ports schliessen?
- Ersteller Raddocki
- Erstellt am
die firewall fragte mich welches prog ich zulassen will und welches nicht 
die war schon korekt eingestellt....aber probiere es doch einfach selbst aus.... richte dir ein testsystem ein, und schick smbdie mal los...da nützt dir die beste Firewall nix! Sogar Bitdefender Pro hat da kläglich versagt
die war schon korekt eingestellt....aber probiere es doch einfach selbst aus.... richte dir ein testsystem ein, und schick smbdie mal los...da nützt dir die beste Firewall nix! Sogar Bitdefender Pro hat da kläglich versagt Du brauchst nur das Sicherheitsupdate Q823980 von Microsoft einzuspielen, dann werden folgende Ports
69 UDP
135 TCP
135 UDP
139 TCP
139 UDP
445 TCP
445 UDP
4444 TCP gesperrt.
Hier gibt es auch noch was zu lesen:
http://www.microsoft.com/technet/tr...lutions/network/maintain/security/ipsecld.asp
Scripting policies with IPSECPOL.EXE
Included in the Windows 2000 Resource Kit is IPSECPOL.EXE, a command-line utility you can use to create, assign, and delete IPSec policies. IPSECPOL.EXE is very flexible—it can create dynamic and static policies in the Active Directory and in local and remote registries. Please see the documentation in the Resource Kit for complete information. Here, you'll create static policies in the local machine's registry.
IPSEC Policy Configuration Tool gibt es hier:
http://www.microsoft.com/downloads/...0c-a069-412e-a015-a2ab904b7361&displaylang=en
69 UDP
135 TCP
135 UDP
139 TCP
139 UDP
445 TCP
445 UDP
4444 TCP gesperrt.
Hier gibt es auch noch was zu lesen:
http://www.microsoft.com/technet/tr...lutions/network/maintain/security/ipsecld.asp
Scripting policies with IPSECPOL.EXE
Included in the Windows 2000 Resource Kit is IPSECPOL.EXE, a command-line utility you can use to create, assign, and delete IPSec policies. IPSECPOL.EXE is very flexible—it can create dynamic and static policies in the Active Directory and in local and remote registries. Please see the documentation in the Resource Kit for complete information. Here, you'll create static policies in the local machine's registry.
IPSEC Policy Configuration Tool gibt es hier:
http://www.microsoft.com/downloads/...0c-a069-412e-a015-a2ab904b7361&displaylang=en
Danke für die Links.
Wie sieht das jetzt aus mit einer Firewall, sind da die Ports bei korrekter Konfiguration dicht oder nicht - unabhängig davon ob jetzt Updates installiert sind oder eben nicht?
Weil wie schon erwähnt, Probleme hatte ich bis jetzt keine und http://www.grc.com/ meint, daß auf meinem PC alles Stealth ist.
Aber jetzt:
Wie sieht das jetzt aus mit einer Firewall, sind da die Ports bei korrekter Konfiguration dicht oder nicht - unabhängig davon ob jetzt Updates installiert sind oder eben nicht?
Weil wie schon erwähnt, Probleme hatte ich bis jetzt keine und http://www.grc.com/ meint, daß auf meinem PC alles Stealth ist.
Aber jetzt:
SMBdie ausprobiert
Der Port 139 wird für Attaken über SMB genutzt. Dieser Fehler wurde aber mit dem Service Pack für XP behoben. Wenn du dich nicht allein auf Microsoft verlassen willst, dann kannst du Kerio Personal Firewall benutzen. Die Firewall benutze ich. Ich habe mal das Hacktool SMBdie auf die Firewall losgelassen und die Attake hat nicht funktioniert.
Der Port 139 wird für Attaken über SMB genutzt. Dieser Fehler wurde aber mit dem Service Pack für XP behoben. Wenn du dich nicht allein auf Microsoft verlassen willst, dann kannst du Kerio Personal Firewall benutzen. Die Firewall benutze ich. Ich habe mal das Hacktool SMBdie auf die Firewall losgelassen und die Attake hat nicht funktioniert.
Habe ich mir doch gleich gedacht, daß die Firewall den entsprechenden Port dichtmacht. Ich bin noch nicht dazu gekommen das ganze mal bei mir zu testen, werde das aber auf jeden Fall noch nachholen und das Ergebnis hier posten.
Ich kann mir nur eine Fehlkonfiguration der Firewall vorstellen, damit eine solche Attacke wirksam ist oder eben, die Firewall war nicht auf dem aktuellen Stand.
Zum Ausprobieren dürfte es meiner Meinung nach egal sein, ob das betreffende System gepached ist oder nicht, da die Firewall auf jeden Fall einen solchen Angriff erkennen müßte - und zwar unabhängig davon, ob der betreffende Dienst jetzt gepached ist oder nicht.
Bye,
Ich kann mir nur eine Fehlkonfiguration der Firewall vorstellen, damit eine solche Attacke wirksam ist oder eben, die Firewall war nicht auf dem aktuellen Stand.
Zum Ausprobieren dürfte es meiner Meinung nach egal sein, ob das betreffende System gepached ist oder nicht, da die Firewall auf jeden Fall einen solchen Angriff erkennen müßte - und zwar unabhängig davon, ob der betreffende Dienst jetzt gepached ist oder nicht.
Bye,
enben nicht! weil der SMB dienst ein Windoof dienst ist, und das blockt deine Firewall eben nicht ab! sonst könnte kein netzwerk mehr laufen! und ob dein sys gepatcht ist oder nicht spielt da eine große rolle für das testen! wie willst du denn sonst herausfinden ob deine fireall oder dein patch den angriff abgeblockt hat??? ich habs mit outpost und norton getestet @ work. beide haben versagt, bitdefender hat auch nix bemerkt! diese "Kerio Personal Firewall" hab ich nicht benutzt, von daher kann ich über jene nix sagen!Bälle flachhalten, Meister! 
Du hast mir jetzt schon zum zweiten oder dritten Mal gesagt, daß die Firewall den Port nicht dicht macht. grisu dagegen hat geschrieben, daß bei ihm der Angriff verpufft ist, seine Firewall also geblockt hat.
IMO sollte die Firewall eine Warnmeldung bringen wenn SMBdie versucht Daten zu schicken - egal ob gepached oder nicht.
Und zwar genauso wie bei mir eine Warnmeldung kommt wenn der Microsoft PrinterSpooler Service ins Netz will und genauso wenn die svchost.exe oder die services.exe ins Netz will. Bei diesen 3 Diensten/Prozessen bekam ich eine Warnmeldung der Firewall, denn bei mir kommt ohne meine explizite Zustimmung keine Verbindung zustande.
Wie gesagt, werde dies noch mit dem SMBdie testen wenn ich Zeit habe und das Ergebnis posten.
Bye,
Du hast mir jetzt schon zum zweiten oder dritten Mal gesagt, daß die Firewall den Port nicht dicht macht. grisu dagegen hat geschrieben, daß bei ihm der Angriff verpufft ist, seine Firewall also geblockt hat.
IMO sollte die Firewall eine Warnmeldung bringen wenn SMBdie versucht Daten zu schicken - egal ob gepached oder nicht.
Und zwar genauso wie bei mir eine Warnmeldung kommt wenn der Microsoft PrinterSpooler Service ins Netz will und genauso wenn die svchost.exe oder die services.exe ins Netz will. Bei diesen 3 Diensten/Prozessen bekam ich eine Warnmeldung der Firewall, denn bei mir kommt ohne meine explizite Zustimmung keine Verbindung zustande.
Wie gesagt, werde dies noch mit dem SMBdie testen wenn ich Zeit habe und das Ergebnis posten.
Bye,
wie du sagtest, wenn sie ins netz wollen aber smbdie wird nicht von deinen PC losgeschikt sondern von einen anderen aus den Intranet! Und da wird dein PC gar nich erst gefragt ob er die daten zu deine Firewall schicken soll! zumindest bei norton ect....wie gesagt diese kenio (oder wie die heist ) kenn ich nich!
) kenn ich nich!Ok, wo du Recht hast, hast du Recht.
Ich habe mir gerade mal alle definierten Regeln meiner Firewall genauer angesehen. Unter vielen anderen fand ich auch eine definierte Regel für SMB auf W2k Systemen.
Guckst mal den Anhang an und dann frage ich dich mal, ob die Firewall das Ding nun blockt oder nicht.
Bye,
Anhänge
ok, diese firewall (welche ist es denn? ) blockt mit hoher wahrscheinlichkeit smb die ab! dennoch bleibt der konflikt mit norton bestehn, also beweist es mal wieder das der Marktführer nicht immer das beste ist, naja man siehst ja an windows
) blockt mit hoher wahrscheinlichkeit smb die ab! dennoch bleibt der konflikt mit norton bestehn, also beweist es mal wieder das der Marktführer nicht immer das beste ist, naja man siehst ja an windows 
Morgoth
Captain
- Registriert
- Juli 2002
- Beiträge
- 3.889
OK, du willst also die Ports dicht machen, auf denen Dienste laufen, die möglicherweise gefährdet sind. Dazu muss man erstmal wissen, welche Dienste denn überhaupt laufen und einen Port offen haben. Dazu öffnest Du die Konsole und gibts ein:
Da ist jetzt einiges zu sehen. Da wo "Abhören" steht, da läuft ein Dienst der auf eine eingehende Verbindung wartet. Gefährdet sind eigentlich nur TCP 135, 139 und 445 sowie UDP 137, 138, 445 und 500. Dumm nur, dass man diese braucht, um vernünftig im Netzwerk zu arbeiten.
Willst Du sie trotzdem dicht machen, dann aktivierst Du unter WinXP die Firewall für die ensprechende Verbindung. Dann sind Verbindungen von außerhalb auf diese Ports nicht mehr möglich.
Unter Win2k (vielleicht auch NT, das weiß ich nicht) öffnest Du die Eigenschaften einer Netzwerkverbindung, dann die Eigenschaften von TCP/IP->Erweitert->Optionen->Eigenschaften TCP/IP-Filter. Dort aktivierst Du dann den TCP/IP-Filter und kannst dann die Ports eintragen, die Du zulassen willst. Das wären 21 (ftp), 25 (smtp), 80 (http), 110 (POP3) oder 143 (IMAP), 443 (https) sowie natürlich alle Ports, die Du für Spiele oder ähnliches brauchst. Für die explizit genannten Ports bitte nur TCP, für Spiele ist meistens UDP dran (steht meistens im Handbuch des Spiels).
Ne Personal Firewall wirst Du so nicht brauchen.
Gruß
Morgoth
Code:
netstat -anWillst Du sie trotzdem dicht machen, dann aktivierst Du unter WinXP die Firewall für die ensprechende Verbindung. Dann sind Verbindungen von außerhalb auf diese Ports nicht mehr möglich.
Unter Win2k (vielleicht auch NT, das weiß ich nicht) öffnest Du die Eigenschaften einer Netzwerkverbindung, dann die Eigenschaften von TCP/IP->Erweitert->Optionen->Eigenschaften TCP/IP-Filter. Dort aktivierst Du dann den TCP/IP-Filter und kannst dann die Ports eintragen, die Du zulassen willst. Das wären 21 (ftp), 25 (smtp), 80 (http), 110 (POP3) oder 143 (IMAP), 443 (https) sowie natürlich alle Ports, die Du für Spiele oder ähnliches brauchst. Für die explizit genannten Ports bitte nur TCP, für Spiele ist meistens UDP dran (steht meistens im Handbuch des Spiels).
Ne Personal Firewall wirst Du so nicht brauchen.
Gruß
Morgoth
Ähnliche Themen
