[ShadowHunter]

Weil ich mir grad nochmal aus langeweile die CCC Vorlesung zu "Windows sicher machen" angeschaut habe, hab ich nochmal "netstat -ano" ausgeführt, während ich HydraIrc und Trillian laufen lasse.
Ergebnis:

Aktive Verbindungen

  Proto  Lokale Adresse		 Remoteadresse		  Status		   PID
  TCP	0.0.0.0:113			0.0.0.0:0			  ABHÖREN		 1256
  TCP	0.0.0.0:3062		   0.0.0.0:0			  ABHÖREN		 2524
  TCP	XX.XXX.XX.XXX:2788	 62.26.127.132:6667	 HERGESTELLT	 1256
  TCP	XX.XXX.XX.XXX:2789	 82.211.16.16:6667	  HERGESTELLT	 1256
  TCP	XX.XXX.XX.XXX:3063	 207.46.114.95:1863	 HERGESTELLT	 2524
  TCP	XX.XXX.XX.XXX:3064	 64.12.25.8:5190		HERGESTELLT	 2524
  TCP	XX.XXX.XX.XXX:3069	 205.188.1.116:5190	 HERGESTELLT	 2524
  UDP	0.0.0.0:1026		   *:*									1260
  UDP	127.0.0.1:1027		 *:*									1260
  UDP	192.168.0.1:53		 *:*									1260
  UDP	192.168.0.1:67		 *:*									1260
  UDP	192.168.0.1:68		 *:*									1260

Laut Reportage sollten auch IM keine Dienste anbieten -> 0.0.0.0 nicht zulassen.
Jetz wollte ich fragen, kann ich diese einträge blocken? oder nein da ich sie zwingend brauche.
Danke 8) und entschuldigt meine Unwissenheit

[Rika]

0.0.0.0:113 ist Ident, das brauchst du für IRC

0.0.0.0:3602 ist IIRC MSN und muss sein, damit es auch funktioniert. (Definitiv, kein IM-Dienst kann sich ein Push über eine permanente TCP-Verbindung leisten!)

0.0.0.0:1026 könnte der DNSCache-Dienst sein, wie wär's mal mit "netstat -anob"?

[ShadowHunter]

Zitat (Rika: 16.04.2006, 18:19)

0.0.0.0:113 ist Ident, das brauchst du für IRC

0.0.0.0:3602 ist IIRC MSN und muss sein, damit es auch funktioniert. (Definitiv, kein IM-Dienst kann sich ein Push über eine permanente TCP-Verbindung leisten!)

0.0.0.0:1026 könnte der DNSCache-Dienst sein, wie wär's mal mit "netstat -anob"?

Somit die ersten beiden zwingend notwendig für IRC und MSN/ICQ.
Sicher eine gewisse Sicherheitslücke, denke aber tolerierbar, verzichten möchte ich nicht.
Nutze extra HydraIRC für IRC statt Mirc jetzt und Trillian wird bald Miranda weichen

Naja DNS hab ich eigentlich komplett deaktivert werd aber nach abschlossenen DL's mal nur die 2 Programme laufen lassen und -anob ausführen und schaun!

edit:

Zitat

C:\Dokumente und Einstellungen\User>netstat -anob

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status PID
TCP 0.0.0.0:113 0.0.0.0:0 ABHÖREN 396
[HydraIRC.exe]

TCP 0.0.0.0:1034 0.0.0.0:0 ABHÖREN 1060
[trillian.exe]

TCP XX.XXX.XX.XX:1035 207.46.0.61:1863 HERGESTELLT 1060
[trillian.exe]

TCP XX.XXX.XX.XX:1036 64.12.162.99:5190 HERGESTELLT 1060
[trillian.exe]

TCP XX.XXX.XX.XX:1044 62.26.127.132:6667 HERGESTELLT 396
[HydraIRC.exe]

TCP XX.XXX.XX.XX:1045 85.236.110.226:6667 HERGESTELLT 396
[HydraIRC.exe]

UDP 0.0.0.0:1026 *:* 1264
Es konnten keine Besitzerinformationen ermittelt werden.
UDP 127.0.0.1:1027 *:* 1264
Es konnten keine Besitzerinformationen ermittelt werden.
UDP 192.168.0.1:68 *:* 1264
Es konnten keine Besitzerinformationen ermittelt werden.
UDP 192.168.0.1:53 *:* 1264
Es konnten keine Besitzerinformationen ermittelt werden.
UDP 192.168.0.1:67 *:* 1264
Es konnten keine Besitzerinformationen ermittelt werden.

C:\Dokumente und Einstellungen\User>

ich tippe fast das auf port 1026 kommt noch vom ICS, was sich bis mitte der Woche eh durch den Linksys router erledigt hat!

Danke scho mal

Dieser Beitrag wurde von ShadowHunter bearbeitet: 17. April 2006 - 01:14