Port 113 | Closed | NOT Stealth?

Hi - I also received a closed (not stealth).  I am on a fresh install of Firmware version: 9.005-16

- Thank You for your confirmation that I am not the only one.

- Don't SOPHOS / ASTARO perform external security scan of their own firewalls to see what we are seeing?

- For people who is NOT running any Services (SSL VPN, IPsec VPN, RED) - we should get FULL STEALTH.

Interesting - and neither of you has the IDENT Reverse Proxy enabled in 'Firewall >> Advanced'?

Cheers - Bob

Mine is definitely disabled

Got a little click crazy there - Mine is disabled, when enabled it shows as "Open" on GRC, disabled shows "Closed"

Double Checked and Confirmed the IDENT Reverse Proxy is NOT enabled ( I don't even know what is this)

I Audit my UTM Weekly with Security Space Advanced Full Scale Scan and I investigate every time I notice a difference as my UTM Configuration reached a "comfortable" stage whereby I did not make changes for a long time.

Simply VULNERABLE

I do get a LOT more Port Scan Alerts since the recent Up2Date and now with this "exposed" ports - that explains why more people is probing my UTM since it is not completely stealth.

Ever since the Up2Date to Sophos UTM 9.005016

I get Significantly More Port Scan Alerts 

(Seriously I rarely get such alerts in the past since the only exposed ports are due to 
1) IPsec VPN - for iPhone
2) SSL VPN - for Laptops
3) RED
4) And the Idiotic SMTP Ports which gets exposed even when you do not have Internet SMTP Servers (I enabled SMTP Proxies to catch those SMTP Viruses who attempt to send out spams of malware etc if infected successfully) 

My "Paranoid" Counter Measure is Manually Added Firewall Rule to Drop ANY Packet TO and FROM the following addresses.

All Domains Below - No idea and not something I know I went to.

Share with all just to see if you all happen to see the same stuff too.

Source IP address: 184.164.153.218 (hyphenizations.handypreise-online.com)
Source IP address: 217.172.180.73 (berlin157.server4you.net)
Source IP address: 199.19.105.181 (srv12.piramkt.net)
Source IP address: 80.86.81.73 (piripiri059.server4you.net)
Source IP address: 85.25.148.52 (hotel806.server4you.net)

Hopefully SOPHOS would patch this problem soon

I now REMOVED my UTM from the DMZ thus it is "Shielded and Stealth" with a Basic NAT by those Cisco (Linksys) Routers.

My RED, SSL VPN and IPsec VPN would be Down but that is way safer for now in my opinion.

Maybe I'm not completely getting the problem. If there's no service listening on the port then what difference does stealth vs closed really make? If the box is pingable then they know it's there.

You don't get stealth from GRC unless you got everything locked down... including ping. Alvin's got a super secure config and it seems the update allows 113 open all the time instead of enabling/disabling the port on the firewall when the option is changed. Seems like some code on the developers needs to be added in the change option to manipulate the firewall on this. Espeeeeecially if you care about any type ICSA certification [:)]

Probubbly want to throw a bug request in for it. 

I haven't heard too much about IDENT Reverse Proxy security compromises, but this is defiantly going to hold back those pretty green reports you get from Gibson.

** COUNTER MEASURE **
Copy and Pasted from the web console under DNAT.

DNAT [Blackhole TCP 113] 
Traffic selector:  Any TCP 113 WAN (Address) 
Destination translation:  BLACKHOLE  TCP 113 
 
Tested with GRC.com and now it is STEALTH

Running Advanced Security Audit from Security Space now to confirm.