|
Plagegeister aller Art und deren Bekämpfung: W2k-SicherheitWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.05.2004, 12:57 | #1 |
| W2k-Sicherheit Hallo Leute, ich hab nun mal versucht, meine Systeme so zu konfigurieren, dass sie als halbwegs sicher durchgehen, und zwar mit einem Tool von http://ntsvcfg.de/ . Beim abschliessenden Test auf http://webscan.security-check.ch/ wurden von Port21 bis Port 65535 als geschlossen erkannt, bis auf drei: --------------------------------------------- Port 53/UDP offen (DNS) Port 69/UDP offen (Trivial File Transfer) Port 137/TCP geschlossen(NetBios NameService) Port 137/UDP offen (???auch NetBios???) --------------------------------------------- Als DAU auf diesem Gebiet würde ich gerne wissen, welche Bedeutung diese Ports für mein System(LAN) haben und ob diese geöffnet sein müssen, respektive, ob darüber eine Gefahr droht. Ich verwalte einiges an sensiblen Daten in meinem Netzwerk und möchte natürlich sichergehen, das da nicht so leicht etwas passieren kann. Betriebssystem ist durchgängig W2kSP4, als Scanner nutze ich KAV 4.5.0.94 und zusätzlich besitzt mein Router noch eine einfache (nicht konfigurierbare?) Firewallfunktion. Wie beurteilen hier Profis meine Systemsicherheit, respektive, was ist zu den offenen Ports noch anzumerken? Vielen Dank für eure Antworten gleich mal im Voraus. Gruß Kurt
__________________ "Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti) |
22.05.2004, 14:23 | #2 |
| W2k-Sicherheit Verstehe ich es richtig, daß Du diesen Scan hinter einem Router gemacht hast? Dann sollte allerdings gerade 137 zu sein... [img]graemlins/dummguck.gif[/img]
__________________Cobra |
22.05.2004, 14:57 | #3 |
| W2k-Sicherheit Den 137er kannst du über den Gerätemanager (Systemsteuerung -> System) schließen. Unter Ansicht lässt du die ausgeblendeten Geräte anzeigen. Nun unter nicht-pnp-Treiber auf NetBios gehen und diesen dann deaktivieren.
__________________Ansonsten Poste mal welches Modell dein Router hat bzw. informiere dich mal über die Konfigurierbarkeit von diesem. ciao
__________________ |
22.05.2004, 15:54 | #4 |
| W2k-Sicherheit Hi CyberFred, Irgendwie sind mir das noch ein wenig zu wenig Informationen. Ich habe ein LAN, das über einen US Robotics 8000A vernetzt ist(100MBit), der gleichzeitig als Druckerserver fungiert. Von diesem gehts dann auf einen ELSA ISDN4U (10MBit) ins Internet. Benötige ich NetBios nicht für das LAN? Warum ist Port 137/UDP nach aussen offen, wo doch eigentlich die Kommunikation nur intern über den US Robotics abläuft und nur Zugriffe auf das Internet über den ELSA? Wozu werden Port 53/UDP und Port 69/UDP in einfachen Worten gebraucht? Was ist überhaupt der Unterschied zwischen TCP und UDP? Ich habe zwar zum Thema gegooglet, aber nichts wirklich für mich informatives gefunden. Bedenke, du sprichst hier mit einem DAU, was diese Thematik betrifft. Gruß Kurt
__________________ "Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti) |
22.05.2004, 16:30 | #5 |
| W2k-Sicherheit Das ist ja eine wahrlich komplizierte Konfiguration. Ich nehme an, du nutzt diese doppelte Verrouterung wegen des Druckservers, oder? Zunächst zu den Ports: 53 ist der DNS (Domain Name Service), also der Dienst, der www.dunzinger.de in eine maschinenlesbare IP-Adresse umsetzt. Natürlich überflüssig wie ein Kropf, da Dein Provider das anbietet. 69 ist der TFT (Trivial File Transfer), ein abgespeckter FTP-Server. Hochgradig unsicher. Wird auch von einigen Würmern benutzt (Blaster, IIRC). 137 ist Netbios, und das brauchst Du allerdings im LAN, falls Du Dateien zwischen Deinen Rechnern austauschen möchtest. Dieser Dienst wird allerdings von keinem mir bekannten Router nach außen angeboten (auch bei ausgeschalteter Firewall). Ich kann mir nicht vorstellen, daß der ELSA-Router diese Dienste defaultmäßig anbietet und die Ports nach außen öffnet. Falls doch, sollte man ihn wegwerfen und einbetonieren. Falls nicht, bleibt nur eine krasse Fehlkonfiguration Deinerseits. Setze den ELSA mal in den Auslieferungszustand zurück, das sollte eigentlich schon helfen. Alternativ: der Scan liegt falsch, oder er scannt gar nicht Deinen ELSA. Überprüfe also die IP vor dem Scan. Cobra |
22.05.2004, 16:56 | #6 |
| W2k-Sicherheit </font><blockquote>Zitat:</font><hr />Original erstellt von Cobra: Das ist ja eine wahrlich komplizierte Konfiguration. Ich nehme an, du nutzt diese doppelte Verrouterung wegen des Druckservers, oder?</font>[/QUOTE]Richtig, der US-Robotics kann solo nicht ins Internet(ISDN)... Zuerst war da der ELSA, der mir aber im Intranet zu langsam war. Danach kam der US Robotics dazu. </font><blockquote>Zitat:</font><hr /> 53 ist der DNS (Domain Name Service), also der Dienst, der www.dunzinger.de in eine maschinenlesbare IP-Adresse umsetzt. Natürlich überflüssig wie ein Kropf, da Dein Provider das anbietet.</font>[/QUOTE]Aha, also wie deaktivieren? </font><blockquote>Zitat:</font><hr /> 69 ist der TFT (Trivial File Transfer), ein abgespeckter FTP-Server. Hochgradig unsicher. Wird auch von einigen Würmern benutzt (Blaster, IIRC).</font>[/QUOTE]Brauch ich eigentlich nicht, oder? Also dito, wie deaktivieren? </font><blockquote>Zitat:</font><hr /> 137 ist Netbios, und das brauchst Du allerdings im LAN, falls Du Dateien zwischen Deinen Rechnern austauschen möchtest. Dieser Dienst wird allerdings von keinem mir bekannten Router nach außen angeboten (auch bei ausgeschalteter Firewall). Ich kann mir nicht vorstellen, daß der ELSA-Router diese Dienste defaultmäßig anbietet und die Ports nach außen öffnet. Falls doch, sollte man ihn wegwerfen und einbetonieren. Falls nicht, bleibt nur eine krasse Fehlkonfiguration Deinerseits. Setze den ELSA mal in den Auslieferungszustand zurück, das sollte eigentlich schon helfen.</font>[/QUOTE]Naja, durch den Netzwerksaufbau habe ich eigentlich keinen direkten Zugriff auf den ELSA, ich kann mich aber auch nicht erinnern, die Konfig jemals geändert zu haben. Die Firewall geht nicht zu deaktivieren oder zu ändern, die ist einfach so wie sie ist. </font><blockquote>Zitat:</font><hr />Alternativ: der Scan liegt falsch, oder er scannt gar nicht Deinen ELSA. Überprüfe also die IP vor dem Scan</font>[/QUOTE]Er scannt sicher meinen Router, da er auch die Firewall geortet hat. Auch ein IP-Adressenvergleich stimmt mit meiner IP im Internet, aber nicht mit den IP´s im Intranet überein. die aufgelöste Adresse lautet auf irgendwas und telekom.at. Wie kann man dieses Problem lösen? Leider gibt es für den Elsa keinen Support mehr, weil die Herstellerfirma pleite gegangen ist... :-/ Gruß Kurt
__________________ --> W2k-Sicherheit |
22.05.2004, 17:11 | #7 |
| W2k-Sicherheit Ich glaube nicht, daß dieses Problem mit Deiner Windows-Konfiguration zusammenhängt. Ich vermute eher, daß der Router diese Probleme verursacht. Aber dazu können die Windows-Experten sicher mehr sagen. Cobra |
22.05.2004, 21:34 | #8 |
| W2k-Sicherheit Naja, danke für deine Tips, hoffentlich meldet sich da noch jemand, der sich damit gut auskennt, zum Thema. Gruß Kurt
__________________ "Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti) |
22.05.2004, 22:03 | #9 |
Gast | W2k-Sicherheit ok... eine kurze wortspende, auch wenn sie nicht direkt was mit windows zu tun hat: hatte auch dieses isdn4u - aber nicht lange. diese "nicht lange" hatte damit zu tun, dass das ding einfach ist. das ding hat nat, und das wars dann auch schon. 1.) hast die ergebnisse im routerbetrieb, oder mit dem capi-zeugwerk? 2.) lass dich von einem bekannten per nmap scannen, diese browser-portscanner sind IMO ein bisserl suspekt (zumindest 1 port muss immer offen sein, sonst würd der browser ja nix zurückmelden können). wie schon erwähnt: des ding ist ziemlich einfach gestrickt, hat also nicht wirklich eine firewall eingebaut. alternativen wie ein router mit eingebauter firewall (muss ja kein cisco sein *g*) bzw. die kostengünstige variante altpc-ipcop sind hier IMO wesentlich besser. [img]graemlins/teufel3.gif[/img] |
23.05.2004, 00:36 | #10 |
| W2k-Sicherheit </font><blockquote>Zitat:</font><hr /> hatte auch dieses isdn4u - aber nicht lange. diese "nicht lange" hatte damit zu tun, dass das ding einfach ist. das ding hat nat, und das wars dann auch schon.</font>[/QUOTE]Wat'n dat? nat? </font><blockquote>Zitat:</font><hr />1.) hast die ergebnisse im routerbetrieb, oder mit dem capi-zeugwerk?</font>[/QUOTE]Error in allen Modulen! Was ist Capi? Bedenke, du sprichst hier mit einem Netzwerksdau. </font><blockquote>Zitat:</font><hr />2.) lass dich von einem bekannten per nmap scannen, diese browser-portscanner sind IMO ein bisserl suspekt (zumindest 1 port muss immer offen sein, sonst würd der browser ja nix zurückmelden können).</font>[/QUOTE]Nu, wenn ich jemand kennen würde, der fix auf diesem Gebiet ist, hätte ich die Frage vermutlich erst gar nicht hier ins Forum gestellt... [img]graemlins/lach.gif[/img] </font><blockquote>Zitat:</font><hr />wie schon erwähnt: des ding ist ziemlich einfach gestrickt, hat also nicht wirklich eine firewall eingebaut.</font>[/QUOTE]Nun, eine Firewall ist ja nicht unbedingt mein Ziel, ich möchte meine Rechner nur so konfigurieren, daß sie von aussen nicht so einfach angreifbar sind. </font><blockquote>Zitat:</font><hr />alternativen wie ein router mit eingebauter firewall (muss ja kein cisco sein *g*) bzw. die kostengünstige variante altpc-ipcop sind hier IMO wesentlich besser.</font>[/QUOTE]Wie gesagt, wenn der US-Robotics ISDN handeln könnte, wäre der ELSA schon lange im Ausgedinge gelandet... Gruß Kurt
__________________ "Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti) |
23.05.2004, 01:28 | #11 |
Gast | W2k-Sicherheit </font><blockquote>Zitat:</font><hr />Original erstellt von Kurt Dunzinger: </font><blockquote>Zitat:</font><hr /> hatte auch dieses isdn4u - aber nicht lange. diese "nicht lange" hatte damit zu tun, dass das ding einfach ist. das ding hat nat, und das wars dann auch schon.</font>[/QUOTE]Wat'n dat? nat?</font>[/QUOTE]nat = network adress translation. mehr dazu: http://www.bintec-support.de/nat/ </font><blockquote>Zitat:</font><hr /> </font><blockquote>Zitat:</font><hr />1.) hast die ergebnisse im routerbetrieb, oder mit dem capi-zeugwerk?</font>[/QUOTE]Error in allen Modulen! Was ist Capi? Bedenke, du sprichst hier mit einem Netzwerksdau. </font>[/QUOTE]du solltest mal das bedienungshandbuch lesen, kurz: RTFM! du wirst es nicht glauben, da steht das dann auch drinnen *g* *SCNR* </font><blockquote>Zitat:</font><hr /> </font><blockquote>Zitat:</font><hr />2.) lass dich von einem bekannten per nmap scannen, diese browser-portscanner sind IMO ein bisserl suspekt (zumindest 1 port muss immer offen sein, sonst würd der browser ja nix zurückmelden können).</font>[/QUOTE]Nu, wenn ich jemand kennen würde, der fix auf diesem Gebiet ist, hätte ich die Frage vermutlich erst gar nicht hier ins Forum gestellt... [img]graemlins/lach.gif[/img] </font>[/QUOTE]tja... das ist pech - oder ein ansatzpunkt, deine umgebung dafür zu sensibilisieren. think about it. </font><blockquote>Zitat:</font><hr /> </font><blockquote>Zitat:</font><hr />wie schon erwähnt: des ding ist ziemlich einfach gestrickt, hat also nicht wirklich eine firewall eingebaut.</font>[/QUOTE]Nun, eine Firewall ist ja nicht unbedingt mein Ziel, ich möchte meine Rechner nur so konfigurieren, daß sie von aussen nicht so einfach angreifbar sind.</font>[/QUOTE]. denkfehler: nicht deine rechner musst du - innerhalb des von dir genannten szenarios - gegen angriffe von aussen absichern, sondern eben dieses "kasterl", dass du einsetzt. trenne dich davon, und setze eine bessere lösung ein (möglichkeiten wurden ja schon oben von mir genannt). als beispiel für eine bessere lösung: http://geizhals.at/a48823.html [img]graemlins/teufel3.gif[/img] |
23.05.2004, 09:55 | #12 |
| W2k-Sicherheit </font><blockquote>Zitat:</font><hr />Original erstellt von n_dot_force: </font><blockquote>Zitat:</font><hr />Original erstellt von Kurt Dunzinger: Wat'n dat? nat?</font>[/QUOTE]nat = network adress translation. mehr dazu: http://www.bintec-support.de/nat/ </font>[/QUOTE]Uups... [img]graemlins/dummguck.gif[/img] </font><blockquote>Zitat:</font><hr /> </font><blockquote>Zitat:</font><hr />Error in allen Modulen! Was ist Capi? Bedenke, du sprichst hier mit einem Netzwerksdau. </font>[/QUOTE]du solltest mal das bedienungshandbuch lesen, kurz: RTFM! du wirst es nicht glauben, da steht das dann auch drinnen *g* *SCNR*</font>[/QUOTE]Du wirst es nicht glauben, aber das nehm' ich dir sogar ab. [img]graemlins/lach.gif[/img] Leider wurde das Netzwerk von jemandem eingerichtet, der aus unerfindlichen Gründen die Manuals der verwendeten Geräte samt nützlicher Informationen selbst brauchte. Nachdem er mich auch mit Infos zum Thema sehr kurz gehalten hat und seit Monaten untergetaucht ist(drohender Konkurs?), stehe ich ziemlich dumm und dau da. </font><blockquote>Zitat:</font><hr /> </font><blockquote>Zitat:</font><hr />Nu, wenn ich jemand kennen würde, der fix auf diesem Gebiet ist, hätte ich die Frage vermutlich erst gar nicht hier ins Forum gestellt... [img]graemlins/lach.gif[/img] </font>[/QUOTE]tja... das ist pech - oder ein ansatzpunkt, deine umgebung dafür zu sensibilisieren. think about it. </font>[/QUOTE]Öhm ja. Wie soll ich jemanden sensibilisieren, wenn ich selbst null(Naja, ein wenig übertrieben...) Ahnung vom Thema hab? </font><blockquote>Zitat:</font><hr /> </font><blockquote>Zitat:</font><hr />Nun, eine Firewall ist ja nicht unbedingt mein Ziel, ich möchte meine Rechner nur so konfigurieren, daß sie von aussen nicht so einfach angreifbar sind.</font>[/QUOTE]. denkfehler: nicht deine rechner musst du - innerhalb des von dir genannten szenarios - gegen angriffe von aussen absichern, sondern eben dieses "kasterl", dass du einsetzt. trenne dich davon, und setze eine bessere lösung ein (möglichkeiten wurden ja schon oben von mir genannt).</font>[/QUOTE]Ok, gebongt, der ELSA fliegt raus. </font><blockquote>Zitat:</font><hr />als beispiel für eine bessere lösung: http://geizhals.at/a48823.html </font>[/QUOTE]Uii, schaut gut aus. Ich hab mir mal die technischen Daten angesehen, leider gibbet es die nur in Englisch. Wenn ich mit meinen marginalen Englischkenntnissen rrichtig gelesen habe, kann der direkt an ISDN verwendet werden? Ausserdem könnte ich dann ja auch den US-Robotics entsorgen, solange ich den Druckerserver nicht verwende, oder? Vielen Dank für den Link, ich werde mich da mal tiefer einlesen. Gruß Kurt
__________________ "Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti) |
23.05.2004, 12:11 | #13 |
/// Mr. Schatten | W2k-Sicherheit Vielleicht wäre es erstens (bei deinen Kenntnissen) sinnvoll Hardware dort zu kaufen, wo Du auch Service bekommst. Zweitens: was willst Du erreichen, was brauchst Du? Für das Zyxel-Zeuxel benötigst Du noch ein ISDN-"Kastl" wenn Du ISDN nutzen willst. NAT = Network Address Translation (soviel Zeit muß sein)
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
23.05.2004, 12:21 | #14 |
Gast | W2k-Sicherheit ups... fehler meinerseits bei der router-empfehlung (kommt davon, wenn man zu so früher/später stunde noch postet *g*)... das ist ein dsl-router mit isdn-fallback: http://www.zyxel.at/product/model.ph...lue=1021876908 das heisst, wenn die dsl-leitung ausfällt, dann wird die isdn-leitung genommen. reinrassige isdn-router sind doch etwas teuerer angesiedelt (keine ahnung, warum), in der region ab 150 euro aufwärts. müsstest mit zyxel kontakt aufnehmen, ob ein dauerbetrieb mit fallback möglich ist (denn dann würdest günstig zu einem isdn-router kommen). achtung! die dsl-funktion ist AFAIK nicht in österreich einsetzbar (hier bei bedarf auch bei zyxel anfragen). [img]graemlins/teufel3.gif[/img] |
23.05.2004, 17:03 | #15 |
| W2k-Sicherheit Hi n_dot_force, Naja, da wird eine etwas umfangreichere Recherche fällig, das seh ich schon... Wäre gut, wenn der P324 auch an ISDN ginge, kostet ja nur gut ein Drittel von einem ISDN-Router. Danke dir für die Info! @Shadow: Was meinst du mit ISDN-Kastl? Die NT? Die hab ich sowieso schon, der Anschluss besteht ja schon seit Jahren... Ist schon klar, dass ich das Teil im Fachhandel kaufe, wo ich auch Support erhalte, aber es ist schon mal nicht schlecht, wenn man weiss, wovon man redet... Gruß Kurt
__________________ "Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti) |
Themen zu W2k-Sicherheit |
antworten, bedeutung, bios, bios?, daten, dns, erkannt, file, gefahr, geschlossen, konfigurieren, lan, leute, meinem, netbios, netzwerk, nicht, offen, offene, port, ports, profis, router, scanner, systeme, systemsicherheit, test, tool, worte |