/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Windows 2000 og lyttende porte?
Fra : Lars


Dato : 05-11-02 22:09

Hej,

Jeg har siddet og brugt lidt tid på at lukke unødvendige porte,
men hvis jeg laver en netstat -an på min Windows 2000 får jeg
følgende:

Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4899 0.0.0.0:0 LISTENING
TCP 192.168.0.3:4899 192.168.0.1:2299 TIME_WAIT
TCP 192.168.0.3:4899 192.168.0.1:2300 ESTABLISHED
UDP 0.0.0.0:445 *:*

Den eneste port jeg selv aktivt har bedt den om at lytte på er
port 4899 som jeg bruger til fjernstyring over mit LAN. Hvad er
de forskellige andre porte den lytter på og kan jeg evt. få den
til at lade være med det?

--
Lars,
<http://www.gaarde.org/acronyms/>

 
 
MikeU (05-11-2002)
Kommentar
Fra : MikeU


Dato : 05-11-02 23:27

"Lars" <go_ahead..._spam_this_address@tlaloc.dk> skrev i en meddelelse
news:3dc83379$1$140$edfadb0f@dtext02.news.tele.dk...

[snip]

> hvis jeg laver en netstat -an på min Windows 2000 får jeg
> følgende:
>
> Active Connections
>
> Proto Local Address Foreign Address State
> TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:4899 0.0.0.0:0 LISTENING
> TCP 192.168.0.3:4899 192.168.0.1:2299 TIME_WAIT
> TCP 192.168.0.3:4899 192.168.0.1:2300 ESTABLISHED
> UDP 0.0.0.0:445 *:*

Port 135 TCP er Windows end-point-mapper (RPC kald) Muliggør et program at
bruge services fra et program på en anden netværkshost.
Port 445 TCP/UDP er Win2K's NetBT (NetBIOS over TCP/IP), giver mulighed for
at køre Win fileshare (SMB/CIFS) direkte over TCP/IP

135 kan disables i Services.msc (skriv det i Run), men kan give
netværksproblemer med logon/drevmaps/Internet. Check listen over
afhængigheder i Services.msc.

445 er værre. check her:

http://www.uksecurityonline.com/husdg/windows2000/close445.htm

Se også dette:

http://www.systemexperts.com/win2k/HardenWin2K.html

TCP portene 1025+1026 bruges af Windows Active Directory databasen til
replikering og logon, Windows assigner disse services til de dynamiske porte
over 1024, og de kan variere, alt efter hvilke indbyggede Windows services
du kører. Check ovenstående link til for mere info.

Du er jo på et privat NAT'et subnetværk, formentlig bag en firewall, so why
worry. Der kommer ikke noget ind på dit "inderside"-LAN, der ikke er startet
derinde...!!!

Tag det roligt, og sæt en personlig firewall (bare ikke XP's indbyggede!!!)
op på dine PC'ere, hvis du er paranoid.










Arne Schwerdtfegger (06-11-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 06-11-02 18:17

"MikeU" <pots_72@e-mail.dk> wrote in
news:rzXx9.3453$oC3.486377@news010.worldonline.dk:

> Tag det roligt, og sæt en personlig firewall (bare ikke XP's
> indbyggede!!!) op på dine PC'ere, hvis du er paranoid.

tag det roligt kan jeg gå med til, men resten er da noget sludder. Uden at
kende XP's indbyggede firewall kan jeg umuligt forestille mig at den er
værre end alle de andre der falder i samme kategori.

Hvis man er paranoid hjælper det næppe at sætte en 'personlig firewall' op
- den vil nok nærmere have den modsatte effekt, og afføde flere 'hjælp jeg
bliver hacket' indlæg i denne gruppe / mails til stakkels abusehandlers.

--
Knud

MikeU (06-11-2002)
Kommentar
Fra : MikeU


Dato : 06-11-02 19:57

"Arne Schwerdtfegger" <knud@INVALIDskodliv.dk> skrev i en meddelelse
news:Xns92BEBA898503knudINVALIDskodlivdk@212.242.40.196...

> "MikeU" <pots_72@e-mail.dk> wrote in
> news:rzXx9.3453$oC3.486377@news010.worldonline.dk:
>
> > Tag det roligt, og sæt en personlig firewall (bare ikke XP's
> > indbyggede!!!) op på dine PC'ere, hvis du er paranoid.
>
> tag det roligt kan jeg gå med til, men resten er da noget sludder.

Det jeg prøver at sige her er, at han allerede befinder sig på et privat
subnet: 192.168.xxx.xxx, og derfor må være bag en NAT-enabled router, der
som bekendt ikke tillader indgående connections medmindre de allerede er
startet fra dit subnet (stub domain). Ret basic stuff egentlig...kig evt.
her:

http://www.faqs.org/rfcs/rfc1631.html

> Uden at kende XP's indbyggede firewall kan jeg umuligt forestille mig at
den er
> værre end alle de andre der falder i samme kategori.

Et væsentligt problem med XP's firewall er at den ikke kan konfigureres, kun
lytter på indkommende trafik, og at den blokker for LAN adgang til drev,
altså filesharing i Windows. Hvilket jo ikk' er så smart hvis det nu er det
man vil...

> Hvis man er paranoid hjælper det næppe at sætte en 'personlig firewall' op
> - den vil nok nærmere have den modsatte effekt, og afføde flere 'hjælp jeg
> bliver hacket' indlæg i denne gruppe / mails til stakkels abusehandlers.

Måske, men det kunne jo også have den væsentlige effekt, at han lærte noget
om firewalls, og hvad man skal hidse sig op over i sin log/alert, og hvad
der bare er baggrundsstøj...






Arne Schwerdtfegger (06-11-2002)
Kommentar
Fra : Arne Schwerdtfegger


Dato : 06-11-02 20:19

"MikeU" <pots_72@e-mail.dk> wrote in
news:iBdy9.4040$oC3.689553@news010.worldonline.dk:

> Måske, men det kunne jo også have den væsentlige effekt, at han lærte
> noget om firewalls, og hvad man skal hidse sig op over i sin
> log/alert,

intet

> og hvad der bare er baggrundsstøj...

det hele.

--
Knud

Lasse Reichstein Nie~ (07-11-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 07-11-02 01:52

"MikeU" <pots_72@e-mail.dk> writes:

> Det jeg prøver at sige her er, at han allerede befinder sig på et privat
> subnet: 192.168.xxx.xxx, og derfor må være bag en NAT-enabled router, der
> som bekendt ikke tillader indgående connections medmindre de allerede er
> startet fra dit subnet (stub domain).

Det afhænger da ganske af typen af NAT. F.eks. Stofanet kørte med 1:1 NAT.
Min interne adresse var 192.168.81.74 mens den eksterne var 212.10.18.74.
Det gav dog stadig fri forbindelse begge veje. (Jeg har ikke Stofa mere,
så hvis der er andre der har fået adressen, så er der ingen grund til at
pinge dem :))

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'

Bo Simonsen (06-11-2002)
Kommentar
Fra : Bo Simonsen


Dato : 06-11-02 18:45

In article <rzXx9.3453$oC3.486377@news010.worldonline.dk>, MikeU wrote:

> Du er jo på et privat NAT'et subnetværk, formentlig bag en firewall, so why
> worry. Der kommer ikke noget ind på dit "inderside"-LAN, der ikke er startet
> derinde...!!!

Man bør ikke stole 100% på sit IP-filter. Der kan jo være fejl i det,
ligesom alt andet.

--
Med venlig hilsen
Bo Simonsen

MikeU (06-11-2002)
Kommentar
Fra : MikeU


Dato : 06-11-02 20:05

"Bo Simonsen" <bo@geekworld.dk> skrev i en meddelelse
news:slrnasil7h.6h3.bo@sparta.lan.geekworld.dk...
> In article <rzXx9.3453$oC3.486377@news010.worldonline.dk>, MikeU wrote:
>
> > Du er jo på et privat NAT'et subnetværk, formentlig bag en firewall, so
why
> > worry. Der kommer ikke noget ind på dit "inderside"-LAN, der ikke er
startet
> > derinde...!!!
>
> Man bør ikke stole 100% på sit IP-filter. Der kan jo være fejl i det,
> ligesom alt andet.

Det er ikke det jeg siger: NAT har ikke noget med IP-filtre at gøre, check
Cisco link

http://www.cisco.com/warp/public/556/8.html




Bo Simonsen (06-11-2002)
Kommentar
Fra : Bo Simonsen


Dato : 06-11-02 23:00

In article <hIdy9.4087$oC3.691122@news010.worldonline.dk>, MikeU wrote:

> Det er ikke det jeg siger: NAT har ikke noget med IP-filtre at gøre, check
> Cisco link

Du talte både om firewall og NAT, så det er svært for mig at vide hvad
du mente. Men ja ok han er bag et NAT, men hvis Hr. Hacker finder en
fejl på NAT maskinen/routeren, ding ding så har vi skandelen.

--
Med venlig hilsen
Bo Simonsen

MikeU (06-11-2002)
Kommentar
Fra : MikeU


Dato : 06-11-02 20:17

"Bo Simonsen" <bo@geekworld.dk> skrev i en meddelelse
news:slrnasil7h.6h3.bo@sparta.lan.geekworld.dk...
> In article <rzXx9.3453$oC3.486377@news010.worldonline.dk>, MikeU wrote:
>
> > Du er jo på et privat NAT'et subnetværk, formentlig bag en firewall, so
why
> > worry. Der kommer ikke noget ind på dit "inderside"-LAN, der ikke er
startet
> > derinde...!!!
>
> Man bør ikke stole 100% på sit IP-filter. Der kan jo være fejl i det,
> ligesom alt andet.

Men iøvrigt enig med dig, NAT og IP-filtre skal jo arbejde sammen, og der
kan være fejl i ACL, port forward og statiske maps som i alt andet, men det
gængse hjemmenetværk vil nok være rimeligt beskyttet med en NAT router og en
ordentlig opsat personlig firewall. Sagen er en helt anden, hvis der skal
køres diverse web, mail, eller ftp-services.




Lars (07-11-2002)
Kommentar
Fra : Lars


Dato : 07-11-02 19:18

On Tue, 5 Nov 2002 23:26:51 +0100, "MikeU" <pots_72@e-mail.dk>
wrote:

>Port 135 TCP er Windows end-point-mapper (RPC kald) Muliggør et program at
>bruge services fra et program på en anden netværkshost.
>Port 445 TCP/UDP er Win2K's NetBT (NetBIOS over TCP/IP), giver mulighed for
>at køre Win fileshare (SMB/CIFS) direkte over TCP/IP
>
>135 kan disables i Services.msc (skriv det i Run), men kan give
>netværksproblemer med logon/drevmaps/Internet. Check listen over
>afhængigheder i Services.msc.

Der var rimelig mange ting der afhang af den, så den tror jeg
måske jeg vil lære at leve med er åben...

>445 er værre. check her:
>
>http://www.uksecurityonline.com/husdg/windows2000/close445.htm

Det prøvede jeg. Det bevirkede at min WinXP maskine ikke længere
kunne få kontakt med Win2000 maskinen, mens en anden Windows 2000
maskine godt kunne... Da jeg ændrede tilbage igen, virkede det
igen.

>Se også dette:
>
>http://www.systemexperts.com/win2k/HardenWin2K.html
>
>TCP portene 1025+1026 bruges af Windows Active Directory databasen til
>replikering og logon, Windows assigner disse services til de dynamiske porte
>over 1024, og de kan variere, alt efter hvilke indbyggede Windows services
>du kører. Check ovenstående link til for mere info.

Det vil jeg kigge nærmere på.

>Du er jo på et privat NAT'et subnetværk,

Nej.

>formentlig bag en firewall,

Nej.

>so why worry.

Det gør jeg såmænd heller ikke. Jeg ser bare ikke nogen grund til
at den står og lytter på diverse porte uden grund.

> Der kommer ikke noget ind på dit "inderside"-LAN, der ikke er startet
>derinde...!!!

Tja, men nu er der så ikke en 'inderside'.

>Tag det roligt, og sæt en personlig firewall (bare ikke XP's indbyggede!!!)

Det ville vel også været ret svært når det nu er Windows 2000 :)

>op på dine PC'ere, hvis du er paranoid.

Ikke specielt paranoid, og jeg mener ikke der er noget behov for
en (personlig) firewall på denne maskine, især ikke da
skadevirkningen hvis den skulle blive hacket ville være meget
minimal. Men derfor kan man jo godt gøre en indsats for at det
ikke sker.

--
Lars,
<http://www.gaarde.org/acronyms/>

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste