Ich habe mir kürzlich eine PF installiert (ZoneAlarmPro 3.1) und verschiedene Online-Tests durchlaufen lassen (was taugen die eigentlich bzw. welchen Stellenwert hat deren Ergebnis?), u.a. Symantec, Seccheck.onsite.ch und ShieldsUP. Dabei wurden alle Ports auf „stealth“ eingestuft bis auf einen: Port 80, HTTP, laut ShieldsUP und Symantec ein kleines Risiko. Ich weiss ich weiss, PFs helfen generell auch nicht viel, aber trotzdem: Wie kann ich diesen Port schliessen? Ich habe bei den Security Settings eigentlich nichts „allowed“, jedweder Traffic ausser der von meinen autorisierten Programmen (IE, Outlook, Kazaalite, ICQ) sollte geblockt werden. Oder ist eins der Programme die Ursache?
Nachtrag
Ich habe soeben noch die Abhängigkeit des offenen Ports von meinen Programmen getestet. Und siehe da: Liegt an Kazaa, wenn das läuft, ist der Port80 offen.
Aber trotzdem hab ich noch ein kleines Prob: habe in ZoneAlarmPro nun für Kazaalite unter dem Punkt „allow access for any port EXCEPT xy“ den Port80 für „WebServers TCP“ dichtgemacht und das Drecksding ist immer noch offen - das heißt: Im ShieldsUP Test „stealth“, bei Symantec „open“!! Ja was denn nun? Wie kann ich das genauer überprüfen? Ich könnte noch ICMP und IGMP blocken, aber das ist doch was anderes, oder?
Oder fragen wir mal andersrum: Welche Ports BRAUCHT den Kazaalite, um zu funktionieren? Dann mach ich einfach alles andere zu. Oder klappts dann immer noch nicht? Wie „gefährlich“ ist ein offener Port 80 überhaupt?
Ich habe soeben noch die Abhängigkeit des offenen Ports von
meinen Programmen getestet. Und siehe da: Liegt an Kazaa, wenn
das läuft, ist der Port80 offen.
Dann hast Du ja den schuldigen
Aber trotzdem hab ich noch ein kleines Prob: habe in
ZoneAlarmPro nun für Kazaalite unter dem Punkt „allow access
for any port EXCEPT xy“ den Port80 für „WebServers TCP“
dichtgemacht und das Drecksding ist immer noch offen - das
heißt: Im ShieldsUP Test „stealth“, bei Symantec „open“!! Ja
was denn nun?
ShielsUP hat bei mir schon viel Mist angezeigt.
Wie kann ich das genauer überprüfen?
indem Du einen vertrauenswürdigen Scanner nimmst: ich mache das mit nmap.
Ich könnte
noch ICMP und IGMP blocken, aber das ist doch was anderes,
oder?
Ja.
Oder fragen wir mal andersrum: Welche Ports BRAUCHT den
Kazaalite, um zu funktionieren? Dann mach ich einfach alles
andere zu. Oder klappts dann immer noch nicht?
Keine Ahnung.
Wie
„gefährlich“ ist ein offener Port 80 überhaupt?
Genauso gefährlich oder ungefährlich wie das Programm, das sie geöffnet hat. Ich persönlich würde Kazaa auf einem typischen Windowssystem nicht weit trauen, YMMV.
indem Du einen vertrauenswürdigen Scanner nimmst: ich mache
das mit nmap.
Du scannst Dein eigenes System nach offenen Ports ?
Wie
„gefährlich“ ist ein offener Port 80 überhaupt?
Genauso gefährlich oder ungefährlich wie das Programm, das sie
geöffnet hat. Ich persönlich würde Kazaa auf einem typischen
Windowssystem nicht weit trauen, YMMV.
Oder fragen wir mal andersrum: Welche Ports BRAUCHT den
Kazaalite, um zu funktionieren? Dann mach ich einfach alles
Wie
„gefährlich“ ist ein offener Port 80 überhaupt?
Genauso gefährlich oder ungefährlich wie das Programm, das sie
geöffnet hat. Ich persönlich würde Kazaa auf einem typischen
Windowssystem nicht weit trauen, YMMV.
Sebastian
Seltsam ist noch Folgendes: Ich hatte vor der ZoneAPro3.1 die NortonPF laufen, mit der wurde der Port 80 nie als offen angezeigt (hab das Ding trotzdem rausgeschmissen, weil es bei jedem lächerlichen Ding gleich ne Intrusion gemeldet hat).
Aber wenn Kazaa den Port 80 zwangsläufig öffnen muss, wie hat es dann damals funktioniert??
Und was soll ich jetzt machen? Die Aussage, dass ich Kazaa nicht weit trauen soll, hilft mir auch nicht weiter da ich keine Lust hab nur wegen des Filesharing-Krams auf Linux umzusatteln. Also wie kriege ich das Win-System halbwegs dicht? Oder soll ich’s so lassen wie’s ist?
Seltsam ist noch Folgendes: Ich hatte vor der ZoneAPro3.1 die
NortonPF laufen, mit der wurde der Port 80 nie als offen
angezeigt (hab das Ding trotzdem rausgeschmissen, weil es bei
jedem lächerlichen Ding gleich ne Intrusion gemeldet hat).
Aber wenn Kazaa den Port 80 zwangsläufig öffnen muss, wie hat
es dann damals funktioniert??
Keine Ahnung. Ich kenne weder die Details des KaZaa-Protokolls (will aber nicht glauben, daß es Port 80 zwingend voraussetzt).
Und was soll ich jetzt machen?
Du könntest mit dem Progremm „telnet“ nachsehen, ob Port 80 offen ist.
telnet localhost 80
ist nicht wirklich bester Stil aber zeigt Dir erstmal, ob da was lauscht.
Die Aussage, dass ich Kazaa
nicht weit trauen soll, hilft mir auch nicht weiter da ich
keine Lust hab nur wegen des Filesharing-Krams auf Linux
umzusatteln.
Wenn Du ein potenziell unsicheres Porgramm hast, dann brauchst Du Dich um die Sicherheit des restlichen Systems bicht wieklich mehr zu kümmern, das wird dann auch recht egal.
Du könntest KaZaa aber unter einem Benutzeraccount laufen lassen, der keine wirklichen Rechte hat: dann kann wenigstens nicht allzuviel kaputtgehen.
Also wie kriege ich das Win-System halbwegs
dicht?
Keine zweifelhaften Programme[tm] installieren, keinen Fremden Code ausführen, keine Netzwerkdienste bereitstellen.
AAH! Problem gelöst!
Habe entdeckt, dass sich in den Kazaa-Optionen bei Proxy&Co ein Reiter mit „use port 80 as alternative for incoming connections“ befindet. Den hab ich deaktiviert und bin das Problem nun los, Port ist dicht.
Aber mich wundert, dass die PF den Traffic nicht geblockt hat, obwohl ich ihr es ausdrücklich angeschafft hab… („block web servers TCP Port80“)
Wie kam der Traffic trotzdem zustande, ist die PF scheisse (ich weiss, ich weiss: PFs taugen nichts) oder war das Tunneling oder was? Geht doch nicht über Ports, oder?
Habe entdeckt, dass sich in den Kazaa-Optionen bei Proxy&Co
ein Reiter mit „use port 80 as alternative for incoming
connections“ befindet. Den hab ich deaktiviert und bin das
Problem nun los, Port ist dicht.
Selbst ist der Mann! Gut gemacht!
Aber mich wundert, dass die PF den Traffic nicht geblockt hat,
obwohl ich ihr es ausdrücklich angeschafft hab… („block web
servers TCP Port80“)
Wie kam der Traffic trotzdem zustande, ist die PF scheisse
(ich weiss, ich weiss: PFs taugen nichts) oder war das
Tunneling oder was? Geht doch nicht über Ports, oder?
Also, ich tippe auf „die PF ist scheiße“…
Trotzdem danke für Eure Hilfe.
Alex
Gruß,
Doc.
PS: Ich finde das sich-selbst-scannen(-lassen) durchaus eine akkurate Methode zur Prüfung der eigenen Konfiguration. Besonders bei Windows Betriebssystemen. Zusätzlich zu weiteren Maßnahmen.
