"Closed" not "Stealthed" ports

Hi,

just enable /Network/Portscan Detection/.

Maybe you want to exclude your internal Lan ?!?

..
 Claus

Nope, portscan is already running...

FWIW, it's port 113 and not 139 that is closed - port 139 is correctly stealthed.

Any other thoughts?

UPDATE: Default portscan exclusion of Any->Any wasn't helping! Now only port 113 is showing as closed...

[ 01 December 2001: Message edited by: YuppieScum ]

I agree that it is a bit strange that you can't drop on port 113. Wonder what ASL techies has to say to this (also wonder how I can make them read this.. they should be pretty bored with us now ;-)

Regards,
Ørjan S

Well, just for laughs (and not being able to sleep), I've just run Up2Date to go from 2.016 to 2.019. 

I've also added an explicit rule to the packet filter (I now have 3 - "allow all from internal to anywhere", "drop all incoming on 113" (new) and "drop all incoming").

It's not made any difference. GRC's scanner still says port 113 (IDENT) is responding "closed" - deny rather than drop.

I had hoped that an Astato guy would have joined in by now... then again, I'm using ASL for free (except for an Xmas card + postage) so perhaps I shouldn't feel too hard done by...

On the other hand, has anyone else experienced the same issue?

Under most circumstances you are better off rejecting port 113 rather than dropping it - if you are a home user.  

The reason for this is that when you try to use POP and SMTP the server on the far end often sends an IDENT (113) packet to your machine before completing the request.  If you drop, you have to wait, if you reject, the machine on the other end assumes that you are non-unix and do not support IDENT and it stops asking and moves on to the business at hand.

Business users might not be quite as worried by this since they are more likely to be using the SMTP relay function and managing their own email systems.

Something to consider...

If you are a business with a public footprint and important information to hide then you don't really need to stealth.  This may seem counter-intuitive but it isn't.  It is the home user that may want to stealth so he/she may be able to avoid further scrutiny due to convincing a would-be attacker that they aren't even there.  If a business gets attacked though it isn't going to be because of a random scan; it is going to be because something wants something from your domain.  So if I scan Microsof.com and find stealthed ports it isn't going to convince me that they aren't there.  At that point there is no benefit to stealth over closed.

As for the 113 debate there is only one issue I can think of.  Email takes forever on many servers if the machine can't connect to 113 on the IP trying to get mail.  This is a hassle and it can be avoided by allowing 113 to touch the external interface of the firewall.  As far as I know this is toally harmless and keeps email instant rather than a 30-60 second process.

 [:)]

All the point regarding the pro's and con's of dropping or rejecting traffic on the IDENT (or any other) port as interesting and valid.

However they entirely miss the point of my original post!

I have deliberatly set the packet filter in ASL to drop ALL incoming packets on ALL ports, but the IDENT port still responds with reject. I want IDENT to drop too...

Check this out dude, just to make you feel worse.

Got to
www.sygate.com (u need IExplorer 5 or higher for this to work)

Click on support in upper right corner, select security scan in pull-down menu. Now run all scans on the left. Run them again. Notice how ports are randomly detected as closed or blocked (stealthed)I'm no IP-guru but it strikes me as odd that ports are detected in a random fashion. Any ideas on this phenomenon? By the way, grc.com shows my ports as stealthed except for ident.

I tried both sites with a gnatbox firewall and all ports showed up stealthed.

hello to all

I don't know how secure you all want to be and I believe that this is a "matter of opinion".

but here my 2cents:

I don't realy believe at all this tests results of the websites named in the topics bevor. Fist because the most of them want to sell their Software showing you how open you are to the Internet. And second because in my case the results of this Internet-Security-Sites showed me that sometime my FTP port is open, and sometime it is cosed, same with other ports(http,smtp,dns,...). So I think this tests aren't "secure" enough to believe in them.

The only right way would be to connect another PC in your transfernetwork and test the security and portscans directly from this PC.

thanx for reading
eldorado

OK I agree on the fact that they would like to sell their software. Still it's strange getting different results during different runs. Also I don't understand why for example gnatbox firewall run on exact same hardware)shows perfect results when scanned by Sygate.

I would like to know what causes these tests to be more or less reliable. Are there any objective tests to test these sites?

I suggest the use of a secured linux box off-site that you use to scan networks and hosts that you wish to audit. This is how I check the status of my configuration changes.

You can't trust grc or other sites as well as yo can a good nmap scan that you do yourself.

 [:)]

[ 20 January 2002: Message edited by: danielrm26 ]

An attacker uses those "Closed Ports" as  enumeration.

Anyone who runs a halfscan can see that
the firewall is a Linuxbox.

Astaro make this FW 100% Stealth!.

An attacker uses those "Closed Ports" as  enumeration.

Anyone who runs a halfscan can see that
the firewall is a Linuxbox.

Astaro make this FW 100% Stealth!.