Portübersicht

Tagchen zusammen,

kennt ihr vielleicht eine nette Adresse wo ich eine Portübersicht erhalten kann, für was die so im einzelnen gut sind?
Hintergrund: Meine Firewall erzählt mir schon lange, daß diverse Anwendungen Zugriff auf Port soundso nehmen wollen und langsam werde ich doch neugierig wozu das Ganze und will mich mal mehr Informieren.
Jaja, immer diese Anfängerinnen...

Danke im voraus
Angie

lang dir das http://www.iana.org/assignments/port-numbers

greetz

hugo

Hm, so ganz werde ich noch nicht schlau draus.
z.B. hab ich bei mir haufenweise Zugriffsversuche auf Port4665.
Dazu sagt (mir zumindest) die Aufstellung auf der Site noch nicht allzuviel.
Kennst du vielleicht noch zusätzlich ne nette Site (auf Deutsch wenns geht :-[ ) so allgemein zu diesen Ports (für Anfänger sozusagen )

Angie

den benannten port und folgende benutzten die filesharing dienste emule, kaaza und co. zu den ports ist soviel zu sagen: von 0-1024 sinds die sogenannten well known ports, also standard ports die fast alle betriebsysteme die tcp/ip können benutzen, alle ports über 1024 werden von diversen programmen, diensten usw. benutzt und stehn eigentlich frei zur verfügung, so daß man da nicht unbedingt sagen kann, das immer ein port an einen dienst oder prog gebunden ist, das kann schon mal zu portsharing führen. der portrange endet bei 65535, wie gesagt zwischen 1024 und 65535 sind die ports frei verwendbar. vielleicht ist der link dir hilfreich

http://www.tcports.de/

die standardports von windoes kannst du übrigens in der datei services unter %systemroot%\system32\drivers\etc sehn.

greetz

hugo

Danke, Stück für Stück wird man schlauer
Also sollten mich Meldungen aus der Firewall heraus wie ...wurde versucht auf Port XY zuzugreifen, welcher auch von Virus XY benutzt wird.. zwar beunruhigen, aber festnageln auf ein bestimmtes Programm bei mir o.ä. läßt sich das ganze nicht.

Und diese Port4665-Geschichte läßt sich wohl damit begründen, daß ich mit DSL wohl bei jedem Einwählen eine andere IP bekomme und diese Emule-, Kaaza-Geschichten wohl noch vom Vorgänger-Benutzer dieser IP herstammen?

Txs

Angie

wenn du nicht kunde bist, dann sollten die nur von außen versuchen zuzugreifen, dann kannst du eine regel für die fw bestimmen, daß die ports in beide richtungen tcp und udp gesperrt werden. und wenn du unsicher bist, vorsichtshalber den port sperren, nur mußt du dann aufpassen, daß du nicht dir einen wichtigen port sperrst und du nachher probs mit dem inet mekommst...

greetz

hugo

Nicht vergessen sollte man auch, dass der Versuch, von außen auf einen Port deines Rechners zuzugreifen, an sich erst mal völlig harmlos ist.
Man kann mich scannen, bis man schwarz wird.
Ob ein Verbindungsversuch von außen erfolgreich ist, hängt davon ab, ob der betreffende Port offen ist. Offen ist er dann, wenn er durch ein Programm geöffnet wird. Genau genommen ist ein Port lediglich eine Programmadresse und nicht ein eigenständiges Objekt, wie sich viele das vorstellen. Ein Port beginnt also überhaupt erst zu existieren, wenn dies von einem lokalen Programm so gewollt ist, weil es mit einem anderen lokalen oder entfernten Programm kommunizieren will.
Wer sich das bildlich vorstellen möchte, mag an ein CB-Funkgerät denken. Man verabredet irgendwann mit einem anderen einen Kanal und stellt den ein. Damit aber etwas passiert, muss man nicht nur den Sendeknopf drücken, sondern dann auch noch sprechen. Bis dahin tut sich gar nichts.
Desktopfirewalls nutzen Regeln (rules) und wenn IRGENDWAS ankommt, was an einen konkreten Port adressiert ist, dann sucht die DTFW in ihrem Regelsatz. Wenn da steht, dass etwas, das von Port 27374 des entfernten Rechners kommt, zum Trojaner Sub7 passt, dann meldet die DTFW, dass erfolgreich ein Trojanerangriff durch Sub7 abgeblockt wurde. Dabei kann das ohne weiteres ein Webserver oder irgend eine andere harmlose Applikation gewesen sein oder ein Portscan eines Scriptkiddies, das nichts mit sich anzufangen weiß.
Darüber hinaus ist zu bedenken, dass Trojanerserver längst nicht mehr auf ihren seit Jahren bekannten Default-Ports kommunizieren. Es stehen 65535 Ports zur Wahl, also ist eine DTFW nie und nimmer in der Lage zu erkennen, was wirklich den Verbindungsversuch von außen verursachte.

Jetzt ist mir die Geschichte einigermaßen klar, danke an euch beide.

Ich gehe mal davon aus daß durch meine FW ersteinmal alle Ports von Grundauf geschlossen sind (sehr hohe Sicherheitsstufe eingestellt). Und öffnen kann ich einen Port dann wohl nur durch explizite Erlaubnis in den Einstellungen der FW.
Wenn ich also nur bestimmten Programmen den Zugriff aufs Internet gewähre dann hat eine spezielle Portstperrung eigentlich keinen Sinn, da ja von Haus aus gesperrt oder sehe ich das falsch?

Mich hat außerdem die Meldung hier aus der FW irritiert: ein Computer mit IP....hat versucht, eine nicht angeforderte Verbindung herzustellen (Port XY). Da ein solcher Versuch in Zusammenhang mit der Trojaner-Geschichte immer den Zusatz nachsichführte ...wurde von der FW erfolgreich abgeblockt..) bin ich durch den fehlenden Zusatz oben sehr ins Grübeln gekommen.

Angie schrieb:

Ich gehe mal davon aus daß durch meine FW ersteinmal alle Ports von Grundauf geschlossen sind (sehr hohe Sicherheitsstufe eingestellt).

Zum Vergrößern anklicken....

Da irrst du. Die Firewall schließt keine Ports, sondern sie verwirft vermeintlich unerwünschte Datenpakete. Beim CB-Funkgerät wäre das vergleichbar mit mehreren Lagen Aluminiumfolie zum Dämpfen der Sendeleistung.

Wenn ich also nur bestimmten Programmen den Zugriff aufs Internet gewähre dann hat eine spezielle Portstperrung eigentlich keinen Sinn, da ja von Haus aus gesperrt oder sehe ich das falsch?

Zum Vergrößern anklicken....

Jein. Da die Desktopfirewall von innen umgangen werden kann (und auch wird), und zwar sowohl von harmlosen wie gefährlichen Programmen, macht die Desktopfrewall als solche keinen Sinn.

Wenn man einem gewollten Programm nicht soweit vertraut, dass man ihm Phonehome erlaubt, sollte man es besser gar nicht erst installieren. Die Malwareprogramme, die telefonieren wollen, schaffen das sowieso. Also installiert man auch die nicht.
Übrig bleiben lokale Systemdienste, die angreifbar sind, wie heuer RPC/DCOM. Die patcht man rechtzeitig oder deaktiviert sie, wenn man sie nicht braucht. Und schon hat die Desktopfirewall ihre Daseinsberechtigung verloren.

Hm, ich gebe zu so ganz verstanden habe ich das noch nicht Iron,

wenn die FW also keine Ports sperrt sondern nur unerwünschte Datenpakete fernhält, frage ich mich nun, wie ist dieses unerwünscht für die FW definiert?
Heißt das, das nur dann etwas für die FW unerwünscht ist, welches in ihrem von dir vorher beschriebenen Regelsatz enthalten ist, d.h. also schon längst bekannte Trojaner und der Rest eigentlich nicht unerwünscht ist?
Das würde die Meldung meiner FW erklären, daß manchmal bei Portzugriff gemeldet wurde ..wurde versucht.. und bei den Ports wo ein Trojaner gleich benannt wurde der Zusatz kam ... wurde versucht ... und erfolgreich abgewehrt....
Habe ich das korrekt verstanden?
Wie würdest du das in dem Zusammenhang verstehen, dieses wurde versucht... Ein Kontaktversuch, der nicht durch die FW abgeblockt wurde?

Wie konfiguriert man dann deiner Meinung nach am Besten eine FW? Erst mal alle Ports seperat sperren und dann Stück für Stück öffnen?

Angie schrieb:

Heißt das, das nur dann etwas für die FW unerwünscht ist, welches in ihrem von dir vorher beschriebenen Regelsatz enthalten ist, d.h. also schon längst bekannte Trojaner und der Rest eigentlich nicht unerwünscht ist?

Zum Vergrößern anklicken....

Genau. Es gibt zwar noch ein Feature, das ein klitzekleines bisschen mehr kann, nämlich IDS, aber dazu komm ich später.

Das würde die Meldung meiner FW erklären...
Habe ich das korrekt verstanden?

Zum Vergrößern anklicken....

Jupp.

Wie würdest du das in dem Zusammenhang verstehen, dieses wurde versucht... Ein Kontaktversuch, der nicht durch die FW abgeblockt wurde?

Zum Vergrößern anklicken....

Nein. Netzrauschen, das die DTFW dazu benutzt, mit ein bissel Hysterie zu beweisen, dass du das Geld nicht sinnlos zum Fenster hinausgeworfen hast (hast du natürlich doch, falls du ne kostenpflichtige DTFW benutzt). Sie macht sich wichtig. Weiter nichts. Was da ankam, war, ist und wird immer sein: harmlos.

Wie konfiguriert man dann deiner Meinung nach am Besten eine FW?

Zum Vergrößern anklicken....

Start->Systemsteuerung->Software->dein DTFW-Produkt->ENTFERNEN->OK

Zum IDS: Intrusion Detection System
Da wird versucht, etwas intelligenter von der Art der Portscans und der Art der Datenpakete (so eine Art Täterprofil) darauf zu schließen, ob das ein gezielter Angriff und ein Abtasten des Systems oder eher normales Netzrauschen war.
Ist rechenintensiv und lohnt sich nur bei echten, großen Netzwerken in Firmen, die potenzielle Ziele sind. Für Privatrechner mit dynamischer IP witzlos und überdimensioniert

Happy New Year Iron,

ich bin jetzt wesentlich schlauer geworden dank einer gewissen Homepage von Iron
Du hättest dir viel Tipperei sparen können wenn du mich gleich dezent dahin verwiesen hättest

All meine Fragen sind da erschöpfend beantwortet.
Ich komme mir zwar jetzt einwenig einfältig vor wg. meiner falschen Sicherheitsgefühls wegen der FW aber man lernt ja dazu, zum Glück habe ich kein Geld dafür ausgegeben...

vielen Dank nochmals für die Mühe

Angie

Auch dir ein gesundes Neues.
Naja...ich verweise selten auf meine HP. Sähe ja wie Eigenwerbung aus und wozu gibts das Profil...

Stimmt auch wieder.

Txs an alle