Offene Ports-und nun?

Dieses Thema im Forum "Sicherheit" wurde erstellt von The Undertaker, 10. November 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. The Undertaker

    The Undertaker Halbes Megabyte

    Registriert seit:
    23. April 2002
    Beiträge:
    605
    Hallo,

    ich verwende ZoneAlarm Pro in der neuesten Version. Nur das eigene Netzwerk mit fest vergebener IP ist als sicher eingestuft, alles andere als Internet, Sicherheitsstufe hoch. Nun hat ein Portscanner aber folgende Posrts als offen gefunden:

    25, 110, 135, 139, 143, 445, 1025, 3050.

    25 und 110 gehören ja zum E-Mail, 143 zu Imap ( welches ich nicht benutze ). Welche Einstellung muss ich vornehmen, um die anderen Ports zu schließen oder werden diese gebraucht?

    The undertaker
     
  2. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
    Bist du dir sicher, dass du deinen rechner gescannt hast?

    wenn man VON AUSSEN die ports deines computers sehen kann, dann funktionirt deine pfw nicht.

    wie sieht der rest von deinem netzwerk aus?
     
  3. The Undertaker

    The Undertaker Halbes Megabyte

    Registriert seit:
    23. April 2002
    Beiträge:
    605
    Hallo Michi0815,

    die Angabe stammen von einem Portscanner, der auf meinem Rechner installiert ist. Die Securityseite von Symantec und die Seite vom BMI haben keine Beanstandungen gemeldet. Deshalb bin ich ja etwas verwirrt.

    The undertaker
     
  4. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
    du hast doch das lokale netz als "sicher" eingestellt oder? :D

    also lässt dein spielzeug die verbindung auch zu.
     
    TheD0CT0R gefällt das.
  5. buddy2002

    buddy2002 Megabyte

    Registriert seit:
    22. September 2004
    Beiträge:
    1.525
  6. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Genau.
    Der Portscanner, der auf Deinem System installiert ist und Dein System scannt zeigt Dir natürlich kritische offenen Ports an.
    Wobei ich dann doch mal fragen muß, was an offenen Ports kritisch ist, wenn kein Dienst dahinter läuft, der angreifbar sein könnte...?

    Und wozu soll denn eine PFW gut sein? Um Ressourcen auszulasten?
    Um was herzumachen?
    Wohl eher nicht...
     
  7. buddy2002

    buddy2002 Megabyte

    Registriert seit:
    22. September 2004
    Beiträge:
    1.525
    Ob ein Dienst angreifbar ist oder nicht läßt sich nicht von vornherein beantworten. Vor Blaster hätte man wahrscheinlich gedacht, dass der RPC-Dienst nicht angreifbar ist. War er aber dann eben doch. Das gilt natürlich grundsätzlich für jeden Dienst.
     
  8. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Mal überlegen...
    Ich gehe davon aus, daß wir von einem Standardclient reden.
    Da laufen hinter diesen Ports KEINE Dienste nach außen :-)
    In der Regel sind sie (die Dienste!) nämlich nicht an den DFÜ-Adapter gebunden.
    Es sei denn , amn kümmert sich überhaupt nicht um sein System...

    Außerdem:
    Was bringt Dir ein Portscan, auf den Rechner, auf dem der Scanner installiert ist?
    Richtig. Nix!
    Also was soll das dann?
     
  9. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
    ehem...
    die ports SIND OFFEN! nachdem ports nicht von alleine auf gehen heisst das, dass sie von irgendeinem proggy aufgemacht wurden. (schätze mal es ist ein mail-viren-scanner oder was ähnliches) diese proggy sitzt dann hinter den ports und lauscht auf anfragen, die natürlich auch aus dem (lokalen) netzwerk kommen können. ohne firewall/router bist du damit - je nach dem wie das proggy hinter port 25 gecoded ist - möglicherweise ein offener mailserver - viel spass :D
     
  10. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Aber nicht nach aussen. Die online-Portscanner melden gar keine offenen Ports.
    Er hat doch einen Portscanner installiert und damit das eigene System geprüft. Das geht so aber nicht.
     
  11. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
    mal die pfw abschalten und nochmal scannen. :D

    im ernst: wir sind uns offenbar alle einig, dass portscans von/an den selben rechner ziemlich sinnlos sind.
     
  12. The Undertaker

    The Undertaker Halbes Megabyte

    Registriert seit:
    23. April 2002
    Beiträge:
    605
    Hallo,

    also die Onlinescans melden Port 135 epmap, RPC als offen. Über den Virenscanner Avast läuft auch die Überwachung eingehender und ausgehender Mails. In ZoneAlarm Pro ist in der Internetzone jedenfalls alles gesperrt und nichts zugelassen. den Port 135 hab ich extra angegeben, ist aber dennoch offen. Weder Onlinescans von Bitdefeder oder Kaspersky, noch die installierten Virenscanner avast, ewido, F-prot, F-prot for win oder Stinger haben einen Schädling entdeckt. Auch Hijackthis hat nichts verdächtiges gefunden. Ich gehen also davon aus, dass das System derzeit clean ist. Ich werde mal den Mail-Wächter abschalten und dann neu scannen. Aber ich finde es trotzdem alamierend, dass ich den Port offensichtlich nicht schließen kann. Auf den Mail-Wächter würde ich nur ungern verzichten.

    The undertaker
     
  13. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Wenn du auf SP 2 updatest (mal vorausgesetzt, du hast XP und nicht w2k), und die XP-Firewall aktivierst, dann ist der Port 135 von außen gesehen dicht.Ansonsten hängt das immer mit dem Taskplaner-Dienst zusammen (den man z.B. für das wichtige Prefetching benötigt).

    Zur Port 135-Problematik bis zum SP 2 (welches den End-Point-Mapper modifiziert) siehe auch hier :

    http://www.pcwelt.de/forum/showthread.php?t=31978
     
  14. The Undertaker

    The Undertaker Halbes Megabyte

    Registriert seit:
    23. April 2002
    Beiträge:
    605
    Hallo MaxMaster,

    hier sind 2 Rechner mittels Crossover-Kabel verbunden. Der zweite Rechner läuft unter Win ME. Um ein Firmenprogramm auf beiden Rechnern nutzen zu können, war die Vergabe einer festen IP nötig. Zugang in das Internet erfolgt über DSL mittels einer zweiten Netzwerkkarte. Die DSL-Karte hat als Protokolle nur TCP/IP und DSL. NetBios läuft nicht, ebenso der Nachrichtendienst. Es sind alle verfügbaren Updates und Patches installiert. Was muss ich abschalten, damit dieser dämliche Port 135 nicht mehr sichtbar ist?

    The undertaker
     
  15. The Undertaker

    The Undertaker Halbes Megabyte

    Registriert seit:
    23. April 2002
    Beiträge:
    605
    Hallo,

    mittlerweile ist auch der Onlinescan von Symantec abgeschlossen. Keine Schädlinge gefunden. Poste mal das Log von Hijackthis:

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\scardsvr.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    d:\Avast4\aswUpdSv.exe
    d:\Avast4\ashServ.exe
    C:\WINNT\system32\cJPCSC.exe
    C:\Programme\Borland\Interbase\bin\ibguard.exe
    C:\WINNT\system32\nvsvc32.exe
    D:\Prevx Home\PXAgent.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\system32\ZoneLabs\vsmon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Programme\Borland\Interbase\bin\ibserver.exe
    D:\HotKeys\Ikeymain.exe
    D:\Ami Mouse 250S Cordless\Amoumain.exe
    D:\Avast4\ashDisp.exe
    D:\ZoneAlarm\zlclient.exe
    D:\Avast4\ashmaisv.exe
    D:\Iconoid\iconoid.exe
    D:\FRITZ!\FriFax32.exe
    D:\Prevx Home\SAGUI.exe
    D:\SFIRM32\SFAutomat.exe
    D:\United Devices\UD.EXE
    D:\United Devices\ud_7174683.exe
    D:\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
    D:\Opera7\opera.exe
    C:\copy\hijackthis_198\HijackThis.exe

    Nur dieser Port 135 ist einfach nicht zu zu kriegen.

    The undertaker
     
  16. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    @The Undertaker

    Hast du dir meinen Link nicht durchgelesen ?
     
  17. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Genau das ist der Punkt, der ja scheinbar nicht verstanden wird...
    Aber naja...
     
  18. The Undertaker

    The Undertaker Halbes Megabyte

    Registriert seit:
    23. April 2002
    Beiträge:
    605
    Hallo,

    das Problem war zwar offensichtlich der Tasplaner, aber der wird gebraucht, kann also nicht deaktiviert werden. Ich hab aber, statt die einzelnen Einstellungen durchzusehen, kurzerhand die Firewall neu installiert und die Rechte des Taskplaners kastriert. Nun ist Ruh'. danke für Eure Hilfe.

    The undertaker
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen