
Grüße
Heiner
Wenn ich einen Port aufmache, der jedes SYN-Paket mit einem RST beantwortet, ist das auch kein sonderlich grosses Sicherheitsrisiko. Was soll passieren, der Angreifer kann ja nicht mal eine TCP/IP Verbindung aufbauen, höchstens flooden, dann fällt der Server halt aus, ein Sicherheitsrisiko sehe ich da unbedingt noch nicht. Man könnte die Pakete genauso gut droppen, aber ausser den Netzwerkverkehr zu reduzieren aendert das doch nicht wesentlich etwas. Zumindest, wenn das RST immer sofort auf das SYN geantwortet wird, ohne dass vorher irgendwelche IPs geprueft werden oder sowas. Oder nicht?
Grüße
Heiner