Port-Scan auf Internet-Box von aussen - recht viel gefunden - Sicherheit?

daffy2

Hallo zusammen,

ich habe eben via https://pentest-tools.com/discovery-probing/tcp-port-scanner-online-nmap einen Port-Scan auf meiner Internet-Box machen lassen. Das vollständige Ergebnis ist unten angefügt.

Frage: Warum sind TCP-Ports 113, 1024, 7547, 15898 nicht tot?

Nur zur Info: Ich habe den Zentralspeicher nach aussen freigegeben - irgendwo kommt der also auch in der Liste vor. Wo aber genau liegt der Zentralspeicher und was ist der Rest?

Aufhellung wäre schon 🙂 Merci 🙂

Starting job... [2014-09-28 12:17:25] Stay on this page for results!

Starting Nmap 6.00 ( http://nmap.org ) at 2014-09-28 15:17 EEST
NSE: Loaded 17 scripts for scanning.
Initiating Ping Scan at 15:17
Scanning 62.<my ip> [4 ports]
Completed Ping Scan at 15:17, 0.07s elapsed (1 total hosts)
Initiating SYN Stealth Scan at 15:17
Scanning <my IP>.62.cust.bluewin.ch (62.<my ip>) [65535 ports]
SYN Stealth Scan Timing: About 15.66% done; ETC: 15:20 (0:02:47 remaining)
Discovered open port 7547/tcp on 62.<my ip>
SYN Stealth Scan Timing: About 31.29% done; ETC: 15:20 (0:02:14 remaining)
Discovered open port 1024/tcp on 62.<my ip>
SYN Stealth Scan Timing: About 55.18% done; ETC: 15:20 (0:01:14 remaining)
Discovered open port 15898/tcp on 62.<my ip>
Completed SYN Stealth Scan at 15:19, 126.02s elapsed (65535 total ports)
Initiating Service scan at 15:19
Scanning 3 services on <my IP>.62.cust.bluewin.ch (62.<my ip>)
Completed Service scan at 15:20, 73.51s elapsed (3 services on 1 host)
Initiating OS detection (try #1) against <my IP>.62.cust.bluewin.ch (62.<my ip>)
Retrying OS detection (try #2) against <my IP>.62.cust.bluewin.ch (62.<my ip>)
Initiating Traceroute at 15:20
Completed Traceroute at 15:20, 2.02s elapsed
NSE: Script scanning 62.<my ip>.
Initiating NSE at 15:20
Completed NSE at 15:20, 0.21s elapsed

Nmap scan report for <my IP>.62.cust.bluewin.ch (62.<my ip>)
Host is up (0.060s latency).
Not shown: 65531 filtered ports

PORT STATE SERVICE VERSION
113/tcp closed ident
1024/tcp open kdm?
7547/tcp open unknown
15898/tcp open unknown
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi:
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port1024-TCP:V=6.00%I=7%D=9/28%Time=5427FCDF%P=i686-pc-linux-gnu%r(GetR
SF:equest,1FB,"HTTP/1\1\20401\20Unauthorized\
WWW-Authenticate:\20Di
SF:gest\20realm=\
ull\,\20domain=\\,\20nonce=\gsguvEgBAACCkUsi/8\
SF:GVdZvlpf1QMX0\,\20algorithm=MD5,\20qop=\auth\\
Content-Type:\20
SF:text/html;charset=ISO-8859-1\
Cache-Control:\20must-revalidate,no-ca
SF:che,no-store\
Content-Length:\20244\
\

SF:http-equiv=\Content-Type\\20content=\text/html;\20charset=ISO-8859
SF:-1\/>

<
SF:h2>HTTP\20ERROR\20401

Problem\20accessing\20/\\20Reason:
SF:

\20\20\20\20Unauthorized

")%r(HTT
SF😛Options,A7,"HTTP/1\1\20401\20Unauthorized\
WWW-Authenticate:\20D
SF:igest\20realm=\
ull\,\20domain=\\,\20nonce=\mckuvEgBAAB\/6gJms
SF:tIvIVZuMU7rgTF\,\20algorithm=MD5,\20qop=\auth\\
Content-Length:\SF:x200\
\
")%r(RTSPRequest,42,"HTTP/1\1\20400\20Bad\20Request\

SF:Content-Length:\200\
Connection:\20close\
\
")%r(RPCCheck,42,"H
SF:TTP/1\1\20400\20Bad\20Request\
Content-Length:\200\
Connection
SF::\20close\
\
")%r(DNSVersionBindReq,42,"HTTP/1\1\20400\20Bad\2
SF:0Request\
Content-Length:\200\
Connection:\20close\
\
")%r(He
SF:lp,42,"HTTP/1\1\20400\20Bad\20Request\
Content-Length:\200\
Co
SF:nnection:\20close\
\
")%r(SSLSessionReq,42,"HTTP/1\1\20400\20Ba
SF:d\20Request\
Content-Length:\200\
Connection:\20close\
\
")%
SF:r(Kerberos,42,"HTTP/1\1\20400\20Bad\20Request\
Content-Length:\2
SF:00\
Connection:\20close\
\
")%r(SMBProgNeg,42,"HTTP/1\1\20400\SF:x20Bad\20Request\
Content-Length:\200\
Connection:\20close\
\
SF:
")%r(X11Probe,42,"HTTP/1\1\20400\20Bad\20Request\
Content-Lengt
SF:h:\200\
Connection:\20close\
\
")%r(FourOhFourRequest,21E,"HTTP
SF:/1\1\20401\20Unauthorized\
WWW-Authenticate:\20Digest\20realm=\
SF:null\,\20domain=\\,\20nonce=\q\EuvEgBAADjFi/BMECVLhKaavwkZ94O\,
SF:\20algorithm=MD5,\20qop=\auth\\
Content-Type:\20text/html;charse
SF:t=ISO-8859-1\
Cache-Control:\20must-revalidate,no-cache,no-store\

SF:Content-Length:\20279\
\

SF:tent-Type\\20content=\text/html;\20charset=ISO-8859-1\/>

HTTP\20ERROR
SF:\20401

Problem\20accessing\20/nice%20ports%2C/Tri%6Eity\tx
SF:t%2ebak\\20Reason:

\20\20\20\20Unauthorized

SF:>

");
==============NEXT SERVICE FINGERPRINT (SUBMIT INDIVIDUALLY)==============
SF-Port7547-TCP:V=6.00%I=7%D=9/28%Time=5427FCDA%P=i686-pc-linux-gnu%r(GetR
SF:equest,BF,"HTTP/1\0\20404\20Not\20Found\
TE:\20chunked\
Transf
SF:er-Encoding:\20chunked\
Content-Type:\20text/html\
\
58\
SF:l>
404\20-\20Not\20
SF:Found

\
0\
\
")%r(HTTPOptions,BF,"HTTP/1\0\
SF:20404\20Not\20Found\
TE:\20chunked\
Transfer-Encoding:\20chunke
SF:d\
Content-Type:\20text/html\
\
58\

404\20-\20Not\20Found
SF:l>
\
0\
\
")%r(RTSPRequest,BF,"HTTP/1\0\20404\20Not\20Found\SF:r
TE:\20chunked\
Transfer-Encoding:\20chunked\
Content-Type:\20
SF:text/html\
\
58\
SF:ody>
404\20-\20Not\20Found

\
0\
\
")%r(
SF:FourOhFourRequest,BF,"HTTP/1\0\20404\20Not\20Found\
TE:\20chunke
SF:d\
Transfer-Encoding:\20chunked\
Content-Type:\20text/html\
\\SF:n58\

404\20-
SF:\20Not\20Found

\
0\
\
");

Aggressive OS guesses: Netgear DG834G WAP or Western Digital WD TV media player (94%), AXIS 210A or 211 Network Camera (Linux 2.6) (92%), HP P2000 G3 NAS device (92%), Crestron XPanel control system (91%), Check Point SBox-200 firewall (89%), Check Point VPN-1 UTM appliance (89%), Linux 2.6.32 (89%), Android 2.2 (Linux 2.6) (89%), Linksys WRV54G WAP (89%), Tomato 1.27 - 1.28 (Linux 2.4.20) (89%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 0.045 days (since Sun Sep 28 14:15:53 2014)
Network Distance: 14 hops
TCP Sequence Prediction: Difficulty=263 (Good luck!)
IP ID Sequence Generation: All zeros

TRACEROUTE (using port 113/tcp)
HOP RTT ADDRESS
1 1.77 ms bb0-vlan50-th1.59-bdp.TeenTelecom.net (86.107.58.33)
2 1.82 ms interlink-routers.use.TeenTelecom.net (172.16.0.177)
3 3.80 ms interlink-routers.use.TeenTelecom.net (172.16.0.165)
4 3.82 ms bb3-v505-cb.nxdt.TeenTelecom.net (193.138.193.69)
...

OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/.

Nmap done: 1 IP address (1 host up) scanned in 212.01 seconds
Raw packets sent: 131236 (5.778MB) | Rcvd: 246 (12.816KB)

Job finished [2014-09-28 12:20:58]

suisse

probiere mal den Scan hier:

finde die Resultate intiutiver:

http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

daffy2

@suisse schrieb:

http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Der Scan sagt: "Gratulation, der Test hat keine Probleme gefunden.". Damit ist der Test zwar intuitiv, aber auch gleichzeitig arm an Detail.

Nett ist es auch - es ist ja auch durchaus legitim wenn Ports offen sind.

Ich frage mich halt, warum welche Ports auf "meiner" Internet-Box offen sind.

Ich betreibe übrigens keine nach aussen gerichteten Server oder (aktuell) VPN clients in meinem Intranet. Bis auf den "Zentralspeicher" sollte also eigentlich alles tot sein. Es sind aber vier Ports "da" (und selbst SMB verwendet weniger).

Wollte ich in den Paranoia-Modus verfallen, könnte ich sagen: "Ich bin juristisch verantwortlich für den sicheren Betrieb meines Netzes samt der Internet-Box - aber kann mangels Dokumentation nicht sagen, was passiert".

Tux0ne

TCP 113: Ident Port. Glaube nicht das die Internet Box einen aktiven Ident Deamon hat. Da ein Server eine ident Anfrage machen könnte, kann man diesen Port schliessen damit nicht zu lange auf eine Antwort des Clients gewartet werden muss.

Glaube nicht das Swisscom aktiv aus diesem Grund diesen Port schliesst. Vielmehr wird es eine default Einstellung des Subsystems sein.

TCP 1024: Wird für die "zentrale Speicherfunktion" sprich der Services welche die Box anbietet gebraucht.

TCP 7547: cwmp. Konfigurationsport der Provider.

TCP 15898: uU. ein Port welcher sich durch UPnP IDG geöffnet hat.