Moin,
am 06. April hat jemand, der sich Conrad R. nennt in de.comp.security.firewall einen Thread ("offene Ports") begonnen, in desen Verlauf man viel über Ports, Windows und Kontrolltools lernen kann.
Bei Groups Google findet beginnt der Thread unter dieser URL (http://groups.google.de/groups?hl=de&frame=right&rnum=21&thl=1100313622,1100806884,1084397516,1084387065,10 84383603,1084324699,1084312378,1084303843,10842729 34,1084238024,1084100998,1084099570&seekm=a5ji12%244jj%2402%241%40news.t-online.com#link22); der zweite Beitrag auf dieser Seite ist der Startbeitrag von Conrad R. Man sollte allerdings den Thread möglichst ganz lesen (jedenfalls die Postings, wo die Teilnehmer nicht aufeinander losgenen :( ), denn einiges, was zu Anfang als wichtig erscheint, wird später relativiert.

In weiten Teilen des Threads geht es um den Nutzen von netstat zur Kontrolle offener Windows-Verbindungen. Wer sich das mal bei sich ansehen will, der gebe in die Dos-eingabeaufforderung netstat -a ein. Ich hoffe, daß es mir bei nochmaligem Lesen des Usenet-Threads gelingt herauszufinden, was die Ausgabe von Netstat auf meinem Computer genau bedeutet. Beruhigt bin ich jedenfalls schon mal, daß mein Computer offenbar hauptsächlich mit sich selber spricht :D.

Viel Gruß
Thomas

Offene Ports sind so eine Sache.

Zwischen dem Rechner auf dem ich Tippe, und dem Internet, liegt bei mir ein GateWay. Dieses ist ein Linux Rechner der per IPCHAINS (lowLevel Firewall) nur das durchlaesst was ich will. Ich habe z.B. eine statischen Namen im Internet (Hahn2001.ath.cx) und wenn Du diesen an"PING"st bekommst Du keine Antwort. Wieso? Ich habe meinem LinuxGateway beigebracht nur auf Anfragen zu antworten die ich genehmige. Und dieses sind nur Anfragen die ich explizit erlaubt habe oder die aufgrund von anfragen meiner selbst gesendet wurden - der verwendete Port fuer die Anfragen ist egal. (was fuern satz;)).

Quasi: Alle Anfragen die ich ans Internet stelle, kommen auch zurueck, da meine FireWall weiß das ich diese "angeleihert" habe. Alles andere wird geblockt.

Ping ich Dich, bist Du da, Pingst Du mich, bin ich "SCHEINBAR" nicht da/tot.

Ein anderes Wort fuer Port ist uebrigens Dienst. Port 21/20 = FTP. Port 80/8080=Html/WebAnfragen. usw.usf. Dann muss man noch zwischen UDP und TCP Port unterscheiden, so einfach wie Port=Dienst ist es somit auch wieder nicht ;)

Es bleibt jedem selbst ueberlassen was er nutzt/blockt oder nicht.

Die Gefahr ist wohl mehr die Unwissenheid. Ich schaetze mal, EdWard, ich haette mit einer gewissen Energie sicherlich die Moeglich zu entdecken welche Dateien sich bei Dir unter C: befinden. Schon aus diesem Grunde HASSE ich offene Ports. Und Windows ist in meinen Augen (IMHO) ein wahnsinniges Sicherheitsloch. Ich nutze wohlgemerkt selbst Windows - aber zwischen mir und der Aussenwelt sitzt mein kleiner Pentium90 Waechter - der jedem auf die Finger klopft der ungebeten die Tuer aufmachen will. ;)


Gruesse,
Hauwech

Beruhigt bin ich jedenfalls schon mal, daß mein Computer offenbar hauptsächlich mit sich selber spricht :D.


Aeh.. ;) Waere nicht mein Gate, wuerde ich das nicht Posten ;)

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP nbt:epmap nbt:0 ABHÖREN
TCP nbt:microsoft-ds nbt:0 ABHÖREN
TCP nbt:1025 nbt:0 ABHÖREN
TCP nbt:1033 nbt:0 ABHÖREN
TCP nbt:4116 nbt:0 ABHÖREN
TCP nbt:4118 nbt:0 ABHÖREN
TCP nbt:netbios-ssn nbt:0 ABHÖREN
TCP nbt:1029 nbt:0 ABHÖREN
TCP nbt:1029 p3.hahn:netbios-ssn HERGESTELLT
TCP nbt:1032 nbt:0 ABHÖREN
TCP nbt:1032 s17.hahn:netbios-ssn HERGESTELLT
TCP nbt:4108 s17.hahn:8080 WARTEND
TCP nbt:4110 s17.hahn:8080 WARTEND
TCP nbt:4111 s17.hahn:8080 WARTEND
TCP nbt:4112 s17.hahn:8080 WARTEND
TCP nbt:4116 s17.hahn:8080 HERGESTELLT
TCP nbt:4118 s17.hahn:8080 HERGESTELLT
UDP nbt:epmap *:*
UDP nbt:microsoft-ds *:*
UDP nbt:1026 *:*
UDP nbt:3792 *:*
UDP nbt:netbios-ns *:*
UDP nbt:netbios-dgm *:*
UDP nbt:isakmp *:*

C:>



"*.*" bedeutet fuer jeden ansprechbar ;) Bei Dir wird die netstat -a Statistik nichst anderster sein. Ausserdem zeig -a nur an, was zur zeit verbunden/offen ist.

Wenn Du mal testen moechtes WAS bei dir offen ist,
fuehre mal die Tests unter

http://grc.com/lt/leaktest.htm

oder

http://scan.sygatetech.com/ (QuickScan, Stealth, etc.pp.)

durch. Wen gewuenscht nenn ich noch mehr Urls ;) fuer Security Leak Checks.

gruesse,
th


p.s. Bei mir haben die genannten Dienste noch nicht mal feststellen koenn n das ich Online bin ;)


Gnach

Ich habe gerade einen Huebschen Text gefunden so, wie es sein sollte in Sachen offene Ports.

"Blocked" ports are not only closed, but they are completely hidden (stealthed) to the world. This would be like shutting and locking your door, and then painting over it so no one can tell there is a door there. In general, not even programs on your computer can open the door if it is properly blocked.

..und..

If absolutely no response is received from the port, we assume it is blocked. Blocked is the same as your computer being turned off: it refuses to respond to any incoming requests. Technically this is against the rules of TCP/IP networking etiquette... but it is great for security.


=>=>=> Sowas erreicht man nur mit einer teueren Firewall, oder mit Freeware/GPL Software Namens Linux ;)

Gnacht nun endgueltig,
th

Moin,
was die Sicherheit betrifft, bist Du als Profi sicherlich im Vorteil gegenüber Teilzeit-Computernutzern wie meiner Wenigkeit. Die Gebrauchsanleitung für Linux allein ist schon umfangreich und schwer zu verstehen; wenn ich damit ein sicheres System mit IP-Chains und solchen Dingen aufsetzen wollte ohne dabei irgendwelche offenen Proxies/Mailrelays zu verursachen, müßte ich meine normale Arbeit erstmal ein Jahr ruhen lassen :( - Und ich fürchte, bei den besseren Windows-Versionen (2000 Professional und XP) erfordert die Konfiguration auch nicht gerade eine kurze Einarbeitungszeit.

Ich bin mal gespannt, wann es ein DAU-freundliches Betriebssystem geben wird, das die Konfigurations- und sicherheitsmöglichkeiten von Linux mit der KlickiBunti-Bedienfreundlichkeit von Windows (oder einem Rasierapparat) verbindet. Wie beim Automobil: Das kann ja auch jeder stabil und sicher (jedenfalls wenn er will) nutzen, ohne vorher Automechaniker oder Fahrzugingenieur gelernt zu haben.