Aus IT Forensic- oder Security Pentester Sicht? Damit wollte ich nur wissen, ob diese Informationen die ich an eine (scheinbar) unbekannte Gegenpartei sende ein Risiko fur mich darstellen kann.
Potentiell: Ja. Es kommt halt auf die Intentionen des Gegenüber an. Einem Feind *irgendeine* Information zukommen zu lassen (auch Existenz ist eine Information), ist potentiell gefährlich. Die Frage, die du dir an dieser Stelle stellen musst ist: Wie hoch sind die Mittel, die mein potentieller Feind einzusetzen bereit ist, um meine Verteidigung zu durchbrechen, und was erhofft er sich als Gewinn? Ist dieser Kosten-Nutzen-Faktor stark kostenintensiv und wenig nützlich, wird dein Feind dich nicht angreifen.
In deinem Fall: Nein, nicht gefährlich.
Zbsp. ob man anhand des Portes der in das Packet geschrieben wird, sich Informationen extrahieren lassen uber die OS, Services etc des Absenders.
Outgoing Ports: Nein, außerhalb deines direkten Netzwerks eher nicht.
Incoming Ports: Sehr stark. Windows wird beinahe immer RDP, SMB oder NetBIOS offen haben und auch derartige Pakete ins lokale Netz verschicken. Bei Linux ist SSH ein Kandidat. Außerdem sind die meisten Firewalls unter Windows DROP-Walls, d. h. man sieht als Angreifer/Scanner ein schwarzes Loch. Bei Linux ist REJECT normal, d. h. da kommt immer ein Nein zurück.
Ich denke mal an Banner-Grabbing.
Ja, da steht meist ziemlich viel drin, meist sollte das aber keine sicherheitsrelevante Info sein, sofern dein System up to date ist. Der Angreifer sieht halt gleich, was nicht funktionieren wird (weil Sicherheitslücke bereits gepatcht, aber das hätte er beim versuchten Exploit eh gesehen.
Ich denke da bspw. an cookies und bspw. Browser-Agents. Laufen die zusammen mit dem http auf den Port 80,8080,443?
Alle Kommunikation mit dem Browser läuft auf 80/443/8080. Cookies werden nur nie zum Server verschickt
Ich dachte da an Hubs und Switches.
Hubs und Switches ermöglichen nur Kommunikation und deren Steuerung, Sicherheit wird da noch lange nicht implementiert. Das ist erst mit Routern der Fall (und mit managed switches, aber da kommen wir grad wieder auf komplexen Untergrund).
Damit ich das richtig verstehe: Port geschlossen = Fort knox
Ja.
Also im prinzip eine .txt Datei. Passiert das auch mit/auf Port 80, 443 oder braucht es dann Port 21?
Nein, du lädst einen Datenstream, keine Datei. Der wird vom Apache2 (Webserver, Port 443) und den PHP-Seiten in die Datenbank gejagt. FTP hat damit nix zu tun (und der Port ist auch nicht offen, wenn du mal schauen möchtest).
Der Switch ist ja eigentich in der Data Link Schicht und kommt vor dem Router (oder sind die in Standart Heimnetze im Router integriert?)
Achtung, du verwechselst da was. Das OSI-Schichtenmodell hat nichts mit Priorität oder "vorher/nachher" zu tun, sondern ist ein Bedingungsmodell. Wenn kein Kabel da ist, dann kann ein Router auch nichts routen. Ein Router braucht also die Schichten 1 und 2, um überhaupt seiner Arbeit nachgehen zu können, kann aber logischerweise selbst beide darunterliegenden Schichten auch. Eine Netzwerkkarte zum Beispiel kann in Verbindung mit dem dahinter liegenden OS alles, von Kabel bis Anwendungsschicht, inklusive Routing, Data Link etc. Geh mal ein bisschen weg von dem Modell, in der Praxis hilft dir das selten weiter.
Ein Switch schiebt Pakete nur an den richtigen Adressaten, aber dazu muss der direkt an ihm hängen. Stell dir das vor wie ein Vorarbeiter, der die Arbeit für 8 Leute verteilt und immer wieder Antworten von diesen Leuten für jeweils andere Leute bekommt. Der nimmt das Brieflein entgegen, schaut nach, für wen es genau ist und schiebt das in genau dieses Fach. Ein Hub würde es Kopieren und einfach in jedes Fach werfen. Sanityprüfung macht keiner davon.
Da muss doch der ISP auch Ports offen haben oder wie muss ich mir das vorstellen?
Nicht wirklich. Das meiste dürfte auf Ebene 3 (Routing) stattfinden, abgesehen vom Anschauen, wohin das Paket genau soll. Ausnahme: Shared connections. Da wird dann mit NAT gearbeitet, das braucht Ports, um Zuordnungen zu ermöglichen. Da wäre aber glaub thom eher der richtige Ansprechpartner...
Gibt es eigentlich iwo einen Dienst, oder ein Programm womit man ein simples Packet an jmd. schicken kann und sieht, wie es auf der Welt anhand einer Weltkarte gewandert ist ("hopped")?
Obs das auch graphisch gibt, weiß ich nicht (wahrscheinlich schon), aber es gibt es auf jeden Fall fürs Terminal: traceroute.
Ist diese Eintrittskarte in der Checksum des Packets geschrieben, wo wird das validiert?
Die Eintrittskarte ist der Absender - der Port wartet ja auf ein Paket von a.b.c.d:443 - kommt da eines an, ist es eingeladen. Kommt eins von w.x.y.z:48 an, wurde das nie angefragt und wird verworfen (das ist glaub mit Firewalling am Besten erklärbar, weil da die Statuus der Pakete (NEW, ESTABLISHED, RELATED, INVALID) ne Rolle spielen. Das ist aber nicht ohne, merks dir einfach für den Anfang mal so, dass es einfach nicht geht, bis du ne solide Vorstellung hast, wie das mit Ports, IPs und Routing genau läuft.
Wenn ich IPs auf meinem PC sperre (White oder Blacklist) bspw. wegen eines SYN-Floods oder allg. wegen eines Traffic-DDos bringt es nicht viel wenn ich diese lokal sperre, die muss man auf dem Router sperren?
Wenn du einen SYN-Flood auf deinen PC bekommst, dann ist der entweder lokal oder du hast deinem Router dummerweise ne Wildcard-Weiterleitung auf deinen Rechner eingerichtet (Portforwarding) - eine eher doofe Idee. SYN-Floods sind normalerweise nur für Webserver interessant, weil SYN immer ein Paket des Status NEW ist, d. h. das allererste Paket, das zwischen zwei Kommunikationspartnern zum Aufbau einer Verbindung geschickt wird. Schon das zweite Paket ist ein SYN-ACK und damit RELATED.
SYN-Floods funktionieren, weil der Server für jeden SYN (also für jede Verbindung) einen Prozess ausforkt, und es gibt ein Maximum an Forks, die der Master gleichzeitig unterhalten darf. Ist das erreicht, kann kein weiterer SYN mehr angenommen werden, und der Dienst ist nicht mehr erreichbar. Der Angreifer schickt dabei en masse SYNs, erhält auch die SYN-ACKs vom Server, beantwortet die aber nie mit einem ACK, um die Verbindung tatsächlich aufzubauen. Er will ja gar keine Daten, er will nur den Dienst stören. Der Server bekommt also nie mehr eine Antwort, und nach einer definierten Zeit gibt er auf und killt den Fork, ohne dass jemals eine Verbindung zustande gekommen wäre. Damit ist wieder Platz für neue Verbindungs-Aufbauten mit einem neuen SYN.
Wie gesagt, nicht dein Problem, und weit entfernt von jedem Problem, das du in den nächsten 6 Monaten haben wirst. Niemand DoSt ein Heimnetzwerk, das macht einfach keinen Sinn, und funktionieren tut es auch nicht (weil der Router von außen keine SYNs akzeptiert, wenn du kein Portforwarding eingerichtet hast).
Ich geb dir mal nen kleinen Tipp, bevor wir uns hier weiter verzetteln: Du liest fleißig, das ist toll und macht mir auch Spaß. Das Problem dabei ist nur, dass du deinem Gehirn keine Zeit lässt, das angelesene Wissen tatsächlich zu verstehen - du stopfst grad nur und kommst entsprechend oft durcheinander. Manchmal ist weniger mehr. Lass mal Angriffsszenarien, Firewalling etc. erstmal außen vor, und bleib grad mal vielleicht bei TCP/IP fürs erste. Dann lernst du, wie eine Verbindung auf- und abgebaut wird, was Statuus sind, wie die Erwartungshaltung der Gesprächspartner über das nächste Paket ist etc. und vor Allem: Wo das auf welchen OSI-Schichten eine Rolle spielt. Wenn du das wirklich im Schlaf kannst und die Bedingungen dafür und Konsequenzen daraus verstehst, kannst du dich um Angriffswege schlau machen und auch mal mit telnet ne Verbindung zum Beispiel zu nem Mailserver aufbauen. Langsam anfangen, langsam steigern. Nicht alles auf einmal. Wir sind auch nicht als Meister vom Himmel gefallen, wir alle nicht.