Netbios Ports offen

#1 Ich habe die KPF am laufen. Seit kurzen zeigt sie mir in den laufenden Prozessen System TCP/UDP meine IP und dahinter die Ports 137-139 Listening an, obwohl als erstes Rule eben diese Ports gesperrt sind. Weder ist im Netzwerk Druckerfreigabe aktiviert, noch sind sonst Netzwerkrecourcen freigegeben. Hat jemand einen Tip, welcher Dienst die Ports öffnet?

#2 Hi,Mirko

"Weder ist im...,noch sind sonst..."
Eigentlich sollte dann alles ok sein.Da es aber nicht so ist würde ich erstens nochmals nachschauen ob wirklich alle Dienste richtig deaktiviert sind.

Hier ist alles sehr übersichtlich und sauber erklärt(auch welcher Dienst den jeweiligen Port benutzt):

http://www.bluemerlin-security.de/Uebersicht_System_Dienste_2kxp.php3

Gruß,
Ajax

#3 Hi!

@Mirko:
Auch wenn es merkwürdig ist, dass an den ports gelauscht wird, ist das kein Grund zur Sorge. Dass nämlich einige Programme/Prozesse an ports lauschen ist normal und lässt sich nicht durch Block-Regeln verhindern. Die Regeln verhindern stattdessen "nur", dass eine Verbindung zustande kommt.
Ein unter Kerio als "listening" angezeigter port, ist also nicht offen, solange man keine "erlaubende" Regel dafür erstellt.

Deshalb sind eigentlich auch Regeln, die gezielt einzelne ports blockieren, gar nicht nötig. Standardmäßig wird ja eh alles geblockt bzw. nachgefragt.

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#4 Yep, forge, das ist mir klar. Aber wie gesagt sind eben diese Ports 136-139 in und out als erstes Rule gesperrt. Trotzdem zeigt der Prozessviewer Aktivitäten an den Ports. Netbios ist natürlich bei TCP deaktiviert.
Ist ja auch nicht weiter tragisch, allerdings zeigt ein Portscann den Port 139 als visible an. Wurmt mich doch ein wenig, vor allem wenn ich nicht nachvollziehen kann, was eigentlich dafür verantwortlich ist, ist für mich nicht so ganz ok ajax..

#5 Hi Mirko

Wenn man die Dienste richtig deaktiviert (hast ja gemacht!?) sollte alles ok sein.
Richtig ist auch daß die betreffende Ports nicht mehr mit Listening angezeigt
werden sollten.Bei mir nicht und bei vielen anderen vermute ich, auch nicht.
Da bei dir auf Port 139 gelauscht wird gehe ich davon aus daß ein aktiver
Dienst dahintersteckt.Deshalb habe ich auf den obigen Link verwiesen.
Falls du dir die Mühe genommen hast alle Schritte der Deaktivierung wie
beschrieben nochmals in aller Ruhe durchzugehen dann habe ich leider
keinen besseren Rat.

Gruß,
Ajax

#6 Hallo,

Mirko, habe ich dich richtig verstanden, dass über die ports 136-139 Datentransfers stattfinden, obwohl du die ports durch die FW blockierst?
Das sollte wirklich nicht so sein!
Genauso wenig sollten die ports bei einem online-portscan sichtbar sein. Oder hast du von deinem Rechner aus gescannt?

Falls das ein Mißverständnis war und die ports doch nur als "listening" angezeigt werden (und nicht als "connected in/out" incl. Datentransfer), kann ich mich nur wiederholen: an dem "listening" kannst du durch Block-Regeln nix ändern, das ist bei einem aktiven Dienst normal. Nur das "connected in/out" wird verhindert.

Bei deinem eigentlichen Problem, den Netbios-Dienst zu deaktivieren, kann ich dir leider nicht helfen, sorry.

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#7 Listening von 137-139 is kein Grund zur Sorge.
bei nem lokalen Scan ist der als AKTIV angezeigt auf Grund des listenings.
und das kann man Windows-Rechnern wohl nur schwer abgewöhnen.
Mögllicherweise hängt dein Rechner in nem Netzwerk mit anderen windows-Rechnern ??
Solange die Scans via Internet stealth sind, kein Grund zur Sorge.
Das wär meine Sempf dazu
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen