Offene Ports-und nun?

Hallo,

ich verwende ZoneAlarm Pro in der neuesten Version. Nur das eigene Netzwerk mit fest vergebener IP ist als sicher eingestuft, alles andere als Internet, Sicherheitsstufe hoch. Nun hat ein Portscanner aber folgende Posrts als offen gefunden:

25, 110, 135, 139, 143, 445, 1025, 3050.

25 und 110 gehören ja zum E-Mail, 143 zu Imap ( welches ich nicht benutze ). Welche Einstellung muss ich vornehmen, um die anderen Ports zu schließen oder werden diese gebraucht?

The undertaker

 

Bist du dir sicher, dass du deinen rechner gescannt hast?

wenn man VON AUSSEN die ports deines computers sehen kann, dann funktionirt deine pfw nicht.

wie sieht der rest von deinem netzwerk aus?

 

Hallo Michi0815,

die Angabe stammen von einem Portscanner, der auf meinem Rechner installiert ist. Die Securityseite von Symantec und die Seite vom BMI haben keine Beanstandungen gemeldet. Deshalb bin ich ja etwas verwirrt.

The undertaker

 

du hast doch das lokale netz als "sicher" eingestellt oder?

also lässt dein spielzeug die verbindung auch zu.

 

Scanne doch mal dein System von außen :

Siehe dazu hier : http://www.heise.de/security/artikel/38376

 

Genau.
Der Portscanner, der auf Deinem System installiert ist und Dein System scannt zeigt Dir natürlich kritische offenen Ports an.
Wobei ich dann doch mal fragen muß, was an offenen Ports kritisch ist, wenn kein Dienst dahinter läuft, der angreifbar sein könnte...?

Und wozu soll denn eine PFW gut sein? Um Ressourcen auszulasten?
Um was herzumachen?
Wohl eher nicht...

 

Ob ein Dienst angreifbar ist oder nicht läßt sich nicht von vornherein beantworten. Vor Blaster hätte man wahrscheinlich gedacht, dass der RPC-Dienst nicht angreifbar ist. War er aber dann eben doch. Das gilt natürlich grundsätzlich für jeden Dienst.

 

Mal überlegen...
Ich gehe davon aus, daß wir von einem Standardclient reden.
Da laufen hinter diesen Ports KEINE Dienste nach außen :-)
In der Regel sind sie (die Dienste!) nämlich nicht an den DFÜ-Adapter gebunden.
Es sei denn , amn kümmert sich überhaupt nicht um sein System...

Außerdem:
Was bringt Dir ein Portscan, auf den Rechner, auf dem der Scanner installiert ist?
Richtig. Nix!
Also was soll das dann?

 

ehem...
die ports SIND OFFEN! nachdem ports nicht von alleine auf gehen heisst das, dass sie von irgendeinem proggy aufgemacht wurden. (schätze mal es ist ein mail-viren-scanner oder was ähnliches) diese proggy sitzt dann hinter den ports und lauscht auf anfragen, die natürlich auch aus dem (lokalen) netzwerk kommen können. ohne firewall/router bist du damit - je nach dem wie das proggy hinter port 25 gecoded ist - möglicherweise ein offener mailserver - viel spass

 

Aber nicht nach aussen. Die online-Portscanner melden gar keine offenen Ports.
Er hat doch einen Portscanner installiert und damit das eigene System geprüft. Das geht so aber nicht.

 

mal die pfw abschalten und nochmal scannen.

im ernst: wir sind uns offenbar alle einig, dass portscans von/an den selben rechner ziemlich sinnlos sind.

 

Hallo,

also die Onlinescans melden Port 135 epmap, RPC als offen. Über den Virenscanner Avast läuft auch die Überwachung eingehender und ausgehender Mails. In ZoneAlarm Pro ist in der Internetzone jedenfalls alles gesperrt und nichts zugelassen. den Port 135 hab ich extra angegeben, ist aber dennoch offen. Weder Onlinescans von Bitdefeder oder Kaspersky, noch die installierten Virenscanner avast, ewido, F-prot, F-prot for win oder Stinger haben einen Schädling entdeckt. Auch Hijackthis hat nichts verdächtiges gefunden. Ich gehen also davon aus, dass das System derzeit clean ist. Ich werde mal den Mail-Wächter abschalten und dann neu scannen. Aber ich finde es trotzdem alamierend, dass ich den Port offensichtlich nicht schließen kann. Auf den Mail-Wächter würde ich nur ungern verzichten.

The undertaker

 

Wenn du auf SP 2 updatest (mal vorausgesetzt, du hast XP und nicht w2k), und die XP-Firewall aktivierst, dann ist der Port 135 von außen gesehen dicht.Ansonsten hängt das immer mit dem Taskplaner-Dienst zusammen (den man z.B. für das wichtige Prefetching benötigt).

Zur Port 135-Problematik bis zum SP 2 (welches den End-Point-Mapper modifiziert) siehe auch hier :

http://www.pcwelt.de/forum/showthread.php?t=31978

 

Hallo MaxMaster,

hier sind 2 Rechner mittels Crossover-Kabel verbunden. Der zweite Rechner läuft unter Win ME. Um ein Firmenprogramm auf beiden Rechnern nutzen zu können, war die Vergabe einer festen IP nötig. Zugang in das Internet erfolgt über DSL mittels einer zweiten Netzwerkkarte. Die DSL-Karte hat als Protokolle nur TCP/IP und DSL. NetBios läuft nicht, ebenso der Nachrichtendienst. Es sind alle verfügbaren Updates und Patches installiert. Was muss ich abschalten, damit dieser dämliche Port 135 nicht mehr sichtbar ist?

The undertaker

 

Hallo,

mittlerweile ist auch der Onlinescan von Symantec abgeschlossen. Keine Schädlinge gefunden. Poste mal das Log von Hijackthis:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\scardsvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
d:\Avast4\aswUpdSv.exe
d:\Avast4\ashServ.exe
C:\WINNT\system32\cJPCSC.exe
C:\Programme\Borland\Interbase\bin\ibguard.exe
C:\WINNT\system32\nvsvc32.exe
D:\Prevx Home\PXAgent.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Borland\Interbase\bin\ibserver.exe
D:\HotKeys\Ikeymain.exe
D:\Ami Mouse 250S Cordless\Amoumain.exe
D:\Avast4\ashDisp.exe
D:\ZoneAlarm\zlclient.exe
D:\Avast4\ashmaisv.exe
D:\Iconoid\iconoid.exe
D:\FRITZ!\FriFax32.exe
D:\Prevx Home\SAGUI.exe
D:\SFIRM32\SFAutomat.exe
D:\United Devices\UD.EXE
D:\United Devices\ud_7174683.exe
D:\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
D:\Opera7\opera.exe
C:\copy\hijackthis_198\HijackThis.exe

Nur dieser Port 135 ist einfach nicht zu zu kriegen.

The undertaker

 

@The Undertaker

Hast du dir meinen Link nicht durchgelesen ?

 

Genau das ist der Punkt, der ja scheinbar nicht verstanden wird...
Aber naja...

 

Hallo,

das Problem war zwar offensichtlich der Tasplaner, aber der wird gebraucht, kann also nicht deaktiviert werden. Ich hab aber, statt die einzelnen Einstellungen durchzusehen, kurzerhand die Firewall neu installiert und die Rechte des Taskplaners kastriert. Nun ist Ruh'. danke für Eure Hilfe.

The undertaker