Hallo,
nach dem Update von Win98 auf WinME und der Kontrolle meiner Ports über div. Onlinescanner von Sicherheitswebseiten, werden mir auf den
Webseiten alle relevanten Ports meines PC als \'stealth\' bzw. \'closed\' angezeigt, obewohl ich keine Firewall installiert habe!
Ist WinME denn so schlau und macht alles zu, auch ohne Firewall?
(Anonym) Nachtrag zu: „Ports alle zu?“
Ja!
Das Betriebssystem oder auch du selber, hat dafür gesorgt, das keine Dienste(SMTP,Telnet,NetBios usw.) per default installiert wurden und Ports zur Kommunikation mit der Außenwelt öffnen.
Merke: Nicht eine installierte Firewall macht die Ports zu, sondern das Betriebsystem deines Rechners. Die Firewall, gaukelt nur den Scannern vor, das dieser oder jener Port closed bzw. stealth ist, obwohl er offen steht. Wie der Name schon sagt, eine Wand vor der Tür,
ob offen oder zu!
Falls du es mit deinen Scannversuchen nicht schon selber probiert hast, hier ein Link zu einem Onlinescanner, der alle 65535 Port's eines PC scannt und zeigt welche offen und welche zu sind, die Offenen sogar mit Angabe welcher Dienst dahinter steckt:
http://www.lfd.niedersachsen.de/service/service_selbstt.html
Sanja-27 (Anonym) „Ports alle zu?“
Auch ohne Firewall, ja!
Aber das kann Win95/98/2000 auch, richte in der Netzwerkumgebung in der Systemsteuerung keine Dienste ein, entferne ebenfalls dort die NetBios-Bindung vom DFÜ Adapter wenn sie installiert sein sollte und
installier keinen Mail-, Telnet-, FTP-Server, schon hast du das gleiche Bild - keine offenen Ports, keine Angriffmöglichkeit von außen
und das alles ohne Firewall, die eh bis zu 10% der Systemressourcen verbrauchen würde, weil es unter Windows keinen Kernelsupport für eine Firewall gibt!!!
Mister Jingles (Anonym) „Ports alle zu?“
Wenn man nix aufmacht, is eben alles zu. Oder was habe ich da nicht verstanden? :-)))
Mister Jingles
ShipHank Mister Jingles „Wenn man nix aufmacht, is eben alles zu. Oder was habe ich da nicht verstanden?...“
So, oder so ähnlich SMILE!
Ohne jetzt ne Anhandlung über TCP/IP und so niederzuschreiben, das würde nämlich Stunden dauern:
Ein Dienst (Service, Software oder nenn es Programm) installiert durch das Setup eines Betriebsystems, von dir selber, oder indirekt
durch ein anderes Programm(Trojaner) macht z.B einen der 65535 Ports
(nur für die, die solche Seiten wie www.grc.com aufsuchen und scannen lassen, die checken so viel ich weiß nur 10 Ports) eines PC auf und wartet auf Anfragen oder sendet selber welche raus ins Netz.
Aber nur die Tatsache das da jetzt irgendein Dienst auf einem Port werkelt, macht den PC noch nicht angreifbar über diesem Port. Dazu muß der Dienst eben ein sogenannter Server sein und die Anfrage an ihn über den Port, muß von einem Client kommen den er und der ihn versteht! Das ist auch die Tatsache, welche die unbedarften User immer wieder in Schrecken versetzt, wenn ihre Firewall meldet das eine Anfrage auf Port 1243 erfolgte und Sub7 Trojaner oder so geblockt wurde. Das war dann kein Angriff, sondern nur die Suche ob jemand sich einen Sub7 Server Dienst installiert hat, der einen auch noch versteht und zufällig auf Port 1243 nach Anfragen von Clients lauert.
Hat man sich nun so einen Dienst auf die oben beschreibene Weise _nicht_ installiert, kann auch die Anfrage keine Antwort bekommen.
Dann ist es auch völlig irrelevant, wer der Anfrage keine Antwort gibt, das Betreibsystem weil der Port zu ist, der Dienst hinter dem offenen Port, der weil er nicht zum Anfrageclient paßt auch nichts antwortet, oder die Firewall die wegen einer Filterregel sagt: "ätsch hier ist nichts"
Merke also:
Auf- und zumachen von Ports tut das Betriebsystem in Zusammenarbeit mit den Diensten(harmlose und gefähliche)!
Eine Firewall stellt sich vor die offenen Ports, macht diese aber nicht zu, sondern hält die Hand davor!
Entscheiden muß jetzt jeder selber wem er mehr vertraut, sich selber nachdem er sich genügend schlau gemacht hat und das System anweisen kann sich "dicht" zu machen, oder einer richtig konfigurierten Firewall welche die Hand vorhält!
Hank
Mister Jingles ShipHank „So, oder so ähnlich SMILE! Ohne jetzt ne Anhandlung über TCP/IP und so...“
Hmmm gute Erklärung. Da haste aber viele Zeichen getippt :-). Troztdem noch ne Frage: Was heisst denn Hand davorhalten oder zumachen? Wo ist der Unterschied? Meinst Du, dass man den Port dann doch teilweise aufmachen kann? Das geht ja dann wohl nur für bestimmte Programme. Wenn ich sonst Port x für Protokoll y ein- und ausgehend sperre ist der doch absolut dicht.
Mister Jingles
ShipHank Mister Jingles „Hmmm gute Erklärung. Da haste aber viele Zeichen getippt :- . Troztdem noch ne...“
> Was heisst denn Hand davorhalten oder zumachen?
Hand davorhalten, heißt das Datenpaket wird nicht erst zum Port,
egal ob zu oder offen duchgelassen, sondern vorher durch die Firewall abgewiesen. Die gleiche Abweisung, die dein OS auch machen würde, wäre der Port zu.
>Meinst Du, dass man den Port dann doch teilweise aufmachen kann?
Klar, die Firewall macht ihn ja nicht physikalisch zu!
Ein Dienst(Programm) das einen Port braucht, macht ihn auch wieder auf, egal ob eine Firewall da ist oder nicht.
Was deine Firewallregel dann macht, ist lapidar beschrieben folgendes:
- von dem offenen Port X kommt ein Datenpaket über das Protokoll Y
- dieses Datenpaket schlägt dann an deiner Firewall auf
- deine Firewall sieht in ihren Filterregeln nach, ob von offenen Ports X, Pakete mit dem Protokoll Y nach außen passieren dürfen oder nicht.
oder:
- vom Internet aus kommt ein Datenpaket über das Protokoll Y auf deinem Rechner an.
- Diese Paket möchte an Port X weiter, in der Hoffnung oder mit der Gewißheit er ist offen.
- vorher muß er aber noch an der Firewall vorbei
- die schaut wieder in ihre Filterregeln ob ein Paket welches über Protokoll Y kommt an Port X weiter darf, dabei ist es ihr völlig egal ob der Port nun vom Betriebsystem auf offen oder zu gesetzt ist, sie macht ja eh nur den Verteiler für die Datenpakete.
Im letzteren Fall mal angenommen, die Regel läßt das Paket durch!
Ist dann aber der Port zu, so wird das Paket auch abgwiesen, so als wenn die Firewall es abweisen würde.
Das ganze funktioniert in etwa so wie auf dem Postverteileramt (Firewall), die sortieren auch Einschreiben nach Empfänger in bestimmte Fächer (Ports). Dort werden die dann vom Postboten rausgeholt und an die Haustüren gebracht, bist du nicht da(Betriebsystem hat Port zu gemacht), nimmt der Postbote die wieder mit!
Mister Jingles ShipHank „ Was heisst denn Hand davorhalten oder zumachen? Hand davorhalten, heißt das...“
Gute Erklärung. Hast Du mein Posting oben gelesen mit SYN und ACK? Wie funktioniert denn das Postamt technisch gesehen? Also z.B. wie teilt das OS mit, dass der Port offen oder zu ist? Welche Bits sind da wo gesetzt? Der TCP-Handshake wird doch dann von der Firewall an das OS weitergleitet (falls nicht verboten). Und das OS antwortet mit - tja womit? Oder bin ich da auf dem falschen Dampfer?
Mister Jingles
(Anonym) Mister Jingles „Gute Erklärung. Hast Du mein Posting oben gelesen mit SYN und ACK? Wie...“
hm...also mal der versuch einer erklärung...bezieht sich jetzt allerdings nur auf eine statefull packet filter firewall...also, die firewall kontrolliert, was auf dem interface ankommt nach absender-ip, protokoll, dienst, port (nicht unbedingt alles von diesen). die erste regel, die auf das paket zutrifft wird genommen. trifft keine regel zu, dann wird die globale policy der wall angewandt (accept, reject oder drop).
angenommen das paket wird angenommen (regel trifft zu mit accept) dann wird es an den protokoll-stack weitergeleitet, der das paket verarbeitet und eine antwort mit der aushandlung eines ports für die kommunikation, den die firewall dann dynamisch freigibt. beispiel..du betreibst einen webserver, ein client kontaktiert auf standardport 80, was die firewall zulässt, alle anderen ports sperrt sie. das paket wird zum http-server durchgelassen, der beantwortet das paket mit einem SYN/ACK paket unter angabe des ports 1048 (z.b.), der client kommuniziert dann weiter mit dem server auf port 1048, wodurch eine verbindung durch die wall aufgebaut wird.
nächster fall, das paket wird nicht durchgelassen, weil eine regel es untersagt, so ist wieder zu sehen, ob es auf reject oder drop gesetzt ist. steht es auf reject, so wird dem client mit einem icmp paket mitgeteilt, daß das paket nicht angenommen wurde. steht es auf drop, so verliert es sich einfach im nirvana.
jetzt könnte man ja denken drop sei die bessere wahl, da reject ja für dos attacken mißbraucht werden kann, stimmt aber leider nicht ganz, da der client, wenn er keine antwort bekommt denkt, das paket ist unterwegs verloren gegangen und eventuell schickt er daraufhin gleich mal ein paar neue hinterher...geschieht dies dann in einem netzwerk mehrere tausend mal, so kann man ein netz auch lahm legen.#reject ist also die höflichere und sinnvoillere methode.
Mister Jingles (Anonym) „Ports alle zu?“
Ein gutes anonymes Posting. Du solltest Dich registrieren lassen, dann erkennen die anderen Dich auch an.
Naja, aber eine Frage hätte ich da: Wenn wie in deinem Beispiel Port 1048 verwendet wird, ändert der sich (vielleicht sogar schnell) oder bleibt der für eine Sitzung immer konstant (vermute ich mal)? Und wen der Client gerade was anderes macht mit 1048?
Mister Jingles
Mister Jingles Nachtrag zu: „Ein gutes anonymes Posting. Du solltest Dich registrieren lassen, dann erkennen...“
das sollte eigentlich weiter unten stehen, hmmm
xafford Mister Jingles „das sollte eigentlich weiter unten stehen, hmmm“
macht nix, hab´s trotzdementdeckt ;o)...also zu 1. ich bin xafford, mir kam beim abschicken nur grad ein user dazwischen.
zum anderen. der port bleibt für die komplette verbindung bestehen bei den meisten (sinnvoll programmierten) anwendungen. bei streasming media anwendungen allerdings (real player) findet meist ein wildes portmapping statt, was auch das problem von firewalls ist, da diese eine gewisse kenntnis dieses verbindungslosen protokolls haben müssen (meist wird udp benutzt). windiws ist sogar so treu das es verbindungen noch als aktiv kennzeichnet, obwohl diese längst nicht mehr bestehen. mach zum test mal einen netstat -a, dann siehst du verbindungen, die länst nicht mehr bestehen.
