Wie muß ich vorgehen, um - ohne große Kenntnisse zu haben - offen Ports schließen?
Gruß
Karl
Wie muß ich vorgehen, um - ohne große Kenntnisse zu haben -
offen Ports schließen?
Hi,
ein offener Port heißt, daß auf Deinem Recher ein Programm läuft, das irgeneine Kontaktaufnahme von außen auf diesem Port erwartet. Wenn du dieses Programm schließt, ist der Port wieder zu.
Unter Windows kannst Du mittels Ctrl-Alt-Del feststellen, welche Programme gerade aktiv sind und sie gegebenfalls auch beenden.
Wenn es sich aber dabei um einen Service handelt, muß Du diesen unter Umständen irgenwo (Systemsteuerung, Registry) abschalten.
LG
Stuffi
ein offener Port heißt, daß auf Deinem Recher ein Programm
läuft, das irgeneine Kontaktaufnahme von außen auf diesem Port
erwartet. Wenn du dieses Programm schließt, ist der Port
wieder zu.
Unter Windows kannst Du mittels Ctrl-Alt-Del feststellen,
welche Programme gerade aktiv sind und sie gegebenfalls auch
beenden.
Wenn es sich aber dabei um einen Service handelt, muß Du
diesen unter Umständen irgenwo (Systemsteuerung, Registry)
abschalten.
Stuffi, das ist falsch, siehe Thread „Was ist ein Port“ unter „Betriebssysteme allgemein“.
Erstens zeigt Dir Windows nicht alles was läuft.
Zweitens haben Ports nichts mit den Anwendungen zu tun die laufen.
Die Anwendungen und Dienste lauschen bestenfalls auf Ports, egal ob sie offen oder geschlossen sind.
Ports werden geschlossen, indem man eine Firewall installiert und (!) richtig (!!) konfiguriert.
Stefan
Stuffi, das ist falsch, siehe Thread „Was ist ein Port“ unter
„Betriebssysteme allgemein“.
Erstens zeigt Dir Windows nicht alles was läuft.
Das stimmt leider.
Zweitens haben Ports nichts mit den Anwendungen zu tun die
laufen.
Die Anwendungen und Dienste lauschen bestenfalls auf Ports,
egal ob sie offen oder geschlossen sind.
Was macht der TCP-IP Stack mit Paketen die an Ports gehen, hinter denen niemand sitzt? Er weist sie ab - kein Zugriff von außen möglich - Port geschlossen.
Welchen Sinn hat es, einen Paketfilter zu verwenden, wenn das eigentlich Problem die Programme sind. Ist der Paketfilter schlecht konfiguriert, können diese unter Umständen trotzdem erreichbar sein. Läuft das entsprechende Programm nicht, ist der Port hingegen sicher zu.
IMHO ist ein Paketfilter praktisch, wenn ich ein privates Netz in dem es auch private Dienste gibt, vom öffentlichen Netz trennen will, für einen Einzelplatzrechner sehe ich es eher als Krücke.
LG
Stuffi
Was macht der TCP-IP Stack mit Paketen die an Ports gehen,
hinter denen niemand sitzt? Er weist sie ab - kein Zugriff von
außen möglich - Port geschlossen.
So weit so gut. Aber erstens kennt der normale Benutzer nicht alle Dienste, weiß auch nicht, welche er abschießen kann, wenn er sie denn überhaupt sieht.
Zweitens gibt es (nur als Beispiel) die unprivilegierten Ports, die von praktisch allen Clients verwendet werden. Die müssen natürlich nach aussen offen sein, sonst läuft weder Browser noch Mail-Client noch FTP usw. - Aber wenn diese Ports nicht für INPUT mit SYN-Flag gesperrt sind (sprich: wenn kein Paketfilter vorhanden ist) ist auch jeder Trojaner (der sich z.B. via E-Mail oder Datenträger eingeschlichen hat) von außen erreichbar.
Welchen Sinn hat es, einen Paketfilter zu verwenden, wenn das
eigentlich Problem die Programme sind.
Hast Du schon mal ne Windows-Box gesehen, die Netzwerk hatte (reiner Internet-Anschluss reicht ja schon) und die nicht empfänglich war für Pakete auf den NetBIOS-Ports? Wenn Du das „Programm“ Windows-Netzwerk abschießt, ist das natürlich nicht mehr der Fall, aber dann kommst Du auch nicht mehr in’s Internet.
Ist der Paketfilter
schlecht konfiguriert, können diese unter Umständen trotzdem
erreichbar sein.
Stimmt. Deswegen sprach ich davon, dass ein Paketfilter gut konfiguriert sein muss.
Natürlich sollen auch keine unnötigen Dienste laufen, das ist eine Binsenweisheit.
Läuft das entsprechende Programm nicht, ist
der Port hingegen sicher zu.
… bis sich etwas auf diesem Port einnistet, was da nicht hingehört.
Deine Meinung in Ehren, aber bitte mach Dich erst mal mit den Grundlagen der IT-Sicherheit vertraut, bevor Du anderen Leuten sowas erklärst.
Stefan
Wie muß ich vorgehen, um - ohne große Kenntnisse zu haben -
offen Ports schließen?
Hallo Karl
gefährlich sind die Druckerfreigabe und Netbios, falls Du einen Einzelpatzrechner ohne Netzwerk hast, schalte die ab.
Ich nehme mal an, Du hast Windows XP, schreib das lieber dazu.
Mach einen rechten Mausklick auf Netzwerkumgebung, geh auf Eigenschaften, klick auf Datei- und Druckerfreigabe, klick auf Deinstallieren.
Klick auf Internetprotokoll TCP/IP-Eigenschaften-Allgemein-Erweitert-WINS.
Klick Netbios deaktivieren an.
Windows XP hat eine Firewall dabei, schalte die ein.
Das bringt schon deutlich mehr Sicherheit, ein Virenscanner sollte aber auf jeden Fall installiert sein.
Gruß
Rainer
Was macht der TCP-IP Stack mit Paketen die an Ports gehen,
hinter denen niemand sitzt? Er weist sie ab - kein Zugriff von
außen möglich - Port geschlossen.
Eben.
So weit so gut. Aber erstens kennt der normale Benutzer nicht
alle Dienste, weiß auch nicht, welche er abschießen kann, wenn
er sie denn überhaupt sieht.
„Der normale Benutzer“ wird wohl kaum hinbekommen, „die normale Firewall“ sinnvoll zu konfigurieren.
Zweitens gibt es (nur als Beispiel) die unprivilegierten
Ports,
Gibt es das auch unter Windows?
die von praktisch allen Clients verwendet werden.
Ja. Und?
Wenn der Cleint das braucht, dann mache ich die Ports wohl kaum zu, wenn er das nicht braucht, sind sie nicht geöffnet. Und nun?
Die
müssen natürlich nach aussen offen sein, sonst läuft weder
Browser noch Mail-Client noch FTP usw. -
Bitte? Könntest Du Dich einmal kurz informieren, was „offene Ports“ sind oder Deine Begrifflichkeit definieren?
Aber wenn diese Ports
nicht für INPUT mit SYN-Flag gesperrt sind (sprich: wenn kein
Paketfilter vorhanden ist) ist auch jeder Trojaner (der sich
z.B. via E-Mail oder Datenträger eingeschlichen hat) von außen
erreichbar.
Ja, hallo! Wie wäre es mit der Alternative, sich einfach keinen „Trojaner“ zu installieren? Wenn so ein Schrott erst auf dem Rechner ist, ist es für ihn ein Leichtes, Firealls auszuschalten ode diese zu umgehen.
Welchen Sinn hat es, einen Paketfilter zu verwenden, wenn das
eigentlich Problem die Programme sind.
Hast Du schon mal ne Windows-Box gesehen, die Netzwerk hatte
(reiner Internet-Anschluss reicht ja schon) und die nicht
empfänglich war für Pakete auf den NetBIOS-Ports? Wenn Du das
„Programm“ Windows-Netzwerk abschießt, ist das natürlich nicht
mehr der Fall, aber dann kommst Du auch nicht mehr in’s
Internet.
Die einzige Folgerung, die sich darus ergibt wäre, daß Windows nicht netzwerktauglich ist. Möglicherweise sollte man den Hersteller in Regreß ziehen, so er anderes in der Werbung versprochen hat.
Das Argument, was immer gerne genommen wird, ist ja, daß Windows ja so einfach und intuitiv sei. Ich habe das noch nie verstanden, aber wenn man erst eine Firewall bauen muß, kann es mit der Einfachheit ja nicht weit her sein…
Ist der Paketfilter
schlecht konfiguriert, können diese unter Umständen trotzdem
erreichbar sein.
Stimmt. Deswegen sprach ich davon, dass ein Paketfilter gut
konfiguriert sein muss.
Ja. Das ist nur nicht trivial und wer kann das schon sinnvoll?
Natürlich sollen auch keine unnötigen Dienste laufen, das ist
eine Binsenweisheit.
Ja, offensichtlich so binsig, daß es bei Windows fast unmöglich ist. Oder?
Läuft das entsprechende Programm nicht, ist
der Port hingegen sicher zu.
… bis sich etwas auf diesem Port einnistet, was da nicht
hingehört.
Warum läßt Du das zu?
Deine Meinung in Ehren, aber bitte mach Dich erst mal mit den
Grundlagen der IT-Sicherheit vertraut, bevor Du anderen Leuten
sowas erklärst.
Vielleicht habe ich Dich ja falsch verstanden, aber ich hätte Dir beinahe einen ähnlichen Rat gegeben.
Sebastian
Zweitens gibt es (nur als Beispiel) die unprivilegierten
Ports,Gibt es das auch unter Windows?
Die gibt es auf allem, was TCP oder UDP spricht.
Wenn der Cleint das braucht, dann mache ich die Ports wohl
kaum zu, wenn er das nicht braucht, sind sie nicht geöffnet.
Und nun?
Ein wesentliches Unterscheidungsmerkmal ist, ob es eine von außen neu aufgebaute Verbindung ist (unerwünscht) oder eine von außen kommende Antwort auf eine von innen aufgebaute Verbindung (erlaubt). Das geht nur mit Paketfilter. Stichwort: SYN-Flag. Oder, wenn Du (Linuxer) Dich mit iptables auskennst: -m state --state NEW nur nach außen, --state ESTABLISHED,RELATED auch nach innen erlauben.
Die
müssen natürlich nach aussen offen sein, sonst läuft weder
Browser noch Mail-Client noch FTP usw. -Bitte? Könntest Du Dich einmal kurz informieren, was „offene
Ports“ sind oder Deine Begrifflichkeit definieren?
Ein offener Port ist jeder Port, über den eine Verbindung von bzw. zu einem Rechner hergestellt werden könnte. Betrachtung nur auf Transportebene, egal ob eine Anwendung dahinter steht oder nicht. Die Entscheidung, was mit Paketen auf einem offenen Port passiert, ist dem TCP/IP-Stack überlassen.
Stuffi spricht davon Prozesse zu stoppen, die auf irgendwelchen Ports lauschen. Das ist die Anwendungsschicht (Schichtenmodell, ISO/OSI).
Ports liegen aber auf der Transportschicht. Deswegen kann man durch Stoppen eines Prozesses niemals einen Port schließen, im Sinne von komplett dichtmachen, egal was auf dem Rechner vielleicht auf dem Port lauscht.
Die Entscheidung, was mit einem Paket passiert, wird primär von der passenden Firewall-Regel getroffen.
Dazu braucht es einen Paketfilter, der selbst nach Möglichkeit nicht auf der Anwendungsebene liegen sollte (das ist eines der Probleme mit Zone Alarm und Co.).
Aber wenn diese Ports
nicht für INPUT mit SYN-Flag gesperrt sind (sprich: wenn kein
Paketfilter vorhanden ist) ist auch jeder Trojaner (der sich
z.B. via E-Mail oder Datenträger eingeschlichen hat) von außen
erreichbar.Ja, hallo! Wie wäre es mit der Alternative, sich einfach
keinen „Trojaner“ zu installieren? Wenn so ein Schrott erst
auf dem Rechner ist, ist es für ihn ein Leichtes, Firealls
auszuschalten ode diese zu umgehen.
OK, das Beispiel war vielleicht schlecht gewählt.
Natürlich braucht man auch einen aktuellen Virenscanner und sollte vorsichtig mit unbekannten Files umgehen.
Es gibt Trojaner/Backdoors, die einfach nur passiv warten, bis sie von außen angesprochen werden.
Besser ist vielleicht das Beispiel mit den NetBIOS-Ports. Dahinter lauscht nun mal Windows. Der Windows-Benutzer hat keine Möglichkeit die „Anwendung abzuschalten“.
Die einzige Folgerung, die sich darus ergibt wäre, daß Windows
nicht netzwerktauglich ist. Möglicherweise sollte man den
Hersteller in Regreß ziehen, so er anderes in der Werbung
versprochen hat.
Sebastian, Du hast Recht. Windows ist nicht internettauglich.
Linux, BSD, Solaris usw. übrigens genauso wenig.
Es sei denn, man installiert (mindestens) eine paketfilternde Firewall.
Das Argument, was immer gerne genommen wird, ist ja, daß
Windows ja so einfach und intuitiv sei. Ich habe das noch nie
verstanden, aber wenn man erst eine Firewall bauen muß, kann
es mit der Einfachheit ja nicht weit her sein…
Wenn Du Linux im Internet ohne Firewall betreibst, lebst Du aber auch ziemlich gefährlich.
Stimmt. Deswegen sprach ich davon, dass ein Paketfilter gut
konfiguriert sein muss.Ja. Das ist nur nicht trivial und wer kann das schon sinnvoll?
Sagen wir mal, mit einem Mausklick (Internet-Firewall aktivieren) kannst Du in Windows XP zumindest 90% der Risiken beseitigen, die durch offene Ports drohen.
Natürlich sollen auch keine unnötigen Dienste laufen, das ist
eine Binsenweisheit.Ja, offensichtlich so binsig, daß es bei Windows fast
unmöglich ist. Oder?
Zumindest schwieriger als unter Linux, ja.
… bis sich etwas auf diesem Port einnistet, was da nicht
hingehört.Warum läßt Du das zu?
Zulassen ist das falsche Wort. Es ist die tägliche Realität. Die Leute doppelklicken in der Regel schneller als sie denken.
Vielleicht habe ich Dich ja falsch verstanden
Das denke ich auch.
aber ich hätte
Dir beinahe einen ähnlichen Rat gegeben.
Sehe ich ehrlich gesagt keinen Anlass. Was ich geschrieben habe, kannst Du in ähnlicher Form in diversen Grundlagenbüchern zum Thema nachlesen.
Stefan
Zweitens gibt es (nur als Beispiel) die unprivilegierten
Ports,
Gibt es das auch unter Windows?
Die gibt es auf allem, was TCP oder UDP spricht.
Was unterscheidet „unprivilegierte“ Ports von privilegierten auf Windows 31. und Windows 95 oder 98?
Ports liegen aber auf der Transportschicht. Deswegen kann man
durch Stoppen eines Prozesses niemals einen Port schließen, im
Sinne von komplett dichtmachen, egal was auf dem Rechner
vielleicht auf dem Port lauscht.
Ich verstehe nicht, was Du mit „komplett dichtmachen“ meinst. Wenn keine Anwendung per bind() an dem Port „lauscht“, weist der TCP-Stack ankommende Pakete zurück. Das halte ich für dicht.
Die Entscheidung, was mit einem Paket passiert, wird primär
von der passenden Firewall-Regel getroffen.
Bei mir nicht. Bei mir wird das von der TCP-Implemantation gemacht.
Es gibt Trojaner/Backdoors, die einfach nur passiv warten, bis
sie von außen angesprochen werden.
… und es gibt solche, die dann eben aktiv von innen Informationen versenden. Wie erkennt man die Pakete von denen noch per „Firewall“?
Die einzige Folgerung, die sich darus ergibt wäre, daß Windows
nicht netzwerktauglich ist. Möglicherweise sollte man den
Hersteller in Regreß ziehen, so er anderes in der Werbung
versprochen hat.
Sebastian, Du hast Recht. Windows ist nicht internettauglich.
Linux, BSD, Solaris usw. übrigens genauso wenig.
Es sei denn, man installiert (mindestens) eine paketfilternde
Firewall.
Das ist, mit Verlaub, Quatsch mit Sauce. Du kannst mir gerne erklären, wo das Problem an meiner Kiste ist: qmail, courier-imap, djbdns und getmail, ssh, publicfile. Kein Paketfilter.
Was war jetzt genau das Problem, was ich Deiner Meinung nach habe aber durch das Filtern von Paketen verhindern könnte?
Wenn Du Linux im Internet ohne Firewall betreibst, lebst Du
aber auch ziemlich gefährlich.
Dann möchte ich aber mal bitte dein konktetes Bedrohungsszenarie sehen. Ich halte diese Aussage nämlich für total Banane.
Sehe ich ehrlich gesagt keinen Anlass. Was ich geschrieben
habe, kannst Du in ähnlicher Form in diversen
Grundlagenbüchern zum Thema nachlesen.
Aha. Das mit der Firewall für Linux interessiert mich langsam wirklich. Ist das aus „FW-1 for Dummies?“
Sebastian
Was unterscheidet „unprivilegierte“ Ports von privilegierten
auf Windows 31. und Windows 95 oder 98?
z.B. dass gängige Clients nur unprivilegierte Ports als Source Port verwenden.
Ich verstehe nicht, was Du mit „komplett dichtmachen“ meinst.
Wenn keine Anwendung per bind() an dem Port „lauscht“, weist
der TCP-Stack ankommende Pakete zurück. Das halte ich für
dicht.
Es gab auch schon Bugs in der Stack-Implementierung selbst.
Die Entscheidung, was mit einem Paket passiert, wird primär
von der passenden Firewall-Regel getroffen.Bei mir nicht. Bei mir wird das von der TCP-Implemantation
gemacht.
Reiss bitte den Satz nicht aus dem Zusammenhang. Es ging hier um die Priorisierung.
… und es gibt solche, die dann eben aktiv von innen
Informationen versenden. Wie erkennt man die Pakete von denen
noch per „Firewall“?
Ich habe nicht gesagt, dass ein Paketfilter das Allheilmittel ist. Und ich habe schon zugegeben, dass das Beispiel schlecht gewählt war.
Sebastian, Du hast Recht. Windows ist nicht internettauglich.
Linux, BSD, Solaris usw. übrigens genauso wenig.
Es sei denn, man installiert (mindestens) eine paketfilternde
Firewall.Das ist, mit Verlaub, Quatsch mit Sauce. Du kannst mir gerne
erklären, wo das Problem an meiner Kiste ist: qmail,
courier-imap, djbdns und getmail, ssh, publicfile. Kein
Paketfilter.
Gut, Du verwendest größtenteils Daemons, die als vergleichsweise sicher gelten. Aber eine Garantie hast Du nicht. Auch wenn z.B. bei djbdns ein Preis für den Finder eines Sicherheitslochs ausgesetzt ist.
Willst Du z.B. tatsächlich IMAP oder DNS nach außen offen haben? Oder hast Du die einzelnen Daemons so konfiguriert, dass sie nur lokale Adressen akzeeptieren? Letzteres wäre ja schon eine Art „verteilter Paketfilter“ (bildlich gesprochen - ich weiß, dass es das nicht ist)
Was war jetzt genau das Problem, was ich Deiner Meinung nach
habe aber durch das Filtern von Paketen verhindern könnte?
Siehe oben.
Wenn Du Linux im Internet ohne Firewall betreibst, lebst Du
aber auch ziemlich gefährlich.Dann möchte ich aber mal bitte dein konktetes
Bedrohungsszenarie sehen. Ich halte diese Aussage nämlich für
total Banane.
OK.
Ich gehe als Beispiel davon aus, dass Du IMAP für Dein LAN betreibst und den Dienst nicht nach außen anbieten willst. Courier-IMAP liefe unter einem eigenen Benutzer und wäre für alle Adressen zugänglich. Ich kenne Courier nur dem Namen nach, also sieh mir bitte nach, wenn ich nicht weiss, dass Courier vielleicht als root läuft.
Dann braucht es nur eine der klassischen Vulnerabilities (z.B. einen Buffer Overflow) in Courier-IMAP, um beliebigen Code mindestens als Courier-Benutzer, evtl. sogar als root (so ein Beispiel gab’s mal beim Apache) auszuführen.
Aha. Das mit der Firewall für Linux interessiert mich langsam
wirklich. Ist das aus „FW-1 for Dummies?“
Vielen Dank für Deine ausgesuchte Höflichkeit.
Schau Dir einfach mal den Ziegler an („Linux-Firewalls“).
Stefan
Tja, Freunde, ich hab Eure Diskussion mit offenem Mund verfolgt; verstanden hab ich leider nicht viel davon, und meine Frage blieb bisher leider unbeantwortet!
Deshalb nochmal zu meinem Problem:
Ich habe XP und ein kleines Netzwerk mit einem Backup-PC, den ich nur zur Datensicherung verwende. Vom Hauptrechner aus gehe ich in`s Internet (per DSL).
Zum Schutz habe ich Norton AntiVirus mit aktuellem Viren-Update sowie die ZoneAlarm-Firewall installiert. Der entsprechende Sicherheits-Patch von Microsoft ist ebenfalls installiert.
In einer Anweisung zum Schutz des Rechners las ich: „Schließen Sie Port xxxx“
Und das war der Grund für meine ursprüngliche Frage: Wie gehe ich vor, um einen Port zu schließen? Wie macht man das, evtl. auch über meine Firewall?
Auf Hilfe hoffend,
Gruß
Karl
Tja, Freunde, ich hab Eure Diskussion mit offenem Mund
verfolgt; verstanden hab ich leider nicht viel davon, und
meine Frage blieb bisher leider unbeantwortet!
Ja, ich fürchte, wir haben uns mitreißen lassen 
Und das war der Grund für meine ursprüngliche Frage: Wie gehe
ich vor, um einen Port zu schließen? Wie macht man das, evtl.
auch über meine Firewall?
Prinzipiell hat Rainer ja schon die Antwort gegeben. Da Du ein Netzwerk hast, kann es allerdings durch generelles Abschalten von NetBIOS zu unerwünschten Nebeneffekten kommen. Am besten einfach ausprobieren und sehen, ob noch alle Netzwerkfunktionen tun, was sie sollen.
Die in Windows integrierte Firewall dürfte auf jeden Fall sicherer sein als Zone Alarm (ich lasse mich diesbezüglich auch gern vom Gegenteil überzeugen), auch wenn sie nicht mit professionellen Firewalls vergleichbar ist.
Zone Alarm lässt sich bereits durch ein schlichtes Word-Makro außer Gefecht setzen.
Details zur Konfiguration der Windows-Internetverbindungs-Firewall kann ich Dir leider nicht sagen, da ich sie nicht verwende. Die Grundlagen zur Aktivierung findest Du hier:
http://www.microsoft.com/germany/ms/windowscenter/ti…
In der Standardkonfiguration sind laut Microsoft die betreffenden Ports gesperrt.
Zu mehr Details siehe:
http://www.microsoft.com/windowsxp/expertzone/column…
Ich hoffe, dass das Dir weiterhilft
Stefan
Was unterscheidet „unprivilegierte“ Ports von privilegierten
auf Windows 31. und Windows 95 oder 98?
z.B. dass gängige Clients nur unprivilegierte Ports als Source
Port verwenden.
Damit sind sie unter den genannten Betriebssystemen nicht privilegiert oder unprivilegiert sondern vielleicht
[privilegierte/unprivilegierte Ports unter Win 9x]
Mir ist jedenfalls noch nie ein Request eines Browsers untergekommen, der von einem Port
Freunde, ich danke Euch!
Gruß
Karl