Portscan nach deaktivierter Firewall

#1 Hallo,
ich habe mit dem Programm Windows Dienste abschalten, von www.dingens.org, eben diese abschalten lassen. Ich deaktivierte dann meine Firewall (ZoneAlarmfree).
Dann ließ ich online meinen Pc checken. Ergebnis:
Ports visible: 21, 23, 80, 1080, 3128

Trojan Ports visible: 27374, 12345, 1243, 31337, 12348.

Das diese Ports nun sichtbar sind, ist das "bedrohlich" oder nicht?
Wenn ja, welche Vorgehensweise wäre dann empfehlenswert? Und zwar ohne Zuhilfenahme meiner Firewall! Es muß doch auch ohne Firewall machbar sein.

Gruß Sandor

#2 Hallo Sandor.

Nein, es besteht kein Sicherheitsrisiko. ICMP Traffic wird nun lediglich rejected anstatt gedropt. Dein Host antwortet
jetzt auf Ping-Anfragen. Die Ports mögen zwar 'visible' sein, es fehlt jedoch ein Dienst dahinter. Somit bist du safe.

Sollten diverse Online-Scanner beharrlich auf einen "Stealth" Mode in Verbindung mit Werbung für eine
Firewall hinweisen, kannst du das getrost ignorieren.

Wenn du hingegen -aus welchen Gründen auch immer- Wert auf gedropte Pakete legst, kannst du zumindest
bei Win XP den XP'schen Paketfilter aktivieren. soweit ich weiss droppt dieser auch eingehenden ICMP Verkehr.

Gruß,

Sepia

#3 Sepia, ich danke dir für die Antwort.
Es ist genau wie du schreibst: der Online-Scanner will den Stealth haben und empfiehlt so ganz nebenbei eine Firewall. In diesem Fall Outpost. Es dreht sich anscheinend alles nur um das Verkaufen.

So, nun aber noch eine Frage: rejected bzw. gedropt - was verbirgt sich dahinter?
Welcher Unterschied besteht da? Wo kann ich mich da schlau machen oder hast du die Antwort für mich?

Gruß Sandor

#4 Drop:
Absender scannt deine Ports, deine Maschine verwirft diese Anfragen in's Nirvana, Absender erhält somit keine Antwort.

Reject:
Absender scannt deine Ports, deine Maschine sendet eine Bestätigung in der Art "Ja, bin online aber hier ist nichts!"
Absender erhält also eine Antwort.

Links habe ich aus dem Stehgreif leider keine zur Hand, aber Google sollte durch Eingabe von "drop reject ports"
oder "stealth firewall" usw. die gewünschten Treffer bringen.

Gruß,

Sepia

#5 Ja, das habe ich begriffen. Danke dir.

Darf ich noch was fragen? Also, ich habe einen Full Scan gemacht. Ergebnis:

offene Dienste: SMB (CIFS) 445 UDP
und
MS SQL Server (Monitor) 1434 UDP.

Wie könnte (dürfte) ich die denn nun noch schließen. Und was ist das überhaupt?


Ferner ist der PC pingbar. Mir wird empfohlen (ICMP) Ping Request per Firewall zu filtern. Wie geht das denn nun, bzw. geht das auch ohne Firewall?

Ich hoffe, daß sind nicht zu viele Fragen. Aber wenn es mir gelingt diese zu lösen, scheint mein PC auch ohne Firewall ausreichend "gesichert" zu sein. Das ist das, was ich erreichen möchte.

Gruß Sandor

#6 Probier mal zusätzlich einen anderen Portscanner (shields-up, pc-flank, sygate o.ä.), um das Ergebnis zu verifizieren. Kommt mir unwahrscheinlich vor, dass die o.g. Ports bei dir tatsächlich offen sind...
Außerdem solltest du bei solchen Dingen auch grundsätzlich mit lokalen Port-Mappern arbeiten (TCPView, netstat o.ä.), um ein "rundes Bild" zu erhalten. Solche Progs zeigen dir direkt an, welche Ports bei dir offen sind (allerdings auch nicht mit 100%iger Zuverlässigkeit.)

Pings zu filtern wird von vielen als schwere Sünde angesehen...
Die Gefahren durch Pings sind eher theoretischer Natur.
Ohne Portfiter (Firewall) geht das Ping-Filtern soweit ich weiss nicht.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#7 Ich kann da Forge77 nur zustimmen. Es sollten nach Abarbeitung von "Win32sec" eigentlich keine Ports aus
dem WAN erreichbar sein. Ausnahme könnte jedoch sein, wenn du das Programm mit der Option "Computer in einem
Netzwerk...(usw.)" gestartet hast. Leider teilst du nicht mit, welches OS du benutzt und ob du Mitglied in einem LAN
bist.

XP speziell:
Gegen die Nutzung der ICF (bzw. des Paketfilters) von XP spricht eigentlich nichts. Du darfst diese "Firewall" nicht mit
üblichen Dektop PFWs verwechseln. Selbst wenn du diese Art Software nicht verwenden möchtest, kannst du die ICF
bedenkenlos aktivieren. Sie blockt ausschliesslich ungewollten eingehenden Traffic, das jedoch tut sie sehr effektiv.
Ob sie, wie ich bereits erwähnte, auch ICMP Pakete dropt, kann ich nicht mit absoluter Gewissheit sagen (irgendwie
schwant mir dabei aber was ). Stealth Mode hin oder her: Eine zusätzliche Barriere ist sie auf jeden Fall.
Sollten deine genannten Ports wirklich offen sein bzw. irgendwelche Dienste lauschen auf diesen Ports
wären diese Ports durch die Nutzung der ICF ebenfalls 'zu'. ABER: Die Ursache ist dann noch nicht gefunden.

XP & 2000:
Den Port 445 solltest du mit den MS-Programmen "RPCcfg" und "DCOMcnfg" (<-nur W2K) dicht bekommen. Letzteres liegt 2000
bei, das andere Programm (auch für XP) bekommst du hier:
http://www.microsoft.com/windows2000/techinfo/reskit/tools/new/rpccfg-o.asp
Eine detailiertere Beschreibung bzgl. der Anwendung von "DCOMcnfg" ist hier zu finden:
http://ntsvcfg.de/kss_w2k/kss_w2k.html

Warum der Port 1434 als offen gemeldet wird und welcher Dienst (oder welche Software) sich dahinter verbirgt: K.A.
Da ich nicht denke, dass du einen SQL Server hostest, dieser Port aber nicht zu den registrierten well known <1025
gehört, könnte es Zufall sein, dass gerade dieser Port von irgendeinem Programm gebraucht wird.
Wie Forge77 schon schrieb: Netstat, TCPView, Active Ports o.ä. Programme helfen dir weiter, um den Port
einem/dem Programm zuzuordnen, welches ihn 'geöffnet' hat.

Gruß,

Sepia

#8 Also ich nutze XP mit SP2. Bin per Fritz Box als nur Modem genutzt per DSL im Internet. Fritz wird also nicht als Router genutzt. Mein PC ist Einzelplatzrechner.

Ich nutze ferner die Progs Active Ports und TCPView. Hier nun geht meine Unwissenheit weiter: die Spalte PID bei Active Ports, was bedeutet die?

Und weiter: beide Programme zeigen durchschnittlich 12 Ports an (6 davon allein für Panda Antivirus!?, 2 für Firefox, 3 für Phonostar Internetradio und ab und zu noch 2 Ports für ZoneLabs)

Die o.g. Ports 445 UDP und 1434 UDP tauchen nicht auf. Heisst das, daß sie dicht sind?

Mensch Leute, ist das alles kompliziert. Ich danke euch für die Hilfe.

Nachsatz: Habe mit Flank Secure und ShieldsUp scannen lassen. Ergebnis:
Port 445 stealth, Port 1434 closed

#9

Zitat

Sandor postete
Ich nutze ferner die Progs Active Ports und TCPView. Hier nun geht meine Unwissenheit weiter: die Spalte PID bei Active Ports, was bedeutet die?

Ist einfach eine Identifikationsnummer für die einzelnen Prozesse - brauchst du also nicht beachten, da dir beide Progs die Prozessnamen anzeigen.

Zitat

Und weiter: beide Programme zeigen durchschnittlich 12 Ports an (6 davon allein für Panda Antivirus!?, 2 für Firefox, 3 für Phonostar Internetradio und ab und zu noch 2 Ports für ZoneLabs)

Stehen die alle auf "listening/lauschend"? Wenn ja, für welche lokalen IP-Adressen?
Wär schon blöd, wenn schon deine Sicherheits(!)-Software so viele Ports öffnet...

Zitat

Nachsatz: Habe mit Flank Secure und ShieldsUp scannen lassen. Ergebnis:
Port 445 stealth, Port 1434 closed

Ist zwar auch etwas merkwürdig (einer stealth, einer closed), aber immerhin sind sie wohl dicht.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#10 Hallo, hallo.

Also, die sechs offenen Ports der Panda Software stehen alle auf listening!

Lokale IP Adressen sind 18001 bis 18003 und 31595 bis 31597.

Mir leuchted das nicht ein: ich bemühe mich verzweifelt Ports zu schließen und Panda hält permanent sechs davon offen.? Kann man davon ausgehen, daß wenigstens nur Panda diese Ports nutzen kann, oder stehen die für alle Welt offen da?

Gruß Sandor

#11 Mahlzeit Sandor!

>Also, die sechs offenen Ports der Panda Software stehen alle auf listening!
>[..]Kann man davon ausgehen, daß wenigstens nur Panda diese Ports nutzen kann, oder stehen die für alle Welt offen da?
Wenn sie nur auf 127.0.0.1 horchen ist das lokaler Verkehr der innerhalb abläuft und Loopback Traffic sein
könnte. Harmlos. Wenn sie hingegen auf 0.0.0.0. lauschen wären die Ports auch aus dem I-Net ansprechbar.
Davon gehe ich nach deiner Schilderung nicht aus, da du ja mehrere Online-Scans durchgeführt hast, die
diese Ports *nicht* als 'offen' ausweisen.

Gruß,

Sepia

#12 N`abend.

Sepia, deine Aussage, daß, wenn die benannten Ports nur auf 127.0.0.1 horchen nichts zu befürchten ist, beruhigt mich. Denn genau so ist es!

Ich hatte aus Verunsicherung schon Panda deinstalliert und Kaspersky installiert. Und siehe da, Kaspersky öffnet die Ports 1110 und 1125, welche aber auf 0.0.0.0. horchen, also wohl aus dem Internet ansprechbar sind. Jetzt hab ich wieder Panda drauf.

So, ich habe ja mit "win32sec" viele Dienste abschalten lassen und selber auch noch an einigen rumexperimentiert. TCPView und Active Ports laufen auch bei mir und so ganz allmählich beginne ich, die Sache zu verstehen. Ein Rätsel bleibt mir, wieso die einzelnen online Scans unterschiedliche Aussagen machen können. Aber mir scheint, daß mein PC relativ "dicht" ist. Jedenfalls bin ich jetzt schon viele,viele Stunden ohne Firewall im Netz und -oh Wunder - nichts passiert, alles klappt reibungslos. Jedenfalls bis jetzt.

Es könnte also wohl tatsächlich stimmen, daß Firewalls nicht zwingend erforderlich sind. Hoffentlich ist dem auch so.

Dank für die Hilfe
Sandor