Offene Ports blocken?

#1 Ich habe ein Problem mit folgenden offenen Ports (zugehörigkeit durch "Active Ports 1.4 und http://www.iana.org/assignments/port-numbers ermittelt):

445/tcp Microsoft-DS System
445/udp Microsoft-DS System
1025/tcp Unassigned MSTask.exe
1026/tcp Calender Access Protocol Services.exe
1029/tcp Unassigned System

Meine Frage ist nun wofür diese Ports gut sind, da ich sie eventuell blocken möchte.

mfg sirrogate

#2 Du solltest versuchen, die Ports (alles Standard-Windows-Ports) zu schließen, indem du die entsprechenden Dienste beendest. Dies ist "logischer", als die Ports mit einer Firewall o.ä. zu blocken.
Auf der folgenden Seite wird erklärt wie das geht: http://www.kssysteme.de/index.shtml
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Leider kann ich aber nicht mein System beenden ohne auch den Zugriff aufs Netz zu verlieren ;-), desshalb wollte ich die ports blocken

mfg sirrogate

#4 Witzbold!
Natürlich bleibt dein System und der Netzzugang erhalten, nachdem du die Anleitung durchgegangen bist. Nur deine Ports sind dann dicht.
Merke: Offener Port = Server-Dienst! Soll dein Rechner ein Internet-Server sein?!
Ts ts...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 Danke. Ich hatte dich etwas andersverstanden (das ich die tasks komplett beende) und das wäre bei system.exe u.a. nicht so prickelnd :-)
Habs jetzt mal ausprobiert funktioniert super nur folgende 2 Probleme:
1. Port 1028 bleibt offen (von system.exe)
2. beim starten (vor/bei windows-anmeldung) kommen mehrere Fehlermeldungen: "Kerio Firewall Driver: Unable to attach TCP" oder so ähnlich, das ganze kommt dann noch mit UDP, IP und RawIp. Der Kerio Dienst ist durch die einstellungen unangetastet geblieben. (Wäre wahrscheinlich jetzt eher ne frage für das entsprechende Forum). Was muss ich machen, damit die Meldungen verschwinden?
Der Rechner ist kein I-Net-Server.

mfg sirrogate

#6 1.

Ist normal so ansonsten könntest Du nicht surfen.

2.

unter Systemsteuerung / System

unter Tabreiter 'Hardware' den Geräte-Manager... aufrufen

Im Menü unter 'Ansicht' den Punkt 'Ausgeblendete Geräte anzeigen' auswählen

im Gerätebaum den jetzt sichtbaren Zweig 'Nicht-PnP-Treiber' expandieren

den Treiber 'NetBios über TCP/IP' suchen

die Eigenschaften des Treibers über Rechtsklick aufrufen

unter Tabreiter 'Treiber', den Starttyp wieder auf 'Aktiviert'setzen

Neu starten

Die Fehlermeldung sollte jetzt nicht mehr erscheinen.

Gruß
Ajax

#7

Zitat

Ajax postete
Die Fehlermeldung sollte jetzt nicht mehr erscheinen.

Leider tun sie es doch, hat einer noch ne andere Idee, woran es liegen könnte. Die Funktion der Firewall ist seltsamerweise nicht beeinträchtigt.

mfg sirrogate

#8 Also bei mir win2k/KPFWv.2.14 hatte es damals geholfen.
Eventuell versuchen die Kerio neu zu installieren.
Gruß
Ajax

#9 Hat' auch nicht getan :-(
Ich meine funktionieren tuts ja, nervt nur bei jedem Start 4 Fehlermeldungen wegzuklicken...

mfg sirrogate

#10 Wenn ohne deaktivierte Dienste keine Fehlermeldung da ist dann solltest Du schauen welchen Dienst deine FW bei der derzeitigen Systemkonfiguration benötigt.Dienste einzeln aktivieren und dann schauen ob die Fehlermeldung noch da ist.Mühsam,aber wenn der Fehler durch deaktivieren der Dienste aufgetreten ist,dürfte es zum Erfolg führen.
Gruß
Ajax

#11

Zitat

1. Port 1028 bleibt offen (von system.exe)

Zitat

1. Ist normal so ansonsten könntest Du nicht surfen.

Was genau meinst du damit, Ajax? Es handelt sich ja nicht um einen Port, den der Browser nur temporär für eine Verbindung öffnet. Stattdessen lauscht "System" dauerhaft auf irgendeinem Port "knapp über 1024." Interessanterweise wird dieser Port z.B. von "netstat -an" angezeigt, während KerioFW ihn nicht als offen meldet...
Dieses "Phänomen" wurde schon mehrfach im Trojaner-Board angesprochen, aber noch keine Erklärung gefunden:
http://www.trojaner-board.de/forum/ultimatebb.php?ubb=get_topic;f=4;t=001848#000007
http://www.trojaner-board.de/forum/ultimatebb.php?ubb=get_topic;f=6;t=003667#000008

Weißt du mehr, Ajax?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#12 @forge77

Mea culpa.
Habe mich wohl zu schwammig ausgedrückt.Bezog mich weniger
auf den Port:1028 (bei mir übrigens Port:1025) als auf System8 b.z.w die Bereitschaft Verbindungen aufzunehmen.
Was genau sich hinter diese Ports passiert b.z.w weshalb sie als besetzt/offen,angezeigt werden,weiß ich leider auch nicht.
Tatsache bleibt daß alle NT-Systeme dieses Phenomän aufweisen
und es z.Z. deswegen,soweit mir bekannt,keine sicherheitsrelevante Bedenken gibt.

Gruß
Ajax

#13 Nur noch zur Info um diesen Thread abzuschließen: Die Meldungen sind weg seitdem ich die Software meiner Eumex 704LAN installiert habe. Ich denke mal, dass der fehlende Dienst jetzt wieder gestartet wird. Und mehr Ports sind auch nicht offen. Nochmal Danke für die rege Hilfe!

mfg sirrogate

#14 hi, hab bei mir ein port scan durschgeführt, daraufhin, lag wurde der Port 1025 mit blachjack angezeigt. So viel ich weis, ist das ein trojaner. Wie kann ich ihn löschen?

mfg joe

#15 Womit hast den Port-Scan durchgeführt? Ist (höchst-)wahrscheinlich ein Fehlalarm...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?