Hallo Leute,
möchte etwas zu meiner Sicherheit beitragen und habe mir deshalb einen NT4 PDC (Domänencontroler) mit MS-Proxy 2.0 vor meinen 98Se gestellt. Bei einem Selbsttest auf einer Datenschutzseite wurden mir allerdings folgende offene Ports mitgeteilt:21,70,135,139,1031,5800,5900 also gopher epmap u.s.w.
Nun zu meiner Frage:
Ist mein 98Se sicher?
Ist mein Server sicher (den möchte ich auch als Fileserver nutzen)?
Soll auf dem Proxy noch eine Firewall?
Also wer weiss seriösen Rat?
Vielen Dank.
Markus
Ob der Domänencontroler nur vor, hinter, links oder rechts neben deinem Win98SE Rechner steht ist Jacke wie Hose!
Welcher Rechner hängt denn direkt am Netz, beide?
Ein Proxy auf dem NT, ist noch kein Indiez das der den Zugang regelt!
Nun zu deiner Frage:
Ist mein 98Se sicher?
Anwort: Ohne genaue Prüfung erstmal nein!
Ist mein Server sicher (den möchte ich auch als Fileserver nutzen)?
Antwort: dito. ohne genaue Prüfung erstmal nein!
Soll auf dem Proxy noch eine Firewall?
Antwort: Das mußt du selber entscheiden, wir kennen deine Präferenzen im Umgang mit deinen Daten auf deinen Rechnern nicht. Da du aber ein Forum wie Nickles aufsuchst, kann man davon ausgehen das die
Einrichtung eines Firewallsystems für deinen Server oder Client dir mehr Probleme machen und noch mehr Unsicherheit bringen wird, als es ganz zu lassen!
Wenn du unbedingt von überall auf der Welt übers Internet auf deine Dienste wie gopher, ftp, NetBios Shares, usw. zugreifen mußt/willst, dann beauftrage einen Consultant, der sich mit der Einrichtung und deiner Schulung in der ständigen Administration von Firewalls auskennt!
Wenn du diese Dienste nicht brauchst, dann stelle eben diese Dienste auf deinem Server ab!
Est einmal vielen Dank an Dich.
Im Netz ist natürlich nur der Pdc, und der´98 wählt sich über den Proxy (auf dem Server)ein. Den Server lasse ich am Anmeldebildschirm stehen, sodass nur die Dienste starten und keine Benutzrrechte (Admin surft im I-net). Dennoch möchte ich auf FTP (Homepage) und E-Mail nicht verzichten. Die Funktion der anderen Ports kenne ich nicht.
"Deny any any" geht also nicht!
Vieleicht weis noch Jemand einen Tip zur konfiguration von MS-Proxy 2.0
Markus
FTP und Email aber nur als Clients oder, du willst bestimmt keinen eigenen FTP Server bzw. Mail Server betreiben? Die Dienste, welche die restlichen offenen Ports benutzen schalte in der Systemsteuerung unter Dienste aus bzw. deinstalliere sie ganz.
Zu MS-Proxy 2.0 kann ich nicht viel sagen, aber wenn du noch etwas Geld übrig hast, kauf dir WinRoute von Tinysoftware (Demo unter www.tinysoftware.com), aber die Pro-Version!
WinRoute ist ein Router, DHCP-Server, Mail-Server, Proxy in einem und hat gleich ne richtige Firewall (ICSA-certified firewall) die auf Paketfilterebene arbeitet und nicht wie diese Spieldinger von Norten, ZoneLabs etc. auf Anwendungsebene. Bei der kannste genau festlegen welche Protokolle auf welchen Ports rei/raus und von wo oder wohin dürfen. Ich arbeite seit ca. einem Jahr in meinem Büro sehr gut mit WinRoute und kann auch Tips zur Konfiguration geben.
Falsch!
Die TinyPersonalFirewall ist wie der Name schon sagt eine PersonalFirewall und hat keine Routerfunktionalitäten und auch keine Mail/DHCP Serverfunktionalitäten wie WinRoutePro. Hier ging es um die Anbindung eines LAN's an Internet und die Absicherung des Servers und der Clients!
Was den Firewallteil in WinRoutePro betrifft, jain!!!
Da die TinyPersonalFirewall vom selben Hersteller ist wie WinRoutePro,
ist sie natürlich ähnlich, aber es ist eine abgespeckte und auf die Belange eines Einzelplatzsystems getrimmte Firewall!
Hat man bei ihr keine tieferen Kenntnisse in Transferprotokollen, Netzwerke usw. und nutzt man die autom. Rulesetgenerierung ohne nachträgliche Anpassung der Filter, ist sie genauso anfällig wie andere ApplicationFirewalls.
Sie erlaubt entweder jeder Applikation den Zugriff auf ein Protokoll/Port oder gezielt einer Applikation.
Desweiteren fehlen ihr gegenüber dem großen Bruder in WinRoute einige Protokolle und Filtermöglichkeiten mit den TCP-Flags und was in dem Fall des Urposter viel wichtiger ist, die Möglichkeit die Rulesets auf verschieden Netzwerkadapter zu legen, interne wie auch externe!
Es stimmt allerdings, das die TinyPersonalFirewall für den HomeUser kostenlos ist und wesentlich mehr kann und auch sicherer ist als ZoneAlarm, solange man weiß was man macht und die Filter von Hand nachbearbeitet oder gleich manuell erstellt.
Was glaubst Du, will ich mir leisten für zuhause? 1000 Mark-Produkte? Dafür kauf ich mir Hardware zu Weihnachten aber bestimmt keine Firewall :-) Zumal ich die Rechner bisher alle mit den kostenlosen Teilen dicht bekommen habe, kann man mit Online-Scannern prüfen.
Und was kann man für kostenlos schon erwarten? Ich finde, man bekommt ne ganze Menge verglichen mit früher.
Du scheinst es immer noch nicht verstanden zu haben, der Threadinitiator suchte _keine_ Firewall, sondern eine Proxy/Routerlösung für seinen Domainencontroler und fragte nach Installationshilfen für dieses technische Problem, da wurde ihm eine Alternativlösung von einem Mitleser hier angeboten, die als Beigabe zufällig eben auch ne Firewall enthält!
Zu deiner Firewall und den Onlinescannern, wenn du mal aufmerksam hier die Postings mitlesen und auch mal selber recherchiren würdest, was hier im ersten Anschein antifirewallmäßiges geschrieben wurde, dann wüßtest du, das Onlinescanner oder Portscanner im allg. sinnlos sind und auch deine Firewalls dir absolut keinen Schutz bieten, sondern es nur vorgaukeln.
Aber alle Nicklesnutzer scheinen lernunwillig zu sein und die Fachleute die hier mal vor Wochen noch gute Hilfe geleistet haben, haben das Board auch schon längst verlassen, weil sie es wahrscheinlich leid sind, den lernresitenten DAU's aus ihrem DAU Stadium herrauszuhelfen.
Der Fragesteller hat offene Ports als Problem beschrieben. Mit der Firewall machste die zu und gut ist das. Und mit den Online Scannern kanst Du das vorher und hinterher prüfen. Und siehe da, es funktioniert.
Aus deinem Posting kann man *absolut* nichts lernen. Das ist eine einzige Beschimpfung, die darin gipfelt, dass Du alle Nickles-User als "lernresistente DAUs" beschimpfst. Toll. Was kann man von anonymen schon erwarten.
Mensch das ist doch völlig wurscht, wie Du das bezeichnest. Dann blockiert Sie ihn eben. Na und? Wo ist der Unterschied vom Standpunkt der Sicherheit für meinen Rechner? Geh mal auf die Online-Scanner: da gibt es nur open, closed und stealth. Was heisst wohl closed? Das war alles, was ich meinte.
Laß doch mal von einer dir vertrauenswürdigen Person die ein Unixderivat fährt, deinen Rechner übers Inet mit Nessus oder einen der anderen guten Scanner (der Unixmensch wird schon wissen welcher gut ist) scannen. Dann wirst merken, die Onlinescanner kratzen nur an der Oberfläche, die richtigen Löcher sitzen viel tiefer im System.
Jetzt wirds aber richtig spannend. Ich frag mich nur wirklich, wenn es da so einen guten Scan-Service gibt, wieso ist der dann nicht public z.B. wie grc.com? Das würde sich bestimmt rumsprechen.
Aber gerade die Scanner sagen doch auch nur, bei welchen Ports eine Antwort kommt und wo nicht. Wieso ist da ein Unix-Scanner besser als ein sagen wir Internet Security Scanner (für NT hatte ich den mal, ist richtig teuer)? OK nen Software Test können wir jetzt schlecht machen :-)))
Ich meine, für mich ist nur das gefährlich, was ich auch prüfen kann. Dampfplaudern ist wenig nützlich. Und bei den Online-Scannern erhalte ich wenigstens Antworten, allerdings habe ich schon festgestellt, dass die Ergebnisse schon mal abweichen können. Nicht grob. Oder doch???
hallo jingles...zur besseren verständlichkeit, was der anonyme gemeint hat, führ dir mal diese seite zu gemüte, vor allem den teil über scanner (nmap, nessus u.s.w.) www.security-guide.ch
sorry, daß ich mich einmische, aber kann es sein, das du die kategorien von firewalls etwas durcheinander gebracht hast? eine packet socket firewall ist eigentlich die rudimentärste art von firewalls, die eigentlich nichts macht, als protokolle, ports oder ips zu sperren, ohne kenntnisse des protokolls an sich...die nächsthöhere wäre dann eine statefull packet socket firewall, die ports dynamisch nach anforderungen freischalten kann, wenn applikationen dies vorraussetzen und die höchste stufe normaler firewalls sind application level firewalls, die das protokoll kennen und die pakete auf anwendungsebene auf malcode überprüfen können, sie werden auch proxy-firewalls genannt und sind nicht für alle anwendungen zu haben.
hiermit wollte ich allerdings nicht die personal firewalls hochwerten, da sie aus der obengenannten kategorisierung komplett rausfallen, da sie nicht von alledem richtig sind, sondern alles ein bißchen.
Das ist richtig was du das schreibst, aber ich wollte den Fragesteller nicht zu sehr mit Internas verunsichern und habe
es daher allgemeiner gehalten, weil auffällt, das die Masse der
Fragenden hier im Board keine tiefgreifenden Kenntnisse des Themas
haben und man denen mit einfacheren Beispielen besser dienen kann.
gut, ich gelobe Besserung und versuche demnächst auch mal wieder ausführlicher zu erklären, evt. lernen die lernwilligen Mitleser dann
ja auch etwas dabei! :-))
Aber ist doch schon interessant, was aus einer kleinen Frage für ein riesen Thread wird, bei dem wahrscheinlich der erste Fragesteller immer noch nicht weiß, was für ihn nun das Beste ist!
Geht mir auch so, vielleicht sollte sich "Anonym mit damalieger IP 149.225.49.181 vom 20.03.2001" nochmal zu Wort melden, ob er nun weiter ist mit seinem Problem und dem PDC, Ports und Proxy!
Ich habe genau die gleiche Konfiguration :-)) Welche Datenschutzseite meinst Du denn? Ich geh meistens zu grc.com oder sygate.com. Ich habe abwechselnd Personal Firewalls laufen, ZA ist OK, Sygate aber auch. Andere sind auch nicht unbedingt schlechter. Und die Teile machen mir die Ports 100% zu, das sagen mir die Online-Scans.
Wenn bei Dir diese Ports offen sind, dann ist das nicht normal. Also Firewall drauf und testen. Den Proxy nehme ich echt nur für die LAN-Anbindung und da geht er ganz gut.
Eine Firewall macht nicht die Ports zu, das nur nebenbei!!!
Habe ich mir einen Trojaner installiert, habe ich das mit "Absicht" getan, dann nützt mir die Firewall auch nichts mehr. Ist kein Trojaner auf meinem System, weist das Betriebsystem die Anfrage des Scanners auf einen Port zurück, völlig egal ob der Port offen oder geschlossen ist. Etwas anderes macht eine PersonalFirewall auch nicht, sie weist die Anfrage des Scanner ebenso zurück, egal ob der gescannte Port offen oder zu ist!
Was ist also der Nutzen einer PersonalFirewall?
Wenn bei ihm, ein Mailserver läuft ist das schon normal das der SMTP Port offen ist, beim FTP Server dito.
Also geh erstmal etwas über Datensicherheit und Transferprotokolle lernen und dann hier posten!
Wenn die keine Ports zumacht, kannst Du mir vielleicht erklären, was die sonst macht? Sag jetzt nicht Anwendungen blocken. Und was heisst das dann bei den Online Scannern, die die Ports scannen und meinen, dass sie offen sind oder zu oder stealth? Dann spinnen die wohl alle???
Trojaner: Gerade dann nützt Dir die Firewall was, weil Sie bemerkt, wenn der Trojaner nach Hause telefoniert.
Lerne selber erst mal, wie man höflich mit Leuten redet, ehe Du hier die Leute anmachst, mein anonymer Freund.
Sie leitet die Anfrage nicht an den Port weiter, aber macht ihn auch nicht zu! Die Onlinescanner können ja nicht wissen, ob du eine Firewall hast die die Scananfrage abblockt, oder ob du über dein Betriebsystem den Port zu gemacht hast und deshalb die Scananfrage abgewiesen wird, also melden sie alles ok!
Ist das so schwer zu verstehen???
Wenn die PersonalFirewall meldet, das ein Trojaner nach Hause telefoniert ist es doch schon zu spät, sie hat dir nichts gemeldet als du dir diesen Trojaner installiert hast und du sie hat dir keine
Informationen gegeben, ob der Trojaner nicht schon wochenlang andere von dir in der PersonalFirewall als sicher eingestufte Anwendungen wie Explorer, ICQ, FTP Programm oder Downloader wie GetRight usw. als Wirte genutzt hat und seine Daten eben an den Datenstrom dieser Anwendungen gehängt hat bzw. über sie gesendet hat.
Seit es diese PersonalFirewalls auf dem Markt gibt und eine Panikreaktion unter den DAU's herscht und in allen Medien diese Firewalls als sicher angepriesen werden, haben die Entwickler von Trojaner diese Möglichkeit des Huckepacksendens in ihre Werke eingebaut! Das nur als Info!
Mich würde mal interessieren mit welchen Bits im TCP-Header oder wo immer mitgeteilt wird: Dieser Port ist offen, zu oder stealth? Sind das wirklich die drei Zustände?
"Zu" heisst doch nur, dass SYN-Requests nicht mit ACK beantwortet werden, oder? Und "Offen" heisst, der Server sendet das ACK und dann geht es weiter. Und stealth heisst "IP nicht vorhanden", also letztlich auch kein ACK auf ein SYN, eben alles tot=keine Antwort.
Trojaner: Nach meinem Verständnis braucht die PF das auch nicht merken, wenn Du Dir sowas installierst. Das wäre natürlich schön aber mein Auto gibt ja auch keine Milch. Also das ist doch wohl eher was für einen Viren-Scanner.
Und mit dem Huckepacksenden das wirft ja unendlich viele Fragen auf. Hast Du sowas schon mal nachweisen können? Wenn ja wie und wie haben die das gemacht? Quellcodes?
zum huckepacksenden...schon mal was von tunneling gehört? das ist das gängige mittel, um eine firewall zu durchdringen...du nimmst eine erlaubte verbindung und lässt die datenpakete in die ursprünglichen pakete einkapseln, klingt jetzt zwar bescheuert, ist aber machbar und wird auch gemacht.
nochwas zu tcp ports, es werden 3 pakete zur aushandlung zw. server und client übermittelt: SYN, SYN/ACK und ACK und normalerweise schlägt eine firewall auch keinen alarm, wenn ein portscan verdeckt ausgeführt wird, also nur ein SYN paket an den rechner gesandt wird. (hat zwar nix mit dem thema zu tun, aber egal)
jaja mit welcher Software macht man das denn: Ich meine das Einkapseln ist ja wohl nicht so einfach. Wenn es gelingt, muss ja am Ziel wieder der Trojaner zusammengebaut werden oder was auch immer. Theorie..., man bräuchte ein Trojaner-Tunnel-Construction-Set, mit dem das geht aber wo auch steht WIE es geht. Knöpfchen drücken alleine bringts ja nicht. Ausser bei den anonmyen vielleicht :-)
Stimmt das nu: Wenn kein SYNACK zurückkommt, ist der Port closed?
Naja, wieso ich finde schon, dass das hierher passt.
also zu den programmen...für linux gibt es welche, die das machen...für win weiß ich es nicht, aber ich vermute schon. das paket muß dann natürlich an einen entsprechendne server geschickt werden, der es wieder "auskapselt", aber das ist das geringste problem. dies funktioniert allerdings nicht durch eine application level firewall, da diese das datenpaket auf korruption untersucht und nicht zum protokoll gehörende daten entdecken würde.
das mit dem port closed stimmt so nicht. ein port ist nur wirklich closed, wenn kein service dahinter steckt. service können auch selektiv verbindungen zulassen...nimm mal ip-filter für einen webserver. wenn deine absende ip nicht zugelassen ist, so bekommst du entweder eine rückantwort, daß du nicht berechtigt bist (reject) oder du bekommst keine rückantwort (drop), je nach policy. also prinzipiell nochmal, ein port, an den ein dienst gebunden ist ist immer offen, selbst wenn eine firewall eine verbindung blockiert. man könnte z.b. eine firewall auf einem system abschießen mit einem buffer overrun oder einer dos attacke und hoffen, daß der dienst weiterläuft, anschließend wäre die verbindung frei.
ok, mit den Programmen das können wir wohl jetzt nicht lösen, aber interessant ist das im höchsten Maße.
Closed: Folgendes: Das Option Pack ohne Firewall mit SOS (sygate.com) gescannt sagt mir, 21,80, 139 und noch ein paar andere sind offen (open). Dann habe ich Zone Alarm installiert und nochmal gescannt und diesmal sagt er: alles Blocked und erklärt, blocked heisst completety hidden (=stealth). Auch Telnet auf der 23 ist z.B. blocked, obwohl ich gar keinen Telnet-Server laufen habe. Das müsste doch dann closed heissen? Oder der SOS macht solche feinen Unterschiede vielleicht nicht (würde ich mal fast annehmen). Der SOS ist hier.
der unterschied ist der...blocked is rejected, stealth is dropped. die firewall unterdrückt für die ports alle icmp antworten, somit sind sie stealthed, es kommt keine rückantwort. für telnet wird ein reject gesetzt, was heißt es kommt eine rückantwort. in dem fall ist es egal, ob ein telnet-server dahinter liegt oder nicht, die firewall gibt schon den reject zurück, bevor die pakete überhaupt einen evt. vorhanden server ansprechen können. ich nehme an daß telnet von der wall standardmäßig geblockt wird auf allen systemen, egal ob vorhanden oder nicht, da es mit abstand der gefährlichste dienst ist.
aber ganz nebenbei, den IIS würde ich an deiner stelle auf jeden fall deaktivieren, da er nicht nur über das inet ein beträchtliches sicherheitsrisiko ist.
Man merkt du hast wirklich keine Ahnung, aber davon sehr viel!
Ein Trojaner ist nur die Trägerkapsel für den Remoteserver, so wie bei Homer das Holzpferd für die Soldaten! Auf der Zielseite wird nichts zusammengebaut, sondern auseinandergenommen d.h. die getunnelten Daten weden vom Wirtpaket wieder abgetrennt!
Die Software mit der man das macht ist C++ Code, evt. noch ein SDK für TCP/IP, oder die Methoden der wsock32.dll nutzen!
Weil ich keine Ahnung habe (schnief!) muss ich gleich mal nachfragen: wie heisst denn so ein SDK? URL? Nimm ein SDK reicht ja wohl nicht. Da kannste gleich schreiben: Guck im Internet nach! HAHAHA
Oder: Musste halt programmieren. Mensch mensch mensch
Informatives Posting wirklich, na wenigstens haste Dir jetzt mal Luft gemacht.
Der, der keine Ahnung hat, aber davon sehr viel heisst
klick auf SDK im Posting und du wirst erleuchtet! Du hast lediglich nach der Software gefragt und nicht wo man diese bekommt!
Informative Fragestellung ergibt in 90% auch informative Antworten!
Du kannst ganz schön ätzend sein. Ich meine wenn die Frage lautet "Wie funktioniert dies und das" antwortest Du glatt "Nimm ein SDK". Das war mir auch klar bringt mich aber keinen mm weiter.
Port 21 ftp
Port 70 gopher
Port 135 DCE-RPC
Port 139 SMB
Port 1031 iad2
PDC Und Win 98SE sind beide nicht sicher. Worüber baust du eine Internetverbindung auf ( Wählleitung oder Fest). Das beste ist immer eine Firewall (Hardware) oder bau dir aus einem alten 486er und Linux eine eigene, Probleme sind die Regel die du selber erstellen musst.
Deine rechner stehen beide sperrangelweit offen im web. vor allem dein pdc ist ein nettes auskunftbüro für jeden, der etwas über dein system wissen will, da z. b. dein offener port 139 auskunft über deine shares gibt. wahrscheinlich hast du auch noch die feigabe auf das i-net-device gebunden und lässt null-sessions zu. dein server bietet auch noch serverdienste an, die potentielle angriffsflächen sind, aber zumindest weiteres über dein system verraten. ganz nebenbei dürte dein pdc bei der fülle von diensten auch etwas am humpeln sein. zu anfang solltest du z.b. mal den IIS deinstallieren oder zumindest deaktivieren, anschließend die simple tcp/ip services deinstallieren, den proxy kannst du dir in deinem fall auch sparen, aktiviere einfach routing unter eigenschaften von tcp/ip und gib den rechner als gateway auf dem anderen an. wozu brauchst du eigentlich einen pdc? naja...alles in allem gäbe es noch eine menge zu schreiben, aber lies dir einfach mal folgende seite genauer durch, da erfährst du einiges gerade über die sicherheit von nt: www.security-guide.ch
Wenn er ne Firewall drauf packt ist alles dicht. Habe ich selber probiert. Also was solls? Und wozu man nen PDC braucht, ist bestimmt hier nicht das Thema...
Bietest DU absichtlich selber über deinen Rechner Dienste wie ein WEB-Server, FTP-Server, MAIL-Server oder sonst einen Server an? Wenn nein, was ich mal zu 98% vermute, warum tust DU dir dann eine PersonalFirewall an?
Die ist auch nichts weiter als ein Stück Software, dessen interne Wirkungsweise du nicht wissen kannst, was die alles so mit deinen Daten macht! Ich sage nichts gegen echte Firewallkonzepte für schützendswerte Datennetze, welche von erfahrenden Admins laufen gewartet werden (anpassung der Filterregeln usw.), aber auf ein Stück Software wie ne PersonalFirewall zu vertrauen - nein!
Der Urfrager hier, bietet aber solche Dienste an, will das aber nicht,
sondern will diese Dienste von anderen nur als Client nutzen, da ist eine PersonalFirewall und ich denke mal so eine meintest du auch, die falsche Lösung. Er sollte vielmehr diese Serverdienste abstellen und nicht anbieten, da er sie nicht braucht und nicht deren Datenpakete mit einem Stück Software, bei der man nicht weiß ob sie nicht doch auf irgendeinen internen Weg tunnelt, abblocken.
Da liegst Du aber schief. Hier steht doch, dass ich auch den MS Proxy nehme und da läuft das Option Pack mit allen Servern auf dem Gateway. Man hat ja mal gern nen FTP Server. Na und? Und die 21 mach ich mit der PF dicht und dann geht da auch nix mehr. Was braucht man noch mehr? Soll ich mich ständig anpingen lassen und dann laufen irgendwelche Scans tausendfach über meine Mühle, wenn ich das auch kostenlos verhindern kann: Stealth-Mode?
>man hat ja mal gerne nen FTP Server...
hä? naja...wobei sich mir die frage aufdrängt, wozu hat man den gerne? vor allem, wenn du dann durch deine FW den zugriff darauf wieder von außen blockst?
zu mr. jingles...es geht ja nicht nur um das mögliche zugreifen auf unnötige dienste, das evt. durch die fw verhindert wird, es geht ja auch darum, daß ein system durch dienste wohl auch etwas verlangsamt wird (vor allem durch IIS) dafür pack ich dann noch die FW drauf ;o)...es ist doch wohl sinnvoller die dienste einfach zu deaktivieren oder deinstallieren...wenn du word nimmer brauchst minimierst du ja auch net einfach das fenster...
und das pdcs gebraucht werden wollte ich garnet diskutieren, aber ein netzwerk mit 2 rechnern als domäne einzurichten (außer um das zu üben) macht reichlich wenig sinn im allgemeinen.
nochmal zu dem vorposting...und was ist mit port 20? ;o)
Also ich weiss ja nicht, was Du so mit FTP machst, ich tausche immer Daten damit aus :-))) Und 21 kann ich auf- und zumachen wie ich das will. Klar braucht man nicht. Aber wenn der offen ist, also wenn da ein FTP-Server vermutlich läuft, würde ich schon mal nachsehen. Und genau das kann ich verhindern: stealth.
20 ist ja wohl egal wenn 21 dicht ist oder?
Mit der Performance ist schon richtig, nur davon habe ich genug. Wenn Du sowas wie Exchange anguckst, DA geht die Kiste in die Knie :-) Naja brauch ich nicht sowas. Am sichersten ist es immer, so wenig wie möglich laufen zu lassen, schon klar. Das trifft aber hauptsächlich für Firmen zu. Meinen Kisten hier ist das fast egal. Und es bedeutet eben auch wenig Spass. Warum sollt ich zum Beispiel hier keinen Chat-Server laufen lassen? Mit ISDN geht das... usw...
Domänen: Da hat man einige Möglichkeiten, z.B. c$ usw. Klar, braucht man alles nicht, man kann auch Dampfradio hören :-))
naja, ist ja ein unterschied, ob ich nen ftp client nutze um auf nen ftp server zugreife, oder ob ich selbst einen betreibe (nur dann ist port 20/21 offen). klar benutze ich auch ftp und ist ja auch ganz praktisch, aber deswegen betreibe ich trotzdem keine server ;o) und mach ihn dann mit der firewall gleich wieder zu
Kennst du noch die Mailboxen früher? Das waren vielleicht Telefonrechnungen! Mit FTP geht das jetzt zum Ortstarif, weltweit und privat. Ich will ja nicht jedes File irgendwohin donnern wo es jeder holen kann. So simple. Geschlossene Gesellschaft=fröhliches Datentauschen. Nur die Bandbreite ist immer das Problem.
naja...gegen bandbreitenmagel lässt sich was tun ;o)...einfach ein paar hundert mark im monat für ne 2MBit standleitung investieren, dann klappt das ;o).
aber eigentlich ist ftp ja auch net ganz ungefährlich, bietet relativ große angriffsfläche für den mißbrauch habe ich mir mal sagen lassen, also ich werde mich hüten privat nen ftp-server hinzustellen wie so viele flatratebesitzer :o)
Das wäre ein Grund, nochmal in irgendeiner Firma zu arbeiten: die müsste aber ne ganz dicke Leitung haben, am besten bei einem Provider :-) Da laufen dann die Warez-FTPs so richtig gut. Das freut die User! Und bei dem vielen Traffic fallen die paar Gigs auch nicht mehr auf :-)))
Mister Jingles
Spass beiseite: Aber wo schon Napster nicht mehr richtig funzt muss man sich wieder zurückbesinnen auf die alten Zeiten!
Aber nicht mehr lange oder man muss zahlen. Das wird wohl nichts, schätze ich mal. Naja Bertelsman hat genug Geld, um Napster mal grad so wegzukaufen... und die anderen Label freuen sich.
naja...der trend geht eh zum freenet, nicht nur wegen urheberrechtsgeschichten, sondern auch wegen der anonymität, steht nur zu befürchten, dass es ein tummelplatz für kinderf.... wird...
Hmm muss ich mal ausprobieren, ob das wirklich anonym ist. Solche Sachen sind echt wichtig. Wenn man da was nicht mitkriegt... hat man was verschlafen. Mit dem ganzen illegalen Kram muss man mal sehen, das ist es ja, was es so spannend macht :-)))
Also bei Gnutella kann man sich ja einfach einschleusen und sieht dann die IPs, die Shares zur Verfügung stellen. Das wars dann wohl.
naja...freenet is schon sehr anonym, nur das angebot ist noch extrem karg, und die übertragungsraten äußerst kläglich, aber dafür kann man wirklich interessante infos dort bekommen, die viele im nicht anonymen internet ungern preis geben.
naja...freenet is schon sehr anonym, nur das angebot ist noch extrem karg, und die übertragungsraten äußerst kläglich, aber dafür kann man wirklich interessante infos dort bekommen, die viele im nicht anonymen internet ungern preis geben.
Du bringst hier und bei deinen ganzen Vorpostings etwas ganz gewaltig durcheinander, entweder aus Unwissenheit oder aus Hobby um andere hier zu verunsichern!
Du kannst anscheinend nicht einen FTP-Serverdienst von einer FTP-Client Anwendung unterscheiden, ebenso bei den anderen Diensten.
Ihr habt jetzt so gegen die armen armen Firewalls gewettert, da möcht ich doch mal ein bißchen dafür halten.
Eine Firewall ist so gut wie der der sie administriert. Ob Hard oder Software Firewall ist da auch egal. Wenn du alles auf Auto stellst ist das nicht optimal. Vielmehr sollte man erst mal alles verbieten und dann die wichtigsten Services freischalten. Dann gibt es Programme wie ICQ (nur als Beispiel) die potentiell unsicher sind. Sie sollten nicht laufen. Dann gibt es Dinge die wichtig sind http aber auch unsicher. hier gilt es einen möglichst engen Rahmen zu stecken. Was Ports angeht etc.
Im Endeffekt schränkt eine Firewall das Surfen schon ein wenig ein.
Aber es gibt einem auch ein Gefühl der Sicherheit, wenn man weiß was man getan hat.
Tendentiell geht im Inet die Gefahr nicht von Trojanern aus, die hat man nicht wenn man aufpasst und nicht alles Runteläd, sondern eher von Leeks und Bugs, sowie Viren.
Mein Fazit: Firewall für den ders braucht aber sie ist kein muss.
Update Recherche und eine sehr überlegte Auswahl der Programme so wie der Running Services ist ein Muss.
UND ein Virenscanner ist ein Muss. Meine Empfehlung F-Prot und The Cleaner von MooSoft. Beim letzten handelt es sich um ein Proggie das nach Trojanern scannt und es kennt wirklich sehr sehr viele, und es spricht Warnungen aus sobald es einen verdächtigen Task festellt.
So das war mein Wissen dazu, hoffe geholfen zu haben.
Wenn wir noch Deinen Namen wüssten, wären wir bestimmt restlos glücklich! Aber zum installieren von Programmen: Das ist ja das, was mir z.B. richtig Spass macht. Dass ich deswegen ständig mein NT installieren muss, weiss ich schon seit Jahren. Na und. Wurscht. Und wenn ich dann so Programme haben kann, die die Löcher und Trojaner entdecken, dann nehm ich die natürlich voller Hoffnung :-) Kosten sollten die naürlich nix :-))
vielen dank für diesen konstruktiven beitrag. leute wie du bringen uns richtig weit. bis zur nächsten mülltonne nämlich. heisst du zufällig Michael Nickles?
Einen PDC oder überhaupt einen DC als Internetzugangsserver zu nutzen sollte mann bleiben lassen wenn schon Windows dann 1. einen W2000 Server als Member mit Proxy 2.0, von dort mit NwLink(kennt keine Ports) zum PDC, von dort mit TCP/IP zur Workstation. Die Server sollten in einem eigenm Subnetz stehen.
Weitere Ausführen würden hier den Rahmen sprengen.
Was fürn Rahmen? Du meinst protokolltrennung. Ist aber auch nicht immer das einzig ware. Wie komme ich dann mit TCP/IP auf den Server? Übers Internet? Auch nicht gerade ideal.
Denk auch dran: Bei so einer Proxy-Domäane (MS Proxy 2.0 auf NT4) kannst Du durch die Vertrauensstellung zusätzlich Sicherheit schaffen. Deswegen ist die Proxy-Domäne sinnvoll.
ShipHank
xafford
