Probleme mit BlackICE Protection

die datei und Druckerfreigabe deinstallieren hilft auch.
.oO(villeicht sollte ich auch mal "ipchains -I input -j DENY" machen das mein system keine offenen Ports mehr hat.)
UserError: weisst du eigentlich fuer was die Ports gut sind die du da schliesst?
wenn alle dicht sind kannst du z.b. per ICQ keine dateien mehr empfangen. du kannst ohne ein schelchtes gewissen zu haben port 1-1024 ausser Port 20 schliessen.
aber bavor du ein Port schliesst schau erst mal nach welche anwendung auf dem listet und beende die wenn dich der offene Port so stoert.
[Diese Nachricht wurde von Guinn3sS am 31.12.2002 | 18:23 geändert.]

 

hab ja inzwischen einen guten Hintergrundwächter!

 

However...Filesharing halt...

 

ich hatte Gründe, meinen Beitrag oben zu löschen! :-)

Aber nicht ganz richtig, Steele! Ich nutze eMule!

 

BTW: Du benutzt eDonkey? Na du musst ja wissen, was du tust....

 

Hallo Steele,

war mal gerade auf deiner HP und habe ein bisschen geschmökert. Habe die Erweiterung wahrgenommen.

Ehrlich gesagt, habe ich mal die gesamte Meldung gepostet, weil ich nicht wusste, was du für eine Analyse, bzw für eine verlässliche Aussage bezüglich meiner Systemsicherheit benötigst.

Letztere habe ich ja nun bekommen und ich danke dir für deine Mühe!

Gruß, Marc

 

Na DANN....ich dacht schon, es wäre was Ernstes...(übrigens hättest du ruhig die unwichtigen Dinge weglassen können)
Ist doch nur auf LISTENING. Wenn du exakt nach Vorschrift die Dienste deaktiviert hast (inklusive zwischenzeitlichem Neustart), dann sind die Ports dicht, auch wenn sie noch als ABHÖREN angezeigt werden. Habe übrigens deswegen nochmal meine Firewall-Seite erweitert und editiert.

 

ok, Steele, hier ist mal das Ergebnis :-) :


[gelöscht]

[Diese Nachricht wurde von UserError am 30.11.2002 | 19:23 geändert.]

 

Zu 1. Dass Steve Gibson von einem "impossible to close" Port spricht, spricht nicht gerade für ihn. Möglicherweise solltet ihr zwei euch mal kurzschließen SCNR

Diese Tests sind nur begrenzt sinnvoll. Obwohl ich definitiv weiß, dass mein Port 139 zu ist, wird er mir bei GRC und PCFLANK als offen angezeigt - definitiv UNSINN. Während GRC meinen Port 135 als CLOSED betrachtet, zeigt ihn PCFLANK als OFFEN!!! SYGATE wiederum erkennt bei mir 139 als offen und 135 als CLOSED....LOL!
Na watt denn nu? Mach mal ein gutes altes <B>netstat -an|more</B> und poste mal das Ergebnis.

 

*puh* Und ich dachte, ich hätte mir inzwischen mal ein bisschen Wissen angelesen! :-)

Also zum ersten Scan unter:

https://grc.com/x/ne.dll?bh0bkyd2

Ergebnis:

135
RPC
OPEN! (Remote Procedure Call) This impossible-to-close port appears in most Windows systems. Since many insecure Microsoft services use this port, it should never be left "open" to the outside world. Since it is impossible to close, you will need a personal firewall to block it from external access. Do it soon!

Zweiter Scan unter:

http://www.pcflank.com/test.htm

Ergebnis:

Danger!
The test found open port(s) on your system: 135
The test also found visible port(s) on your system: 21, 23, 80, 137, 138, 139, 1080, 3128


Dritter Test unter:

http://scan.sygatetech.com/prequickscan.html

Ergebnis:

Location Service 135 OPEN Microsoft relies upon DCE Locator service (RPC) to remotely manage services like DHCP server, DNS server and WINS server.

Alle Vorgänge habe ich, wie von euch beschrieben durchgeführt! Die Dienste habe ich deaktiviert. Alle deaktivierten Dienste habe ich darauf überprüft, ob sie noch im Hintergrund laufen. Alle waren ausgeschaltet.

Nerve ich? :-)

Gruß, Marc

 

Eben eben...das deute ich ja schon am 28.11. an, auch wenn ich da den von Marc irrtümlich genannten Port 139 ansprach.
Mit den drei Zustandsformen hast du zwar recht, aber vorher sind ja noch EINIGE andere Schritte zu erledigen und ich verwette mein goldenes Mousepad, dass Marc da etwas vergessen hat.

Also Marc...nu mal Butter bei die Fische!

 

Hallo Steele !

Auch ich habe da gewisse Zweifel.So ist mit z.B. nicht klar, wie man das mit dem Abschalten der Dienste bei Marc verstehen muß.Soweit ich weiß,gibt es nur drei Zustandsformen:Automatisch,Manuell und Deaktiviert. D.h.,mehr als Deaktivieren kann ich nicht.Was bedeutet da ein zusätzliches Abschalten ? Bei den Diensten wäre interessant zu erfahren, welche jetzt genau deaktiviert worden sind.Außerdem :Ist nur UDP 135 offen oder TCP 135 u n d UDP 135 ?

franzkat

 

<I>Dann scheint es aber an einer Besonderheit Deines Systems zu liegen.</I>
Und weil ich an solche Besonderheiten nicht glaube, poste doch mal bitte EXAKT die Meldung/Anzeige, die dich veranlasst zu glauben, Port 135 wäre noch offen.
Mit anderen Worten: WIE/WO überprüfst du die Ports und was wird auf deinem Bildschirm angezeigt?

 

Hallo Marc !

Dann scheint es aber an einer Besonderheit Deines Systems zu liegen.Ich habe gestern Abend das Schließen der Ports - extra für Dich ! :-) - mal auf meinem XP-Home-System durchgeführt,um sichergehen zu können, dass die Methode funktioniert.Und in der Tat waren am Ende der Prozedur beide Ports dicht.Zum Port 135 gibt es ja relativ viele Beiträge im Netz, da der UDP 135 auch für die Advertising-Attacken über den Messenger Service mißbraucht wurde.

franzkat

 

Hallo franzkat,

genau da liegt ja das Problem! Die von dir beschriebene Vorgehensweise hatte ich schon durchgeführt. Leider ließ sich durch diese Prozedur Port 135 nicht schließen. Auch das nochmal durchgeführte Abschalten der entsprechenden Dienste (hatte vorher die Dienste nur deaktiviert, jedoch nicht abgeschaltet), brachten keinen Erfolg.

Trotzdem danke für deine geduldigen Bemühungen, mir zu helfen! Ich weiß das sehr zu schätzen!

Gruß, Marc

 

Hallo Marc !

Noch mal zu Deinem ominösen Port 135.Zunächst mal ist es ja so, dass sowohl ein UDP Port 135 als auch ein TCP Port 135 geöffnet sein können.Dieser Port hat etwas mit den RPC-Funktionen des Rechners zu tun(Remote Procedure Control).Den TCP-Port schließt Du, indem Du mit dem Befehl dcomcnfg.exe die Komponentendienste aufrufst und dann über Computer|Arbeitsplatz|Aktion|Eigenschaften die Registerreiter Standardeigenschaften aufrufst ,den Haken vor DCOM....entfernst,Registerreiter Standardprotokolle aufrufst und die dort aufgeführten Protokolle löschst.Nach dem Neustart wirst Du nur noch den UDP Port 135 sehen, wenn Du mit netstat -an überprüfst.Den wirst Du los, wenn Du bei den Diensten den Nachrichtendienst deaktivierst.

franzkat
[Diese Nachricht wurde von franzkat am 30.11.2002 | 01:27 geändert.]

 

*Räusper*
Das steht doch bereits in der Überschrift der von dir verlinkten Seite.
Doppel-Sorry, aber lesen solltest du schon können...