Hallo Alle,

mir wurde von Mitgliedern dieses Boards empfohlen, Port 139 zu schließen, näheres darüber in meinem Beitrag "Sobald ich die Firewall ausschalte".
Ich habe mich an die Anweisungen gehalten und danach, wie empfohlen, einen Portscan auf der Seite von Steve Gibson

https://grc.com/x/ne.dll?bh0bkyd2

gemacht; Dort wurden alle Ports als "Stealth" bezeichnet!
Ich übersetze das mal mit "alles ok"?

Doppelt hält besser dachte ich mir, und habe danach noch einen Portscan bei

http://www.hackerwatch.org/probe/?li...6c2a737101668c

gemacht. Dorthin gelange ich, wenn ich "Test Firewall" wähle.
Dieser Portscan behauptet aber, Port 139 sei "Open and unsecured", mit der Bemerkung, mir dringend und ganz schnell die "McAffee Personal Firewall" zuzulegen.
Nun, die habe ich bereits!

Aber davon mal abgesehen: Wer hat denn jetzt Recht???

Taugt der Portscan von Steve Gibson nichts, oder ist der Portscan bei hackerwatch.org nichts weiter als ein netter, kleiner, bunter Betrug, um "DAU's" wie mich vom Kauf einer Personal Firewall von McAffee zu überzeugen?

Mich würde Eure Meinung zu dem Thema sehr interessieren!

Gruß,

Ulli

Stealth bedeutet nicht das der Port geschlossen ist. Nur der er nicht antwortet. Somit kann er dennoch offen sein. Und da du eine Firewall hast, bekommst du immer die Ports als Stealth.

Du kannst ja mal mit herunter gefahrener Firewall scannen.. Du wirst staunen der Port wird dir als open angezeigt werden. Denk ich jedenfalls. [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von ullih:
gemacht; Dort wurden alle Ports als "Stealth" bezeichnet!
Ich übersetze das mal mit "alles ok"?</font>[/QUOTE]Nein, mit "getarnt". Ein Port kann open/offen, closed/geschlossen oder stealthed/getarnt sein. Beim geschlossen gibt es also eine nein-Rückmeldung an den Scannenden, so dass eine Zeitlang empfohlen wurde, getarnt sei noch besser, weil die Scans dann komplett ins Leere laufen. Inzwischen wird in "Expertenkreisen" kräftig gestritten, ob nun stealth oder closed besser ist...

BTW: Ob Dir eine Firewall etwas bringt, ist recht fraglich, aber von der von McAfee würde ich Dir nun ganz entschieden abraten.

Ob Dein Port 139 nun geschlossen ist oder nicht, das kann ich Dir von hier aber nicht sagen. Eigentlich sollte der Portscan auf beiden Seiten funktionieren, möglicherweise interpretiert aber hackerswatch einen getarnten Port anders - und gefährlicher - als einen geschlossenen?

(edit: Ein Fehlerchen...)

Ansonsten hat auch Denny Recht: Deine Ports sollten zu sein auch ohne Firewall!!!

[ 03. Januar 2003, 13:35: Beitrag editiert von: BEASTIEPENDENT ]

hmm wo ist der Denny? Hier in dem Thread sehe ich ihn nicht [img]smile.gif[/img] Oder meinst du in einem anderen Thread, Beastie?

Also kann ich davon ausgehen das hackerwatch Recht hat und Port 139 immer noch offen ist?
Aber, wie kann ich ihn denn schließen?
Ich bin allen Anweisungen gefolgt. Wenn er jetzt immer noch offen ist...
Was tun???

Gruß,

Ulli

PS: Mir wird nichts Anderes übrigbleiben als die FW abzuschalten. Aber erst Morgen!
Heute Abend ist hier LAN-Party angesagt und ich werd' den Teufel tun mir vorher wieder "Opa" einzuladen und wie gestern 2 Stunden zu fummeln!

Ulli

@Lucky: Jajajaah, DICH hatt ich gemeint, ich gebs ja zu [img]redface.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von ullih:
Aber, wie kann ich ihn denn schließen?
Ich bin allen Anweisungen gefolgt.</font>[/QUOTE]Den Anweisungen für WELCHES Betriebssystem denn? WELCHEN Anweisungen? Unter NT/W2K/XP ist das Schließen von Port 139 z.B. erheblich komplizierter als unter W98...

edit: Äh, es wäre wirklich SEHGR hilfreich, wenn Du Dein Problem in EINEM Thread (Diskussionsfaden) ließest, dann hätt ich direkt gesehen, WELCHE Anweisungen Du befolgt hast etc... Also gehts jetzt dort weiter

[ 03. Januar 2003, 14:42: Beitrag editiert von: BEASTIEPENDENT ]

moin,

ich hab hier probleme mit der terminologie.
"stealth" ist marketing für "ich schmeiß alle packete für diesen port weg, ohne zu antworten", also ist der port (zumindest nach außen) zu.

@ullih,

starte deinen rechner mal neu, mach alles aus, was so im hintergrund läuft (firewall. etc.), dann öffne die eingabeaufforderung und tippe mal </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">netstat -an</pre>[/QUOTE]ein.
da kannst du dann sehen, was so alles auf irgendnem port lauscht. und wenn du die entsprechenden dienste da abstellst, dann kannst du getrost auf deine firewall verzichten.

.cruz

@cruz:
Wie interpretiere ich es, wenn bei netstat -an für eine Reihe von remoteadressen *:* angezeigt wird?

Gruß!
MyThinkTank

Hier mal eine meiner Meinung nach recht gute Beschreibung zu Stealth und Closed:
&lt;Zitat&gt;
Closed bedeutet, dass die Firewall alle Datenpakete an einen bestimmten Port mit der Information beantwortet, dass dort kein Programm oder Dienst vorhanden ist, der mit den Daten etwas anfangen könnte (RST/REJECT). Der Versender der Datenpakete wird also recht bald den Versuch beenden.
Stealth bedeutet, dass die Firewall alle Datenpakete an einen bestimmten Port verwirft (droppt). Der Versender der Datenpakete weiß daher nicht, ob sie ihr Ziel erreicht haben und versucht es weiterhin, denn wäre der gescannte Port und damit der PC wirklich nicht vorhanden, hätte der Scanner ja vom letzten Router(HOP) die Nachricht erhalten, dass da kein PC wäre (destination unreachable). Weil diese Nachricht ausblieb und nur die Firewall eine Antwort des PCs verhinderte, ist das Vorhandensein des PCs praktisch bewiesen.
Wenn ich einen Portscan mit dem Versuch vergleiche, die Klinke einer Tür zu drücken, um zu sehen, ob diese offen ist, ergäbe sich für den Eindringling folgendes Bild :
Closed : Die Klinke lässt sich anfassen und drücken, aber die Tür ist zu. Er geht zum nächsten Haus. Vielleicht hat er da mehr Glück.
Stealth : Er kann am ganzen Haus keine Tür oder Klinke finden, weiß aber ziemlich genau, dass eine da sein MUSS und sucht also mit gesteigertem Aufwand weiter. Da die Scanprogramme von "getarnten" Ports keine Antwort erhalten, senden sie solange weiter, bis der Timeout erreicht ist und das verusacht natürlich unnötigen Datenfluss(Traffic) und überlastet eventuell die Firewall. Ein Angreifer, der feststellen kann, dass hinter einem bestimmten Port kein Dienst/Programm wartet, um Daten zu verarbeiten, betrachtet den Versuch als gescheitert und zieht weiter. Ein getarnter Port aber macht neugierig.
&lt;Zitat Ende&gt;
Gruß
T_R_G

hallo leute...
wollte mal kurz auch was bestimmtes fragen:
wenn man also netstat -an eingibt, kann man da eigentlich sämtlich aufgelistenten deaktivieren?
und wie funktiniert das überhaupt genau mit dem deaktivieren?

schöne grüsse [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Wie interpretiere ich es, wenn bei netstat -an für eine Reihe von remoteadressen *:* angezeigt wird?
</font>[/QUOTE]du interpretierst es als broadcast, d.h. dein rechner brüllt einfach mal irgendwas in die gegend, zB den netbios-namen.

.cruz

</font><blockquote>Zitat:</font><hr />Original erstellt von MySTeRiA:
wenn man also netstat -an eingibt, kann man da eigentlich sämtlich aufgelistenten deaktivieren?</font>[/QUOTE]Nope, wie kommst Du denn darauf??? Mit netstat -a kannst Du lediglich sehen, welche Ports offen sind, MEHR nicht. Ports schließen kannst Du dann u.a. (!!), indem Du entsprechende Dienste deaktivierst...

</font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen:
denn wäre der gescannte Port und damit der PC wirklich nicht vorhanden, hätte der Scanner ja vom letzten Router(HOP) die Nachricht erhalten, dass da kein PC wäre (destination unreachable). Weil diese Nachricht ausblieb und nur die Firewall eine Antwort des PCs verhinderte, ist das Vorhandensein des PCs praktisch bewiesen. </font>[/QUOTE]genauso ist es. ich find es immer wieder witzig, wenn leute meinen, ihre firewall könnte sie im internet "verstecken".

</font><blockquote>Zitat:</font><hr />Stealth : Er kann am ganzen Haus keine Tür oder Klinke finden, weiß aber ziemlich genau, dass eine da sein MUSS und sucht also mit gesteigertem Aufwand weiter.</font>[/QUOTE]besser finde ich die analogie aus der d.c.s.f.-faq:

"Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm."

.cruz

[ 04. Januar 2003, 02:55: Beitrag editiert von: cruz ]

</font><blockquote>Zitat:</font><hr />Original erstellt von MySTeRiA:
wenn man also netstat -an eingibt, kann man da eigentlich sämtlich aufgelistenten deaktivieren?</font>[/QUOTE]nein
</font><blockquote>Zitat:</font><hr />
und wie funktiniert das überhaupt genau mit dem deaktivieren?
</font>[/QUOTE]das kommt drauf an, was bei dir offen ist.
ich benutze kein windows mehr, aber wenn du uns sagst, was du für ein betriebsystem hast und was so offen steht, wird dir sicher jemand helfen können

.cruz.