An alle Firewallverächter!

Hier mal ein "Hallo" an alle diejenigen, die aus guten Gründen keine Firewall benutzen.

Immer wieder lese ich, dass es hier einen auserwählten und kompetenten Personenkreis gibt, der keine Firewall benutzt, weil sich der Computer so konfigurieren lässt, dass eine Firewall überflüssig wird.
In diesem Zusammenhang kursiert hier im Forum auch immer wieder eine Seite, die eine Anleitung beinhaltet, wie unnötige Dienste unter XP und 2000 deaktiviert werden können.
Nun, dieser Anleitung bin ich gefolgt und habe danach mal meine Firewall deaktiviert. Als ich über verschiedene Seiten einen Onlinescan meines Rechners durchführen ließ, wurden allerdings unzählige Ports als "open" oder zumindest "closed" angezeigt. Das mit Firewall übliche "stealthed" fehlte ganz. Ich weiß zwar, dass vieles einfach nur auf den Ideen der Marketing-Strategen von Symantec und Co. basiert, bin mir aber dennoch unsicher, ob mein Rechner nun auch ohne Firewall einigermaßen sicher ist.

Kann nicht mal jemand eine wirklich gute und verständliche Anleitung zur richtigen Konfiguration der Netzwerksicherheit eines XP oder 2000 Systems bringen? Auch für jemanden, der kein Intranet unterhält? Wichtig wäre da, denke ich vor allem, welche Windowsdienste nun deaktiviert oder auf manuell gestellt werden können und welche Dienste definitiv NICHT deaktiviert werden dürfen.

Wäre schön, wenn sich da mal jemand von den Kompetenten die Mühe geben könnte und einem verwirrten UserError aus der Klemme hilft! :-)

Gruß, Marc

 

ok, Steele. vielen herzlichen Dank!

Hab mal alles eingetragen und der Wächter lässt dennoch mein System einigermaßen leben. Damit kann dann auch ICH leben.

Gruß, Marc

 

Schau mer mal...
EXE, COM, SCR, BAT, PIF, SHS, JS, VBS dann noch DOC, ZIP, RAR, ACE, SWF, MP3, PDF, VXD, DLL, OCX...der Nächste bitte...

 

Hi Markus,

erstmal Danke dür deine sehr hilfreiche Antwort.

Die Testscans, die ich genutzt habe, findest du auf der ersten Seite dieses Threads. Lokal habe ich den Languardscanner 3.0 eingesetzt. Auch hier wurde mir neben den Ports 25 und 110 der Port 135 als "offen" angezeigt.

AVKPOP hält den Port leider nicht nur dann offen, wenn Mails gescannt werden, sondern auch dann, wenn ich nicht mal ein Mailprogramm geöffnet habe. Von Natur aus bin ich wohl etwas paranoid, jedenfalls stört es mich gewaltig, wenn ich Ports offen habe.

Dass KAV auch TheBat! überwacht, hätte ich merken müssen. Leider ist mir erst durch dein Posting aufgefallen, dass man in diesem Mailprogramm das Antiviren Plugin aktivieren kann.

Leider kann ich nicht alle Dateitypen durch einen Virenscanner überwachen lassen, da ich einen ollen Pentium 2 mit hochgetakteten 400 MHZ mein Eigen nennen muss. Der Performanceverlust ist unerträglich, wenn der Wächter geladen ist. Bei KAV dauert es geschlagene 2 Minuten, bis sich ein einfaches Programm wie der Total Commander geöffnet hat. Auch unter AVK dauert es zu lange. Erst wenn ich unter benutzerdefiniert nur bestimmte Dateitypen scannen lasse, wird es erträglich. Je mehr ich nehme, desto langsamer wird logischerweise mein Rechner. Deshalb ist es mir wichtig, nur die nötigsten Dateitypen in den Hintergrundscan aufzunehmen. Demnach wird vielleicht klar, warum mich diese wichtigsten Dateitypen besonders interessieren! :-)

Gruß, Marc

 

Ob nun das eine oder andere (ich kanns auch nicht nachprüfen, da ich zu faul bin, extra ne T-Online-IP anzupingen) spielt doch keine Rolle.

 

Hallo Marc!

&gt;<I>den Fehler kann ich nicht finden. Port 135 bleibt geöffnet.</I>

Hmmm... schon mal lokal gescannt / überprüft? Du benutzt zu Testzwecken derzeit welchen Scan?

&gt;<I>Zur Zeit habe ich noch GData Antiviren Kit 11 pro drauf. Leider hält mir dieses Programm durch den Mailscanner AVPOP den Port 110 permanent offen, was ich durch nichts verhindern kann.</I>

Doch - durch Abschalten der Mailkontrolle. ;-) Aber: ich sehe darin keine Problematik, schließlich hält ja nur die Anwendung für sich den Port offen. :-) Das wäre aus meiner Sicht also kein Grund, den AVK nicht mehr zu nutzen.

Ein Grund für mich, von AVK direkt zu KAV zu wechseln wären lediglich der bessere Support und die täglichen Signaturenupdates.

Zwar fällt dann die Mailkontrolle weg, aber darauf lege ich persönlich eh keinen Wert, zumal ich ein sicheres eMail-Programm nutze, und von daher keine Schwierigkeiten hinsichtlich Viren-/Wurmbefall auf mich zukommen. Davon unberührt ist ja zudem der KAV-Hintergrundscanner stets aktiv, sodass bei bekannten Würmern eine Infektion ausgeschlossen wäre.

&gt;<I>Wie sieht es mit Kaspersky AV pro 4.0 aus? Kann dieses Programm wirklich NUR Outlook überwachen</I>

Nein, AFAIK auch TheBat! Aber imho brauchst Du nicht die teure Pro-Version zu nehmen - die 4.0 Personal reicht völlig aus.

&gt;<I>oder ist es so zu konfigurieren, dass es auch Mozilla Mail überwacht? Outlook habe ich schon vor langer Zeit verbannt!</I>

Nein, die Mails werden nicht bei Abruf gescannt. Schalte halt in Mozilla Scripting für Mails ab, und gut ist, es kann nichts passieren (natürlich solltest Du Dateianhänge nicht einfach ungeprüft ausführen, aber das halte ich für selbstverständlich. :-))

&gt;<I>Gibt es Einstellungen, die den Überwachungsmonitor etwas schneller arbeiten lässt?</I>

KAV? Ja, z.B. den Scan der Mailarchiv-Datenbanken deaktivieren.

&gt;<I>Welche Dateitypen sollten in jedem Fall überwacht werden?</I>

Ich lasse "alle" überwachen, habe aber z.B. besagte Archive für den Scan ausgeschlossen. Damit geht es superflink. :-)

Grüße, Markus

 

Bei mir ist laut den beiden "Testseiten" von Dir der Port 110 trotz NAV Mailüberwachung geschlossen. Sehe ehrlich gesagt auch keinen Grund warum wie bei Dir ständig offen sein soll.

 

... wenn ich da mal kurz unterbrechen dürfte...

also, Steele, den Fehler kann ich nicht finden. Port 135 bleibt geöffnet. Jetzt beginne ich langsam, mich selbst für ein bisschen dumm zu halten! :-(

Nichtsdestotrotz in diesem Zusammenhang eine andere Frage: Nachdem ich kurz davor bin NIS von meinem System zu verbannen, soll jetzt auch NAV dran glauben. Zur Zeit habe ich noch GData Antiviren Kit 11 pro drauf. Leider hält mir dieses Programm durch den Mailscanner AVPOP den Port 110 permanent offen, was ich durch nichts verhindern kann. Wie sieht es mit Kaspersky AV pro 4.0 aus? Kann dieses Programm wirklich NUR Outlook überwachen oder ist es so zu konfigurieren, dass es auch Mozilla Mail überwacht? Outlook habe ich schon vor langer Zeit verbannt!

Gibt es Einstellungen, die den Überwachungsmonitor etwas schneller arbeiten lässt? Welche Dateitypen sollten in jedem Fall überwacht werden?

Sorry, wenn ich dich nerve mit meinen ununterbrochenen Fragen, dann sag es mir, ok?

Gruß, Marc

 

Ich kanns im Moment leider nicht ausprobieren, da ich hinter einer FW sitze, die ICMPs blockt, aber kriegt man von T-Online-IPs, die nicht vergeben sind, wirklich ein "Host unreachable" zurück oder nicht auch einfach nen package loss?

 

Schrieb ich doch schon. Du solltest dich ein wenig mit den Netzwerkprotokollen beschäftigen.

 

Und wie soll der Pinger jetzt wissen, ob da wirklich ein Rechner dranhängt oder die IP momentan nicht vergeben ist?

 

Und was bitte passiert, wenn es auf einen Ping keine Anwort, also auch kein RST gibt? Genau. Es wird weiter gepingt-&gt;unnötiger Traffic + Erkenntnis für den Pinger, der auch kein "Host unreachable" erhält: Aha - da ist ein ganz Schlauer mit Firewall.

 

Was 135 betrifft: Es geht, wenns bei dir nicht geht, hast du was übersehen, sorry...mehr kann ich dazu nicht sagen.
Was ICMP betrifft, hast du mich falsch verstanden. Du solltest die Erklärungen zu ICMP lesen. Wieso willst du ICMP verhindern? Was ist daran "böse" oder gefährlich?

 

Mit Stealth meint er wohl, daß eine vernünftig konfigurierte Firewall (personal firewalls gehören nicht dazu, eine richtige Firewall läuft auf einem separatem Rechner mit NAT-Routing) keine Pings zurückgibt.

 

Hi Steele,

tut mir leid, aber auch nachdem ich nun 2 Mal meine Einstellungen überprüft habe und definitiv nach Anleitung vorgegangen bin, schaffe ich es nach wie vor nicht, meinen Port 135 und 8 dicht zu bekommen. Gibt es sonst noch Vorschläge?

Gruß, Marc

 

Der letzte Link war kurzzeitig fehlerhaft, hab ihn dann korrigiert. Versuchs nochmal, ebenso Port 135. Irgendwas musst du wohl übersehen haben.

 

Hi Steele,

das mit Port 445 hat geklappt. Ist mir wohl beim ersten Mal durchgegangen.

Den ersten Tipp (Port 135) hatte ich schon mal durchgeführt und auch diesmal brachte es keinen Erfolg.

Dein Link zur Lösung von Port 8 war leider tot. Bekam keine Verbindung. Nachtrag: War doch nicht tot! Aber ich finde dort keine Anleitung zum Deaktivieren von in und out!

Naja, aber immerhin nähere ich mich dem Zustand, endlich ohne Firewall auskommen zu können. Noch 2 Ports... nur noch 2 Ports! :-)

Danke auf jeden Fall schon mal.

Marc
[Diese Nachricht wurde von UserError am 25.11.2002 | 01:06 geändert.]

 

Port 135:
http://www.kssysteme.de/htdocs/documents/wxpports.shtml#xp2
http://www.kssysteme.de/htdocs/documents/w2kports.shtml#w2kmsds

Port 445:
http://www.kssysteme.de/htdocs/documents/wxpports.shtml#xp6

Port 8 ICMP:
http://www.protecus.de/Firewall_Security/icmp.html
[Diese Nachricht wurde von Steele am 25.11.2002 | 00:44 geändert.]

 

Hi Steele,

Zu 1.)
Folgende Ports waren bei einem Scan als "open" gekennzeichnet:

Port 135 RPC
Port 445 MSFTDS

Gescannt unter:

https://grc.com/x/ne.dll?bh0bkyd2

Zusätzlich noch

Port 8 ICMP

Gescannt unter:

http://scan.sygatetech.com/quickscan.html

Zu 2.) Mehr als "closed" will ich ja nicht! Das Phänomen "stealthed" hattest du mir ja schon mal erklärt.

Gruß, Marc
[Diese Nachricht wurde von UserError am 24.11.2002 | 23:18 geändert.]

 

1. Ein Port wird als OPEN bezeichnet, wenn er durch einen Dienst geöffnet wird. Also welche Ports wurden denn bei welcher Art Scan auf welcher Seite als OPEN genannt?
2. Ein Port wird als CLOSED bezeichnet, wenn kein Dienst ihn geöffnet hat. Was willst du denn MEHR???
3. ES GIBT KEIN STEALTH. (siehe auch Osterhase, Weihnachtsmann, 100% sichere Firewall, fehlerfreie Software)