Bedarf an Aufklärung zu Zone Alarm & offene Ports

#1 Hallihallo

ich habe vor mir eine Firewall zuzulegen und ziehe Zone Alarm in die nähere Auswahl, da ich nicht viel Ahnung von FW's habe.
Meine Frage an Euch: Bietet Zone Alarm wirklich einen umfassenden Schutz, oder empfehlt ihr eine andere einfach zu bedienende, preiswerte Firewall?
Und was hat es eigentlich mit den "offenen Ports" (von denen ich hier immer öfter lese) aufsich und wie schließe ich die?

entschuldigt mein Unwissen
luro

#2 @luro

Zu deinen "offenen Ports" könntest du mal die Suchfunktion benutzen, ich weiß schon gar nicht mehr wie oft wir das jetzt mit den blöden Ports gehabt haben - Aufjedenfall solltest du da was finden.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 Okay, ich habe brav nach den Ports gesucht und meinen Rechner mal von "Local Port Scanner" scannen gelassen.
Folgende Ports sind auf:
TCP port 445 open
TCP port 1002 open
TCP port 1025 open
TCP port 1720 open
Trojan port 135 open
Trojan port 1025 open
Trojan port 5000 open

Ich hoffe es sind keine gravierenden Sicherheitsmängel darunter!?
Bei meinem kleinen streifzug durch dieses Forum habe ich ein paar Links von Anleitungen zur Beendung der Windows Ports gefunden, die ich aber entweder nicht öffnen konnte, oder die mir unseriös erschienen.

Würde Zonealarm diese Ports automatisch schließen?

Falls sich jemand von Euch die Mühe machen würde mir genauer zu erklären wie ich die Ports auch so zu kriege wäre ich ihm megadankbar!

gruß luro

#4 Das sollte Dir weiterhelfen:

http://www.chip.de/forum/thread.html?bwthreadid=561773
http://www.ntsvcfg.de/
http://faq.underflow.de/

Nimm Dir mal was Zeit dazu.

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4

#5 @ luro

Kann mich brainbox nur anschließen.
Beende bzw. konfiguriere deine Dienste sicherer, die diese Ports öffnen, somit sind deine Ports geschlossen.

Zitat

da ich nicht viel Ahnung von FW's habe

Felix von Leitners Papers zum Thema "Personal Firewalls":
http://www.fefe.de/pffaq/halbesicherheit.txt
http://www.fefe.de/pffaq/

Wie PFWs umgangen werden...
http://home.arcor.de/nhb/pf-umgehen.html
http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
http://www.pcflank.com/art21.htm
http://www.computerbetrug.de/firewall/tunnel.php

...und die Verwundbarkeit eines Systems erhöhen können:
http://www.heise.de/newsticker/meldung/47316

und
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#6 Hi,
Cidre komplett zustimm

(by the way welchen Scanner haste denn drüberlaufen lassen?)
lokal erreichbar ist nicht gleich (oder != ) remote erreichbar

@Cidre
Jetzt hab ich wieder gute Links zusammen thx

#7 @ Xeper, brainbox, Cidre und Smaggmampf

millemillegrazie

vielen Dank Leute! Ich werde mich jetzt erstmal durch eure ganzen Links klicken und meinen Rechner hoffentlich dicht machen.
Werde mich wahrscheinlich später (mit einem besseren Wissen was FW's betrifft) nochmal melden.

Dankeschön nochmal
luro

#8 Hallo,
Eure links haben mir echt geholfen und ich empfehele jedem sich da auch mal durchzuklicken (dauert zwar etwas aber lohnt sich). Danke nochmal dafür.
Ich habe mich jetzt gegen eine Personal Firewall entschieden (in den links gibt es u.a. seitenlange Erklärungen, warum eine PF schwachsinnig ist) und jetzt sind auch alle meine Ports zu. Bis auf Port 2011 und ich habe nix dazu gefunden.

Wie kriege ich Port 2011 zu???

Ich habe mir alle Alternativen zu einer PF angesehen und benutze inzwischen keinen InternetExplorer oder Outlook mehr (stattdessen Mozilla) und ich habe mit Hilfe von XP anti-spy manche Dienste abgestellt (is ja irre, was da alles sendet). Trotzdem war das noch längst nicht alles. Meine Frage:

Brauche ich wirklich einen Virenscanner, Troanscanner, Ad-Aware und Spyware und wenn, welche Auswirkungen hätten die auf meine PC- und Internetnutzung (und könnte ich dann immernoch problemlos Downloads machen?)??

Okay, denke das wars erstmal. Hoffe Ihr könnt mir nochmals helfen.
Gruß Lukas

#9 Finde mit "ActivePorts" oder "TCPView" (mit Google suchen) heraus, welcher Prozess den Port öffnet. Port 2011 sagt mir gerade nix...

Firewalls sind übrigens nicht grundsätzlich schwachsinnig - nicht alles, was in den o.g. Links steht, ist die (volle) Wahrheit...

Ob du die restlichen Security-Programme brauchst, hängt in erster Linie von dir, deinem Verhalten und deiner Erfahrung ab. Downloads o.ä. werden nicht eingeschränkt, allerdings können residente Scanner (Wächter) deinen Rechner insgesamt etwas ausbremsen.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 Hi Lukas,

führe bitte mal die Links aus von forge77 und hole Dir z. B. TCPView. Dann poste bitte was das für ein Port ist (2011) und wofür er benutzt wird.
Ich vermute Du hast das Script „ntsvcfg“ installiert. Welche Stufe? Hast Du hiermit auch mal gescannt?
http://webscan.security-check.ch/test/lang=d/sid=4128d8d568e82f2c95575465c7063e9a
Es wundert mich schon das nach der Ausführung des Scripts noch ein Port offen ist. Zumindest bei Stufe 3.
Benutzt Du WLAN? (Vielleicht, aber nur vielleicht wird der Port dafür genutzt?!?)

Welchen Mozilla hast Du denn jetzt? Die Websuite 1.7.2 http://mozilla.kairo.at/ oder den Feuerfuchs 0.9.3 http://firefox.stw.uni-duisburg.de/ ? Ich persönlich benutze alle beide für den Fall das einer abschmiert (warum auch immer) und ich dann nicht mit dem IE ins Netz muß.
Du fragst:
„Brauche ich wirklich einen Virenscanner, Troanscanner, Ad-Aware und Spyware und wenn, welche Auswirkungen hätten die auf meine PC- und Internetnutzung (und könnte ich dann immernoch problemlos Downloads machen?)“

Ich würde das alles behalten. Man weiß nie auf welchem Weg es einen Mal erwischt. Dann bist Du froh wenn Du so was hast. Und außer AV (theoretisch) merkst Du von den Dingern nichts. AV benutzt oder besitzt den AntiVir Guard der permanent scannt. Muß er aber ja auch, wär sonst Quatsch.
Ich persönlich habe folgendes auf dem Rechner:
http://www.free-av.de/
(Täglich manuell Updaten! Keine Automatischen Downloads)
http://www.lavasoft.de/support/download/
http://www.safer-networking.org/en/download/index.html
http://vil.nai.com/vil/stinger/
http://www.rokop-security.de/board/index.php?showtopic=3867
http://www.computerbase.de/downloads/software/systemueberwachung/everest_systemanalyse/
(Version Everest Systemanalyse 1.10 Final laden)
http://www.chip.de/downloads/c_downloads_8830516.html
(Lowspeed Download wählen)

Das wär’s.

Wenn’s an was fehlt, Melden!

Brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4

#11 Hi
bei TCPview ist nix bei rumgekommen, aber bei einem anschließenden scan mit "local port scanner" habe ich bemerkt, dass der Port 2011 nicht mehr offen ist. Ich habe aber keinen blassen Schimmer warum aufeinmal (ist vieleicht vom Wetter abhängig).

@brainbox
Stimmt, ich habe das Scribt ntsvcfg installiert und es hat auch viele Ports geschlossen. Ich habe es mit der Netzwerkstufe (ich glaube Stufe 1) installiert, da ich mit einem, ich sach mal USB-Sender über einen Accespoint, der mit einem Router verbunden ist ins Internet gehe (also Wlan). Ich benutze die Websuit 1.7.2 von Mozilla und als ich mit deinem Scanlink (ist echt klasse) meinen PC mal hab attackieren lassen war auch alles in Ordnung:

Full Scan

Schritt 5 von 5: Auswertung

Beim Full Scan wurden 0 offene Dienste gefunden.
Das ist gut, denn dies bedeutet, dass ein potenzieller Angreifer bei einem
Angriffsversuch über die gängisten Eintrittsmöglichkeiten scheitern würde.

Es wurde eine Firewall entdeckt. (Ich hab keine Ahnung wo die herkommen soll)
Weitere durchgeführte Tests:

Ping Ihr System antwortet auf Ping Requests.Das ist grundsätzlich nicht schlecht, aber es gab in der Vergangenheit auch schon Probleme damit (z.b. Ping Of Death, damit konnte ein System mit nur einem Ping Request zum Absturz gebracht werden).Sie können die Sicherheit Ihres Systems verbessern indem Sie mit einer Firewall Ping (ICMP) Requests filtern.

OS Detection Die Wahrscheinlichkeit Ihr Betriebssystem richtig erkennen zu können liegt bei 25%
38%: HP JetDirect ROM A.03.17 EEPROM A.04.09
38%: HP JetDirect ROM A.05.03 EEPROM A.05.05
38%: HP JetDirect ROM G.05.34 EEPROM G.05.35
38%: HP JetDirect ROM G.07.02 EEPROM G.07.20
38%: HP JetDirect ROM G.07.19 EEPROM G.07.20

NetBIOS(Windows Netzwerk) Es ist nicht möglich via NetBIOS auf Ihr System zuzugreifen, da NetBIOS nicht aktiviert oder gefiltert ist.

SNMP Es ist nicht möglich via SNMP auf Ihr System zuzugreifen, da SNMP nicht aktiviert oder gefiltert ist.

Passwort Check Es ist nicht möglich via Telnet oder HTTP auf Ihren Router zuzugreifen, da weder Telnet noch HTTP erreichbar ist. Auswertung Ende

Der Port 445 ist schon seit immer auf und auch das Script hat ihn nicht geschlossen, daher bin ich bis jetzt davon ausgegangen, dass er für die Netzwerkverbindung zuständig ist. Das stimmt doch, oder?

Ich habe überigends Virenscanner, Trojanscanner, Ad-Aware etc. noch gar nicht installiert.
Aber falls ich das tuen sollte, könte ich diese dann problemlos auch wieder deinstallieren falls sie Ärger machen?

Gruß Lukas

#12 Hallo,

ich muß Dir schnell antworten, denn das darf nicht sein das Port 445 offen ist.
Schau hier:

http://www.google.de/search?q=cache:EpRBl4SCMOcJ:www.ntsvcfg.de/sp2_notes.html+Port+445&hl=de&lr=lang_de

http://www.google.de/search?q=cache:E8Roy28OYOgJ:www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.sasser.worm.html+Port+445&hl=de&lr=lang_de

Habe jetzt keine Zeit, nur das.

Melde mich wieder.

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4

#13

Zitat

Der Port 445 ist schon seit immer auf und auch das Script hat ihn nicht geschlossen, daher bin ich bis jetzt davon ausgegangen, dass er für die Netzwerkverbindung zuständig ist. Das stimmt doch, oder?

Bevor man sich etwas installiert sollte man schon genauer hingucken denn Finger die schneller sind als Gehirnzellen können am PC schmerzhafte Überraschungen bescheren

6.2 Alternativen zum Deaktiveren von microsoft-ds [Port:445]

Gruß
Ajax

#14 Ajax schreibt: "Bevor man sich etwas installiert sollte man schon genauer hingucken denn Finger die schneller sind als Gehirnzellen können am PC schmerzhafte Überraschungen bescheren."

Das kann ich nur 100% unterstützen.

@ luro: Ich hoffe Du bist jetzt nicht Sasser oder Korgo verseucht.
Kannst auch so prüfen welche Verbindungen genutzt werden:
Start ->Ausführen ->cmd ->OK ->netstat -an

Es gibt im Übrigen ein neues Script zum Erscheinen von XP/SP2.
http://www.ntsvcfg.de/ (v2.2_build1 vom 20.08.2004; 40,5 kb / 14,8 kb)

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4

#15 Okay, Ihr habt wahrscheinlich Recht, dass ich ohne allzuviel Ahnung etwas installiert habe, wozu man etwas mehr Ahnung haben muss. Werde mich demnächst besser erkundigen, bevor ich so etwas mache.
Aber der Port 445 ist nunmal selbst nach Installation des Skriptes (ich habe das neue Skribt und auch nur das) noch offen. Für mich war das bisher auch immer selbstverständlich und nicht weiter dramatisch, weil in der Anleitung zum Skribt auf www.ntsvcfg.de stand:

Zitat

1) LAN oder "/lan" Mit dieser Einstellung wird versucht, alle offenen Ports zu schließen. Einige Dienste wie "Automatische Updates" oder "Taskplaner" sowie SMB-Funktionen bleiben unberührt. Verwenden Sie diese Einstellung, wenn Sie auf Netzwerkfreigaben oder -drucker zugreifen müssen.Port 445 - SMB, wird für Netzwerkfreigaben über TCP/IP benötigt.

ich habe diese Einstellung wie gesagt installiert und dachte bisher das mit Port 445 müsse so sein, bis ich eben was über ihn gelesen habe.
Aber wie kriege ich ihn zu, ohne dass Netzwerkfreigaben oder -drucker nicht mehr funktionieren???

Vielen Dank für alles und auch schon mal im Voraus
Lukas