Unopened Ports?

#1


Meine Logdatei ist voll mit solchen Einträgen. Und es kommen auch dann welche hinzu, wenn ich keinerlei DENY-Regeln festgelegt habe...
Was haben diese "unopened ports" Einträge zu bedeuten???

#2 Erstmal: Kerio macht ein "deny" für alles, was nicht explizit erlaubt ist. Deswegen auch die Einträge im Log.
Was hier connecten will, sind Clients eines File-Sharing-Programms.
Du bekommst bei deiner Einwahl eine dynamische IP zugewiesen.
Hat eine User vor Dir mit dieser IP ein File-Sharing mit anderen betrieben, so versuchen diese immer noch sich zu dieser IP zu verbinden.
Versuche folgendes: erstelle eine Regel mit :
-Protokoll TCP/UDP
-incoming
-Local Endpoint 4665
-DENY
- kein Häkchen fürs loggen setzten
Diese Regel über die "deny all" setzten.
Das sollte es sein. Du kannst die Regel beliebig für andere Ports erweitern,
z.B: 1214,6346,4661,4666,4662,4665,4668 unter "local endpoint", "list of ports"
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Dass das was mit Filesharing zu tun hat, hab ich mir schon fast gedacht, denn ich weiss, dass eDonkey den Port 4665 benutzt. Ich war nur verwundert, weil diese Einträge auch dann kommen, wenn ich weder eDonkey noch irgendein anderes Prog laufen habe... aber gut, dass mit der dynamischen IP klingt logisch.
Aber ich hab ne Frage zu der Regel die du vorgeschlagen hast:
Ich benutze eDonkey häufiger und habe den Port 4665 bei meinem Router extra freigegeben, damit ich eine hohe ID bekomme. Wenn ich jetzt diesen Port wie von dir beschrieben schliesse, funzt eDonkey dann noch einwandfrei???

#4 warum willst du den den schließen wenn du die Datein aus den log bekommen möchtest erstelle unter der edonkey regel block in udp und 4665 und lässt das ganze nicht logen so funktioniert dein donkey immernoch optimal und die log einträge verschwinden

zu deiner eigentlichen frage es dürfte auch reichen port 4662 zu mappen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#5 Die Regel muss unterhalb von edonkey stehen.(diese regel für "any application" Festlegen) Edonkey darf weiterhin alles was nötig ist, sofern Du die entsprechenden Regeln dafür erstellt hast. Bei mir funktioniert diese Lösung prima.
@ Spunki: Der Vorteil dieser Regel ist, daß sie nicht für ein bestimmtes Programm gilt und somit jederzeit mit einem einfachen Port-Eintrag erweiterbar ist. Es gibt schließlich noch viel ander PSP-Programme und dementsprechende Ports.
josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6 mh ich weiß zwar nicht genau was du meintest läuft doch aber wohl auf das selbe hinaus wie bei mir
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#7 Frage mich nur ob ich das jetzt richtig verstanden habe:

Wenn ich diese DENY-Regel, wo ich den Port 4665 blocke, unterhalb der eDonkey-Regel stehen habe, kann eDonkey den Port trotzdem noch nutzen?

#8 ja da Kerio die regeln von oben nach unten abarbeitet sobald etwas erlaubst oder verbietest werden die unteren Regeln dafür nicht mehr beachtet am besten du plazierst diese regel direkt über der deny all dann sollte es zu keinen konflikt mit anderen programmen kommen.

Diese regel muss wie joschi schon gesagt hatte natürlich für alle programme gelten
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#9 Hi,

am einfachsten wäre das Loggen für unopen ports zu deaktivieren.Viel Sinn
macht diese Option ohnehin nicht.Dann wird wenigstens die Logdatei nicht mit unnötige Meldungen(Internetrauschen)zugemüllt.Wenn ein Port zu ist dann könnte sich die FW das Blocken sowieso ersparen.Abgesehen davon sind Angriffe auf einen Desktop-PC äußerst unwahrscheinlich.Harmlose Scannversuche werden zu gefährliche Angriffe hochstilisiert.(mann will das Geschäft beleben)Auch im Falle offener Ports muss ein Dienst dahinter lauschen sonst wird es dem Angreifer wenig bringen.Deshalb suchen Skript Kiddies eher nach kompromitierte Rechner.(der Trojaner/Remotetool ist schon drauf und lauscht auf Port xy) Leider gibt es eine menge solcher Rechner.Ist dann so ein Rechner gefunden kann sich die nächste Enttäuschung für den Angreifer offenbaren.Das Remotetool/Trojaner ist so konfiguriert daß es nur zu einer bestimmten IP die Verbindung aufnimmt.
Letztendlich kommen ja die Trojaner nicht von Geisterhand auf dem PC sondern durch die aktive Mithilfe des Users.Gesundes Missvertrauen und überlegtes Klicken bringen oft mehr Schutz als die beste Schutzsoftware.

Gruß
Ajax

#10 nunja,nunja...es ging nur darum die Pop-üps, bzw das logen zu verhindern, gerade weil dies ja keine "Angriffe" sind.
Dein Vorschlag ist gut Ajax, aber das Pop_up bleibt meistens doch (auf Grund der "deny-all") und zu manchen Zeiten kann das ganz schön nerven.
Ich denke, es ist sinvoll die P2P-Ports in eine eigene-Regel aufzunehemen, einfach um Popups und ein logen zu umgehen.
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 Ok, danke für die Anworten. Hab jetzt so eine DENY-Regel hinzugefügt.
Aber noch eine Frage an joschi:
Du hast in deiner ersten Message mehrere Portnummern zum Blocken genannt. Wie kommst du auf diese Nummern, was sind das für Ports? Gibts irgendwo ne Liste oder sowas?? z.B. hast du auch Port 1214 aufgeführt, und genau dieser Port ist jetzt nochmal in meiner Logdatei aufgetaucht. Da hat wohl ein Rechner aus meinem Netzwerk eine Verbindung herstellen wollen...

#12 Hier gibt es eine sehr umfangreiche Portsliste.
Steht übrigens auch in der FAQ
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#13 Die von mir aufgeführten Ports haben sich so mir der Zeit ergeben. Mein Log war in auffälliger Zahl voll davon und ich führe das auf P2P-Anfragen zurück, die aus oben erwähntem Grund entstehen. Wenn der eine oder andere angegeben Port dein LAN behindert, dann streich den Port eben aus deiner Rule. Oder erstelle ein klares "allow" für die Angelegenheit im LAN.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen