An alle Firewallverächter!

Dieses Thema im Forum "Sicherheit" wurde erstellt von UserError, 24. November 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hier mal ein "Hallo" an alle diejenigen, die aus guten Gründen keine Firewall benutzen.

    Immer wieder lese ich, dass es hier einen auserwählten und kompetenten Personenkreis gibt, der keine Firewall benutzt, weil sich der Computer so konfigurieren lässt, dass eine Firewall überflüssig wird.
    In diesem Zusammenhang kursiert hier im Forum auch immer wieder eine Seite, die eine Anleitung beinhaltet, wie unnötige Dienste unter XP und 2000 deaktiviert werden können.
    Nun, dieser Anleitung bin ich gefolgt und habe danach mal meine Firewall deaktiviert. Als ich über verschiedene Seiten einen Onlinescan meines Rechners durchführen ließ, wurden allerdings unzählige Ports als "open" oder zumindest "closed" angezeigt. Das mit Firewall übliche "stealthed" fehlte ganz. Ich weiß zwar, dass vieles einfach nur auf den Ideen der Marketing-Strategen von Symantec und Co. basiert, bin mir aber dennoch unsicher, ob mein Rechner nun auch ohne Firewall einigermaßen sicher ist.

    Kann nicht mal jemand eine wirklich gute und verständliche Anleitung zur richtigen Konfiguration der Netzwerksicherheit eines XP oder 2000 Systems bringen? Auch für jemanden, der kein Intranet unterhält? Wichtig wäre da, denke ich vor allem, welche Windowsdienste nun deaktiviert oder auf manuell gestellt werden können und welche Dienste definitiv NICHT deaktiviert werden dürfen.

    Wäre schön, wenn sich da mal jemand von den Kompetenten die Mühe geben könnte und einem verwirrten UserError aus der Klemme hilft! :-)

    Gruß, Marc
     
  2. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    ok, Steele. vielen herzlichen Dank!

    Hab mal alles eingetragen und der Wächter lässt dennoch mein System einigermaßen leben. Damit kann dann auch ICH leben.

    Gruß, Marc
     
  3. Gast

    Gast Guest

    Schau mer mal...
    EXE, COM, SCR, BAT, PIF, SHS, JS, VBS dann noch DOC, ZIP, RAR, ACE, SWF, MP3, PDF, VXD, DLL, OCX...der Nächste bitte...
     
  4. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hi Markus,

    erstmal Danke dür deine sehr hilfreiche Antwort.

    Die Testscans, die ich genutzt habe, findest du auf der ersten Seite dieses Threads. Lokal habe ich den Languardscanner 3.0 eingesetzt. Auch hier wurde mir neben den Ports 25 und 110 der Port 135 als "offen" angezeigt.

    AVKPOP hält den Port leider nicht nur dann offen, wenn Mails gescannt werden, sondern auch dann, wenn ich nicht mal ein Mailprogramm geöffnet habe. Von Natur aus bin ich wohl etwas paranoid, jedenfalls stört es mich gewaltig, wenn ich Ports offen habe.

    Dass KAV auch TheBat! überwacht, hätte ich merken müssen. Leider ist mir erst durch dein Posting aufgefallen, dass man in diesem Mailprogramm das Antiviren Plugin aktivieren kann.

    Leider kann ich nicht alle Dateitypen durch einen Virenscanner überwachen lassen, da ich einen ollen Pentium 2 mit hochgetakteten 400 MHZ mein Eigen nennen muss. Der Performanceverlust ist unerträglich, wenn der Wächter geladen ist. Bei KAV dauert es geschlagene 2 Minuten, bis sich ein einfaches Programm wie der Total Commander geöffnet hat. Auch unter AVK dauert es zu lange. Erst wenn ich unter benutzerdefiniert nur bestimmte Dateitypen scannen lasse, wird es erträglich. Je mehr ich nehme, desto langsamer wird logischerweise mein Rechner. Deshalb ist es mir wichtig, nur die nötigsten Dateitypen in den Hintergrundscan aufzunehmen. Demnach wird vielleicht klar, warum mich diese wichtigsten Dateitypen besonders interessieren! :-)

    Gruß, Marc
     
  5. Gast

    Gast Guest

    Ob nun das eine oder andere (ich kanns auch nicht nachprüfen, da ich zu faul bin, extra ne T-Online-IP anzupingen) spielt doch keine Rolle.
     
  6. Gast

    Gast Guest

    Hallo Marc!

    &gt;<I>den Fehler kann ich nicht finden. Port 135 bleibt geöffnet.</I>

    Hmmm... schon mal lokal gescannt / überprüft? Du benutzt zu Testzwecken derzeit welchen Scan?

    &gt;<I>Zur Zeit habe ich noch GData Antiviren Kit 11 pro drauf. Leider hält mir dieses Programm durch den Mailscanner AVPOP den Port 110 permanent offen, was ich durch nichts verhindern kann.</I>

    Doch - durch Abschalten der Mailkontrolle. ;-) Aber: ich sehe darin keine Problematik, schließlich hält ja nur die Anwendung für sich den Port offen. :-) Das wäre aus meiner Sicht also kein Grund, den AVK nicht mehr zu nutzen.

    Ein Grund für mich, von AVK direkt zu KAV zu wechseln wären lediglich der bessere Support und die täglichen Signaturenupdates.

    Zwar fällt dann die Mailkontrolle weg, aber darauf lege ich persönlich eh keinen Wert, zumal ich ein sicheres eMail-Programm nutze, und von daher keine Schwierigkeiten hinsichtlich Viren-/Wurmbefall auf mich zukommen. Davon unberührt ist ja zudem der KAV-Hintergrundscanner stets aktiv, sodass bei bekannten Würmern eine Infektion ausgeschlossen wäre.

    &gt;<I>Wie sieht es mit Kaspersky AV pro 4.0 aus? Kann dieses Programm wirklich NUR Outlook überwachen</I>

    Nein, AFAIK auch TheBat! Aber imho brauchst Du nicht die teure Pro-Version zu nehmen - die 4.0 Personal reicht völlig aus.

    &gt;<I>oder ist es so zu konfigurieren, dass es auch Mozilla Mail überwacht? Outlook habe ich schon vor langer Zeit verbannt!</I>

    Nein, die Mails werden nicht bei Abruf gescannt. Schalte halt in Mozilla Scripting für Mails ab, und gut ist, es kann nichts passieren (natürlich solltest Du Dateianhänge nicht einfach ungeprüft ausführen, aber das halte ich für selbstverständlich. :-))

    &gt;<I>Gibt es Einstellungen, die den Überwachungsmonitor etwas schneller arbeiten lässt?</I>

    KAV? Ja, z.B. den Scan der Mailarchiv-Datenbanken deaktivieren.

    &gt;<I>Welche Dateitypen sollten in jedem Fall überwacht werden?</I>

    Ich lasse "alle" überwachen, habe aber z.B. besagte Archive für den Scan ausgeschlossen. Damit geht es superflink. :-)

    Grüße, Markus
     
  7. ReneW

    ReneW Megabyte

    Registriert seit:
    28. Mai 2000
    Beiträge:
    2.486
    Bei mir ist laut den beiden "Testseiten" von Dir der Port 110 trotz NAV Mailüberwachung geschlossen. Sehe ehrlich gesagt auch keinen Grund warum wie bei Dir ständig offen sein soll.
     
  8. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    ... wenn ich da mal kurz unterbrechen dürfte...

    also, Steele, den Fehler kann ich nicht finden. Port 135 bleibt geöffnet. Jetzt beginne ich langsam, mich selbst für ein bisschen dumm zu halten! :-(

    Nichtsdestotrotz in diesem Zusammenhang eine andere Frage: Nachdem ich kurz davor bin NIS von meinem System zu verbannen, soll jetzt auch NAV dran glauben. Zur Zeit habe ich noch GData Antiviren Kit 11 pro drauf. Leider hält mir dieses Programm durch den Mailscanner AVPOP den Port 110 permanent offen, was ich durch nichts verhindern kann. Wie sieht es mit Kaspersky AV pro 4.0 aus? Kann dieses Programm wirklich NUR Outlook überwachen oder ist es so zu konfigurieren, dass es auch Mozilla Mail überwacht? Outlook habe ich schon vor langer Zeit verbannt!

    Gibt es Einstellungen, die den Überwachungsmonitor etwas schneller arbeiten lässt? Welche Dateitypen sollten in jedem Fall überwacht werden?

    Sorry, wenn ich dich nerve mit meinen ununterbrochenen Fragen, dann sag es mir, ok?

    Gruß, Marc
     
  9. Zirkon

    Zirkon Megabyte

    Registriert seit:
    28. November 2001
    Beiträge:
    1.210
    Ich kanns im Moment leider nicht ausprobieren, da ich hinter einer FW sitze, die ICMPs blockt, aber kriegt man von T-Online-IPs, die nicht vergeben sind, wirklich ein "Host unreachable" zurück oder nicht auch einfach nen package loss?
     
  10. Gast

    Gast Guest

    Schrieb ich doch schon. Du solltest dich ein wenig mit den Netzwerkprotokollen beschäftigen.
     
  11. Zirkon

    Zirkon Megabyte

    Registriert seit:
    28. November 2001
    Beiträge:
    1.210
    Und wie soll der Pinger jetzt wissen, ob da wirklich ein Rechner dranhängt oder die IP momentan nicht vergeben ist?
     
  12. Gast

    Gast Guest

    Und was bitte passiert, wenn es auf einen Ping keine Anwort, also auch kein RST gibt? Genau. Es wird weiter gepingt-&gt;unnötiger Traffic + Erkenntnis für den Pinger, der auch kein "Host unreachable" erhält: Aha - da ist ein ganz Schlauer mit Firewall.
     
  13. Gast

    Gast Guest

    Was 135 betrifft: Es geht, wenns bei dir nicht geht, hast du was übersehen, sorry...mehr kann ich dazu nicht sagen.
    Was ICMP betrifft, hast du mich falsch verstanden. Du solltest die Erklärungen zu ICMP lesen. Wieso willst du ICMP verhindern? Was ist daran "böse" oder gefährlich?
     
  14. Zirkon

    Zirkon Megabyte

    Registriert seit:
    28. November 2001
    Beiträge:
    1.210
    Mit Stealth meint er wohl, daß eine vernünftig konfigurierte Firewall (personal firewalls gehören nicht dazu, eine richtige Firewall läuft auf einem separatem Rechner mit NAT-Routing) keine Pings zurückgibt.
     
  15. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hi Steele,

    tut mir leid, aber auch nachdem ich nun 2 Mal meine Einstellungen überprüft habe und definitiv nach Anleitung vorgegangen bin, schaffe ich es nach wie vor nicht, meinen Port 135 und 8 dicht zu bekommen. Gibt es sonst noch Vorschläge?

    Gruß, Marc
     
  16. Gast

    Gast Guest

    Der letzte Link war kurzzeitig fehlerhaft, hab ihn dann korrigiert. Versuchs nochmal, ebenso Port 135. Irgendwas musst du wohl übersehen haben.
     
  17. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hi Steele,

    das mit Port 445 hat geklappt. Ist mir wohl beim ersten Mal durchgegangen.

    Den ersten Tipp (Port 135) hatte ich schon mal durchgeführt und auch diesmal brachte es keinen Erfolg.

    Dein Link zur Lösung von Port 8 war leider tot. Bekam keine Verbindung. Nachtrag: War doch nicht tot! Aber ich finde dort keine Anleitung zum Deaktivieren von in und out!

    Naja, aber immerhin nähere ich mich dem Zustand, endlich ohne Firewall auskommen zu können. Noch 2 Ports... nur noch 2 Ports! :-)

    Danke auf jeden Fall schon mal.

    Marc
    [Diese Nachricht wurde von UserError am 25.11.2002 | 01:06 geändert.]
     
  18. Gast

    Gast Guest

    Port 135:
    http://www.kssysteme.de/htdocs/documents/wxpports.shtml#xp2
    http://www.kssysteme.de/htdocs/documents/w2kports.shtml#w2kmsds

    Port 445:
    http://www.kssysteme.de/htdocs/documents/wxpports.shtml#xp6

    Port 8 ICMP:
    http://www.protecus.de/Firewall_Security/icmp.html
    [Diese Nachricht wurde von Steele am 25.11.2002 | 00:44 geändert.]
     
  19. UserError

    UserError Halbes Megabyte

    Registriert seit:
    14. Januar 2002
    Beiträge:
    670
    Hi Steele,

    Zu 1.)
    Folgende Ports waren bei einem Scan als "open" gekennzeichnet:

    Port 135 RPC
    Port 445 MSFTDS

    Gescannt unter:

    https://grc.com/x/ne.dll?bh0bkyd2

    Zusätzlich noch

    Port 8 ICMP

    Gescannt unter:

    http://scan.sygatetech.com/quickscan.html

    Zu 2.) Mehr als "closed" will ich ja nicht! Das Phänomen "stealthed" hattest du mir ja schon mal erklärt.

    Gruß, Marc
    [Diese Nachricht wurde von UserError am 24.11.2002 | 23:18 geändert.]
     
  20. Gast

    Gast Guest

    1. Ein Port wird als OPEN bezeichnet, wenn er durch einen Dienst geöffnet wird. Also welche Ports wurden denn bei welcher Art Scan auf welcher Seite als OPEN genannt?
    2. Ein Port wird als CLOSED bezeichnet, wenn kein Dienst ihn geöffnet hat. Was willst du denn MEHR???
    3. ES GIBT KEIN STEALTH. (siehe auch Osterhase, Weihnachtsmann, 100% sichere Firewall, fehlerfreie Software)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen