[Rika]

http://www.iks-jena....t/Firewall.html

1. Durchlesen und verstehen.
2. Am Ende sind Links zu wirklich brauchbaren Online-Portscans, die nicht mit Buzzwords um sich werfen und dein angebliches Risiko bewerten wollen.
3. Ja, es gibt die Ports von 1 bis 65535, wobei 1 bis 1024 meist für Dienste reserviert sind und unter Unix nur mit Root-Rechten verwendet werden können. Jeder Port ist per Default geschlossen und wird geöffnet, wenn er von einem Programm oder Dienst genutzt wird. Und wird wieder geschlossen, wenn er nicht mehr verwendet wird. Daten an einen offenen Port werden an das jeweilige programm weitergeleitet und können daher dazu dienen, ein fehlerhaftes Programm auszunutzen um den Rechner zu befallen. Geschlossene Ports antworten nur mit "Dieser Port wird nicht verwendet.". Was eine Firewall mit ihrem Stealth-Mist macht, ist nichts weiter als ein Verwerfen der Datenpakete. Damit werden alle in den Regeln der Firewall definierten Ports, egal ob offen oder geschlossen, nie eine Antowrt zurückliefern. Deshalb aber einige entscheidene Fragen:
1. Was ist so schlimm an geschlossenen Ports? Dass sie ein freundliches "Nein." zurückliefern, stat gar nicht zu antworten? Dann weiss der Gegenüber wenigstens woran er ist.
2. Macht es Spass dem gegenüber minutenlange Wartezeit aufzudrücken, bis er merkt: Ups, vertan. Ein versuchter Einbrecher wird eh alle Ports gleichzeitg abfragen, statt auf jeden einzelnen zu antworten.
3. Macht es Spass, dass ein Programm nicht funktioniert, weil der Server keine Verbindung zu dir aufbauen kann? Und du wegen den verworfenen daten auch nicht rausfinden kannst, woran es liegt?
4. Wäre es incht einfach besser, nicht gewünschte Programme oder Dienetse einfahc zu beenden, statt sie künstlich schützen zu wollen?

@Internetkopfgeldjäger:
Das Trojaner-Board ist schon seit langer Zeit voll mit dummen Script-Kiddys, Lamern und Pseudo-Sicherheitsexperten. Dort findet man kaum noch brauchbare Infos.

[Rika]

Zitat (simcard: 01.02.2004, 13:32)

Bevor ich es vergesse 
zitat: "Verborgene Ports sind die sichersten Ports. "Verborgen" bedeutet, dass Ihr Computer nicht auf Port-Anfragen reagiert. Er ist praktisch unsichtbar für Hacker, die das Internet nach potentiellen Angriffszielen durchsuchen. Dies ist ein sehr sicheres Ergebnis"

LOL. Verborgene Ports sind weder unsichtbar noch machen sie den Rechner unsichtbar. Jeder Half Open oder Null Scan beweist das Gegenteil.
Siehe auch die Online-Portscanner am Ende der de.comp.security.firewall FAQ.

Und da siehste mal wieder, was Symantec dir für einen Unsinn einreden will und wie wenig technische Kompetenz dahintersteckt.

[Meltdown]

Bei den meisten Leuten die hier jetzt gleich wieder anfragen, nehme ich mal
folgendes an: Die offenen Ports sind sicherlich ein geringeres Problem. Da wären
meist erst noch andere Maßnahmen angesagt, bevor wir uns irgendwelchen Ports
widmen.

[Meltdown]

Patches, Dienste abschalten, NetBIOS killen, alternativer Browser, Virenscanner,
lokale Sicherheitsrichtlinien, eingeschränkte Benutzer-Konten...

etc. pp

Ich will das nicht noch mal alles aufzählen. Das würde wieder ewig dauern...

[Rika]

Zitat (simcard: 01.02.2004, 14:50)

Zitat

Weißt du was? Mein Port 135 ist sperrhagelweit offen und ich brauche mit trotzdem nicht im Geringsten zu fürchten

Meiner übrigens auch (epmap), zumindest laut Test, dazu noch (bisher) folgende Ports:
389, 445(microsoft-ds) ,1002, 1025 (blackjack) 1720 (h323hostcall)
Hoffe, das ist kein Risiko? Weiß ja nicht, was das für Ports sind...
test läuft wie erwähnt, ohne Windows-Firewall und mit deaktiviertem Zone Alarm.

389 und 1002 sind ziemlich ungewöhnlich, 1025 hängt an 135 dran, 1720 könnte so ziemlich jede mögliche Software sein, aber zumindest 445 kriegt mand definitiv dicht. Dass er nicht dicht ist heisst, dass du ein ernstzunehmendes KOnfigurations- und dmit auch Sicherheitsproblem hast.

[Rika]

Zitat (simcard: 01.02.2004, 15:08)

Zitat

Patches

Immer aktuell!

Zitat

Dienste abschalten

?

Zitat

NetBIOS killen

Laut Sicherheitscheck keine Chance !

Zitat

alternativer Browser

Verwende fast immer Mozilla Firebird 0.7

Zitat

Virenscanner

Kaspersky Anti Virus Personal 4.5 Virenprüfung jeden Abend um 20uhr ! Automatische Updatesuche stündlich

Zitat

lokale Sicherheitsrichtlinien

Alle auf "mittel" - Active X nur das sichere Aktiviert.

Zitat

eingeschränkte Benutzer-Konten

Administratorkonto mit totsicheren Kennwort in der Art von &%("=?ddsi2244)))# geschützt! Eingeschränktes Konto aktiviert und zusätzlich eins mit Ádmin-Rechten welches ebenfalls so ein totsicheres Passwort hat (ich glaub ne Brute-Force Attacke brauch da 210 Billionen Jahre oder so)
Was noch *g*

1. Wenn du nicht mal weisst, was Dienste in Windows XP sind, dann HAST du ein ernsthaftes Sicherhietsproblem.
2. NetBIOS irgendwo vorhanden -> Ports offen gegenüber Nulll Scans -> Ausnutzung von Sicherheitsproblemen im Arbeitsstationsdienst.
3. Lokale Sicherheitsrichtline != IE-Sicherheitszonen

[Rika]

1. Ja, genau daran erkennt man dumme Portscanner (inklusive von Symantec).
Port 1025 kann sowohl von RCP als auch von irgendwelchen Programmen als auch von dem Trojaner "blackjack" genutzt werden. Dass jener bei Blackjack nur der Standardport ist und eigentlich immer abgeändert wird, ist diese Angabe somit 100%ig unzuverlässig. BTW, es ist der RPC-Dienst.

2. Wie man Port 135 dichtbekommt, nennt sich "DCOM deaktivieren" und dazu gibt's massenhaft Anleitungen im Netz.

3. Es heisst Microsoft, weil es von Microsoft kommt. Es ist Teil des DCOM-Systems, dann keiner braucht und keiner will und nur von Blaster&Co. genutzt wird -> deshalb: abschalten.

4. msconfig zu benutzen ist leichtsinnig: Weil da kann man sogar den RPC-Dienst selbst deaktivieren = der Tod deiner Windows-Installation. Systemsteuerung, Verwaltung, Dienste, dort solltest du hin. Und was jeder Dienst macht und welche man deaktivieren kann, wurde auch schon massenhaft im Netz niedergeschrieben.

5. Jaha, nennt sich WKRSRV-Blast und ist ein Trojaner, der genua einen solchen Bug nutzt. Genau wie bei Blaster hat Microsoft eigentlich laut genug vorher rumposaunt: Bitte installiert diesen Patch, der Bug könnte serh leicht für einen echten Wurm genutzt werden. Naja, zum Glück gab es keinen Blaster-Nachfolger, obwohl möglich.

6. Du verstehst nicht:
6.1. Bei den IE-Einstellungen alles auf deaktiviert setzen.
6.2. IE nicht benutzen.
6.3. Die Lokale Sicherheitsrichtline betrifft dein System selbst: Was User dürfen, was das System darf, welche grundlegende Konfiguration gilt, Netzwerksicherheit etc. In der LSR gibt es keine Einstellung "Mittel".


BTW, Port 8086 ist auch ziemlich ungewöhnlich. Was hast du denn alles laufen? Mach mal "netstat -a -n -o -p" und vergleiche die ProcessIDs mit denen im Taskmanager.
Und schon mal die anderen Portscanner probiert? Gerade NMAP und Null Scan sind wirklich interessant.

Dieser Beitrag wurde von Rika bearbeitet: 01. Februar 2004 - 15:43

[Rika]

Na prima, da glaubt einer immer noch, der IE sei das Maß aller Dinge. Ganz im Gegenteil, i.d.R. kommen alle Alternativbrowser mittlerweile besser mit kaputten Seiten zurecht als der IE.
Und so nebenbei, was nützt dir ein toller Browser, der mit einem einfachen Hyperlink deine Platte formatiert?

Dass sich das Fenster wieder schließt, ist normal - schon mal daran gedacht, dass Programm direkt in der Konsole zu starten? Dass sich die Konsole nicht mehr schließt, nachdem das Programm beendet wird? Herrje...

Dass DCOM deaktivieren noch etwas umfangreicher ist, hast du wohl noch nicht gelesen... BTW, was macht denn noch ZoneAlarm auf deinem Rechner? Runter damit!

Und linux-sec.net ist alles andere als unübersichtlich - per Default brauchst du nur den "Prob my srv"-Button zu klicken und los geht's...