8. Online
Sicherheitstests,
Security Check Software
Neu ist der Online-Security-Test Shield Probe von der Partner-Site DSLreports (siehe auch WWW-Hyperlinks). Ein Java-Applet auf der Web-Seite führt nach Klick auf "Probe" einen Basic TCP/UDP Port-Scan durch. Der TCP (Full Connect) Scan startet zuerst, und in dem Java-Fenster auf der Web-Seite werden offene Ports angezeigt, sobald welche gefunden werden. Der UDP-Scan folgt als nächstes und muß vollständig ablaufen, bevor die "Results"-Taste betätigt werden kann. Die maximale Test-Dauer ist mit jeweils sechzig Sekunden für jeden der beiden Scans begrenzt. Installierte Firewall-Software auf dem Zielsystem kann ein Überschreiten dieses Zeit-Limits und ein Beenden des Scans zur Folge haben.
Eine IP-Adresse (der am Netzwerk angeschlossene Computer) hat 131.070 potentiell offene Portale. Sie sind unterteilt in 65.535 TCP-Ports und 65.535 UDP-Ports. Der angeforderte Test überprüft die am meisten Frequentierten auf unversperrte Türen.
Die Web-Seite mit den Ergebnissen "Report Card" verwendet folgende Terminologie:
OPEN – diese Ports scheinen ein Service anzubieten.
CLOSED – der Port gibt bekannt, daß er geschlossen ist.
FIREWALLED – der Port ist auf die eine oder andere Weise schweigsam.
Darunter steht dann nach unseren Test-Scans (mit installierter Firewall-Software) deutlich und aufrichtig: »Ende des Reports: Unser Scan überschritt die erlaubte Zeit. Möglicherweise werden hier unvollständige oder gar keine Ergebnisse angezeigt. Wahrscheinlich ist aber eher, daß Ihre IP-Adresse schwierig zu cracken ist. Es wurden keine offenen TCP- oder UDP-Ports gefunden. Das ist ein großartiges Ergebnis!« Die installierte Firewall registrierte in den zwei Minuten siebzehn Verbindungsversuche.
Witzig: Auf der Hauptseite werden links die NetBIOS-Namen von Microsoft-PCs angezeigt, welche durch fahrlässige Konfiguration NetBIOS-Daten in alle Welt verschicken, und die von dem Shield-Probe-Scan entdeckt wurden. Die IP-Adressen der durchaus zahlreichen potentiellen Opfer werden gnadenhalber verschwiegen. Die veröffentlichten Angaben stellen laut DSLreports kein Sicherheitsrisiko dar: »Wem es trotzdem nicht paßt, daß die Resultate seines Security-Tests womöglich in dieser Liste aufscheinen, möge die Scans bitte nicht durchführen.«
E-SOFT und SecuritySpace.com bieten Desktop Security Audit an – mehrere Tests zur Auswahl, zwei davon gratis: Der Online-Scan Basic Audit überprüft 1500 Ports (Ports 1-1023 plus einen ausgewählten Bereich höherer Port-Nummern) und berichtet über die Art der Services, die auf jedem einzelnen offenen Port laufen, der gefunden wird. Der Single Vulnerability Test besteht aus vierhundert verschiedenen Tests, die Teil des Nessus-Projekts (Remote Security Scanner) sind.
Nach der Abfrage von eMail-Adresse, User-Identification und einem Password (frei wählbar, notieren!) kommt innerhalb weniger Minuten eine eMail mit weiteren Angaben. Nach Auslösen des Tests (Proxy-Server abschalten) bekommt man bald eine weitere eMail, welche auf die Web-Seite mit den Ergebnissen verweist (im Browser eventuell auf "Refresh"/"Neu laden" klicken). Bei unserem Testdurchlauf steht dort kurz und bündig zu lesen: »Total number of open ports found: 0.« Das Firewall-Logfile weist hunderte »geblockte« Einträge auf, die von www.e-softinc.com stammen.
Weiters gibt es dort einen nach Ländern unterteilten World-Wide WHOIS Gateway zur Überprüfung von IP-Adressen und Web Server Probe, ein Dienst, der Informationen bereitstellt, die über Web-Adressen herausgefunden werden.
Umfangreiche Port Scan Security Checks von Secure Design. Basic Scan: Dieser Scan nimmt nur wenige Minuten in Anspruch und testet die Windows-Dateifreigabe und eine Reihe von TCP-Ports. Nach dem Port-Scan (Live-Fortschrittsanzeige) wird das Ergebnis im Browser dargestellt. Das Firewall-Log registriert auf dem Zielsystem nicht weniger als 5.875 (!) Zugriffe von 216.99.200.242 (securedesign.net). Dieser Basic Scan kann einige »Denial of Service Zombie Agents«, die auf UDP basieren, nicht entdecken. Complete Scan: Dieser Scan kann bis zu dreißig Minuten dauern und testet die Windows-Dateifreigabe und sowohl TCP- als auch UDP-Ports. UDP-Ports werden oft mit »Denial of Service Zombie Agents« verwendet. Da ein UDP-Port-Scan wesentlich länger dauern kann, werden die Ergebnisse dieses Tests per eMail geschickt. Auf der Web-Seite gibt es noch gute Erläuterungen (englisch) zu Firewalls, Windows 9x Security Tips und Linux Security Tips.
Rrrambo schreibt über die Port-Scan Security-Checks von Secure Design:
Tried "sdesign's" full scan with the following results:
My configuration:
Two firewalls, manually loaded for sequence, #1 is Sybergen Secure Desktop, #2 is ZoneAlarm 2.1.25 - this puts ZoneAlarm in front. Had ALL ICMPs turned off in Sybergen.
Results:
All TCP scans were blocked by ZoneAlarm At first, all ICMP scans produced NO blocking by ZoneAlarm, of course, only the "pings" - walked right through but were discarded (no response) by Sybergen.
After a long period of time, ZoneAlarm finally woke up and started alarms on the ICMP bursts. Sorry, but true, ZoneAlarm doesn't initally block/alarm on ICMP traffic.
Finally (the test ran for 1 Hour and 11 minutes), Sdesign halted the test. Their Email indicated that due to the discared ICMP traffic, the scan took too long so they terminated the test.
They recommend (to run full test) that Type 3 ICMP's be selected by the firewall (Sybergen) for a non-response. In the real world (according to sdesign, this can still leave your machine open for Dos attacks). See their FAQ.
Some time back, I was using @Guard in place of Sybergen, loaded in the same sequence. @Guard's rule sets blocked most all of the ICMP traffic, earlier versions of ZoneAlarm also let this traffic through with no alarms. Just my experiences.
