Port 135 epmap -> DCE Endpoint Resolution ???

#1 Hallo Leute !

Ich hab mal ne Frage.
Wenn ich meine IP mit dem Languard Network Scanner
scanne, bekomme ich das Ergebnis, daß mein "Port 135
epmap -> DCE Endpoint Resolution" offen ist!
Kann mir jemand sagen für was dieser Port ist,
und von welchen Programm er vielleicht aufgerufen wird....?
Vielen Dank schon mal im voraus!


Michael

#2 Port 135 ist der vermutlich in Suchmaschinen meist gesuchte und für Anwender von Firewalls gehasste Port, weil er bei Sicherheits-Scans geöffnet ist und scheinbar rätselhafte Dinge macht. Gefährlich ist er nicht, denn er gehört zur Gruppe der NetBIOS Ports, die durchaus sinnvolle Funktionen zur Verfügung stellen, allerdings auch für Angriffe genutzt werden können

Den Rest gibt es hier zum lesen: http://www.bluemerlin-security.de/Sicherheit_Port135_schlie%DFen_160302.php3

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Noch was zu Port 135
http://pub15.ezboard.com/fsecurityboardsfrm6.showMessage?topicID=610.topic
Klasse Thread mit weiteren Links
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Ich möchte an dieser Stelle noch ausdrücklich davor warnen den Dienst unter Windows2000 zu deaktivieren. Es führt sehr warscheinlich zu Komplikationen, die sich über die normale Windows-Oberfläche nicht mehr beheben lassen !
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Ich bitte um genauere Ausführunge Joschi!

Und der Link scheint nicht zu funktionieren! Check mal bitte!

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 16 andere Dienste sind vom RPC-Dienst abhängig. Wird RPC deaktiviert
werden nicht nur die anderen Dienste in Mitleidenschaft gezogen, (was man bei manchen sicher verkraften könnte). Zahlreiche Funktionen, u.a. das Anzeigen der Symbole der Netzwerkverbindungen und damit deren Bearbeitungsmöglichkeit, bis hin zum Scheitern der Internetverbindung.
Entscheidend ist, dass sich die "Eigenschafts-Fenster" der einzelnen Dienste im "Dienste Snap-In" nicht mehr anzeigen lassen. Ein deaktivierter Dienst lässt sich
innerhalb dieser Konsole nur über dieses Eigenschafts-Fenster wieder starten, bzw. Startart auf manuell/automatisch setzten. Man steckt also in der Zwickmühle.
Es bleibt nur der Weg über die Wiedeherstellungskonsole, in welcher man mit dem "enable"-Befehl die Startart der Dienste beeinflussen kann.
Ergo: RPC auf manuell setzen stellt kein Problem dar, lediglich vom Deaktiviern würde ich abraten.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#7 Ok, man soll ja auch nicht RPC deaktivieren, daß wäre wahrlich fatal! Wenn Du Netbios over TCP/IP deaktivierst, reicht das völlig aus. Port 135 sollte damit auch geschlossen werden.
Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#8 Ich selbst habe nichts der gleichen vor. Erwähnte es nur, da ich selbst den Link zu dem Thread eines ez-Boardes gesetzt hatte, in dem u.a vom Beenden des RPC die Rede ist um Port 135 letztlich dicht zu machen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 ich habe netbios complett deaktiviert und port 135 ist immer noch da.
ausserdem kann man die dienste in der registry wieder aktivieren...
hklm/system/currentControllSet/Services
den dienst suchen bei start (REG_DWORD) die zahl verändern 2 ist automatisch und 3 ist deaktiviert (bin jetzt nicht ganz sicher wg. den zahlen)

#10 Die Anleitung, die "bluemerlin-security.de" zum schließen des Port 135 anbietet ist schlicht unbrauchbar, vermutlich haben sie es selbst nie getestet, was sie da geschrieben haben. Port 135 hat nichts mit Netbios zu tun.
Steve Gibson schreibt auf grc.com davon, daß sich dieser Port nicht schließen lässt- auch falsch
Folgendes Vorgehen um 135 zu deaktivieren:
- Start--> Ausführen und DCOMCNFG.EXE eingeben.
- Auf der Registerkarte "Standardeigenschaften" den Haken bei DCOM entfernen
- unter "Stabdardprotokolle" alle Einträge löschen.

Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11

Code

Internet
    |
    |
    |
    |
Firewall
    |
    |
    |
    |
Rechner

Auf der Firewall 135:139 sperren (wobei : == bis ist : sprich 135-139)
Eine Bessere Lösung gerade bei SoftwareRoutern wäre folgendes

Auf der Firewall für
192.168.x.x 135:139 freigeben
x.x.x.x 135:139 sperren

wobei 192.168 dein Privates LAN ist, was auch gut 10.x.x.x und/oder 172.16.x.x sein kann


Ich bevorzuge diese Lösung, da ich Netbios over TCP/IP benötige


mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#12 Wie jetzt? Hat Port 135 mit NetBIOS zu tun oder net? Und soll man es nun schließen oder nicht ?

#13 Wenn Du Netbios deaktivierst, bleibt Port 135 (DCE endpoint resolution) nachwievor aktiv. Nach meiner Logik gehört es nicht zu den NetBios-Diensten.
Ich würde den Dienst deaktivieren.
josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#14 Port 135 gehört auch nicht zu Netbios - er gehört zu RPC - Remote Procedure Call - wird aber oft zu NetBios gezählt.

Netbios ist 137-139

Port 445 gehört zu Microsoft-DS - im Prinzip SMB over TcpIp.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#15

Zitat

poiin2000 postete

Code

Internet
    |
    |
    |
    |
Firewall
    |
    |
    |
    |
Rechner

Auf der Firewall 135:139 sperren (wobei : == bis ist : sprich 135-139)
Eine Bessere Lösung gerade bei SoftwareRoutern wäre folgendes

Auf der Firewall für
192.168.x.x 135:139 freigeben
x.x.x.x 135:139 sperren

wobei 192.168 dein Privates LAN ist, was auch gut 10.x.x.x und/oder 172.16.x.x sein kann


Ich bevorzuge diese Lösung, da ich Netbios over TCP/IP benötige


mfg p2k

Sehr einleuchtend und leicht umsetztbar. Hat bei mir ohne probleme geholfen