53.
Ports schließen - Sicherheit versus Funktionalität
Einleitung:
Im kontroversen Streit um Firewalls oder XP-eigene Firewall-Lösung
(siehe Tip: 33.
Surfen ohne Firewall?) spielt die Frage über offene Ports eine nicht
unerhebliche Rolle. Trojaner und Würmer benutzen Ports, um z. B.
gestohlene Daten weiterzuleiten, Malware nachzuladen oder die Kontrolle
über den PC zu übernehmen. Also einfach alle Ports mit einer Firewall
sperren?
Leider ist das nicht so einfach, da Ports von systemeigenen
Diensten regulär verwendet werden. Grob gesagt steht hinter jedem Port
ein Systemdienst, dessen ausschalten auch unangenehme Wirkungen haben
kann...
Im folgenden werden Anhahltspunkte geliefert, wie sie mit wenig Aufwand
die Sicherheit des PC's ohne teure Software überprüfen können. Warnung:
Das schließen von Ports bzw. beenden von Ports kann ihr System in der
Funktionalität einschränken.
1. Offene Ports herausfinden
Die simpelste Maßnahme, ob Lücken in ihrem System nach außen vorhanden
sind, ist ein Portscan
von außerhalb.
Jedenfalls sind auf dem PC des Sternenhimmelstuermers nach außen alle
Ports geschlossen XP- und Router-firewall alleine scheinen gar nicht so
schlecht zu sein... Mit diesem Test wurde eher die Routerfirewall
getestet...
Als nächstes kommt nun der Test von Innen nach außen. Kann ein Trojaner
von meinem PC aus Daten versenden:
Der leichteste Test geht mit der Eingabekonsole - Keine Angst, das ist
in diesem Fall so einfach, das sie im Prinzip kein Programm wie Local Port-Scanner brauchen, der
übrigens auch in einer virtualisierter Umgebung (Sandboxie) läuft und
durchaus empfehlenswert ist - abgesehen davon, dass die Meldungen nicht
immer einen Trojanerbefall entsprechen, auch wenn das erstmal so durch
die Anzeige vermittelt wird.
1. Start - Ausführen: Eingeben des Befehls cdm.exe - die Eingabekonsole
öffnet sich.
2. Dann einfach den Befehl: netstat
-ano eingeben (kopieren und Einfügen...)
3. Es erfolgt
eine Listung der Netzwerkkommunikation der Ports
- die mit dem Staatus "abhören" können eine Gefahr darstellen....keinen
Schreck bekommen - mit einiger sicherheit werden ihnen einige Ports
angezeigt.
4. Durch die PID können Sie nun den zugehörigen Dienst
ermitteln. Im Internet kursieren ziemlich viele blöde Methoden, um die
PID dem Prozess zuzuordnen.
Warum?
Der Befehl Tasklist/FI "PID eq xxx" (XXX steht für die PID)
funktioniert leider auch beim Sternenhimmelstuermer nicht - kein Grund
zur Panik - es gibt eine bessere Möglichkeit...
Der
Sternenhimmelstuermer brauchte ca. zwei Stunden um eine geniale und
einfache Zuordnung herauszufinden:
a) Taskmanager mit der Kombination strg alt entf öffnen.
b) Im Menue Ansicht zu Spalten auswählen gehen.
c) Das Häkchen bei PID setzen.
Unter Prozesse sehen sie nun den jeweiligen Prozess mit der PID. Jetzt
können sie dort auch gerne die Prozesse beenden und mal
prüfen, was so auf Ihrem System ausfällt....Einfach den Prozess mit
rechter Maustaste Anklicken und Prozess deaktivieren. Vorher den
Prozessnamen aufschreiben. Warum? Sollte mal Euer System kurz vor dem
Exitus sein, so könnt ihr unter dem Menuepunkt Datei - neuer Task den
Prozessnamen eintragen (natürlich vollständig mit Endung: exe) und den
Dienst ohne Neustart wieder ausführen. Ansonsten ist nach einem
Neustart auch wieder alles in Ordnung. Die Dienste werden wieder
automatisch gestartet. Da liegt auch das Problem. Dieses ist nur eine
temporäre Maßnahme, um nach einem vielleicht bereits monatelangen
Virenbefall wichtige Sekunden nicht mehr zu verlieren...
Sicherer
ist es natürlich die Dienste erstmal abzugooglen. Damit haben sie einen
riesigen Vorteil: Geben sie einmal spaßeshalber eine Portnummer eines
offenen Portes ein. Sie werden echte Probleme bekommen. Grund: Die
Portnummern werden ungenialerweise in jedem noch so unwichtigen Fall
als Nebenprodukt in die Foren gepostet, damit sich irgendwelche
Experten den Logfile zu gemüte führen. Das ist für die Allgemeinheit
natürlich Mist. Die Roboter der Suchmaschinen finden den Unterschied
zwischen unbedeutenden und bedeutenden Teilen der Logfiles nicht heraus
und so bekommen sie total unrelevante Antworten auf ihre Anfragen.
Anders sieht es dann schon bei den Systemprozessen aus. Es gibt
außerdem sogenannte Tasklisten im Internet, die ihnen dnn weiterhelfen
- einfach mal googlen.
Nachtrag:
Das eben gezeigte Verfahren bürgt natürlich den Nachteil einer weiteren
Abfrage. Durch ein wenig spielen mit den Parametern der Kommandozeilen,
stieß der Sternenhimmelstuermer auf eine faszinierende neue
Möglichkeit, nämlich den Befehl "netstat -abno".
Da diese Abfragemöglichkeit irgendwie genial ist , wurde diesem Befehl
eine eigene Rubrik gewidmet. Hier sei nur erwähnt, dass unter jedem XP
der Port, die PID und der zugrundelegende Prozess angezeigt wird.
Hinweis: Es dauert einen Momment, bis der Befehl "abgearbeitet" wird.
Also ca. 5 Sekunden warten
In Tip 54 rät der
Sternenhimmelstuermer zur ...
2. Nachdem Sie jetzt die offenen Ports ermittelt haben geht es erst
richtig los! Jetzt heißt es starke Nerven haben und googeln ohne Ende.
Sie werden nun dutzende von Hinweisen auf Trojaner
bekommen - die meisten treffen leider/zum Glück nicht zu. Der
Sternenhimmelstuermer wird hier keine Tips mehr geben, da jeder Port so
seine speziellen Dienste hat. Stutzig sollten sie werden, wenn Ports
offen sind, deren Dienste sie nicht benötigen.
Ach
so, bei einigen Diensten müssen noch Eingriffe ins Betriebssystem
gemacht werden, um sie endgültig zu schließen...viel Glück!
3. Dienste an sich zu aktivieren ist in vielen Fällen (aber nicht
allen!) wie gesagt kein Hit. Dauerhaft wird ein
Dienst z. B. durch den Pfad: start - Systemsteuerung - Verwaltung -
Dienste deaktiviert. Andere Möglichkeit: start ausführen und
DCOMCNFG.EXE
eingeben:
Nun können die Dienste deaktiviert werden. Tun sie
das nur, wenn sie
sich extrem sicher sind, was sie tun. Lieber einen Offenen Port, als
ein schlecht funktionierendes System: Es ist vielleicht schön einen
weiteren Dienst zu blocken, aber wenn sie dann z. B. kein automatisches
Windowsupdate mehr bekommen, weil man den falschen Dienst
deaktivierte, ist es ein wenig ärgerlich. Oft Hilft auch das Einstellen
von
automatisch auf manuell (ach ja, um einen Dienst auf automatisch
manuell oder deaktivieren zu stellen, müssen sie den betreffenden
Dienst mit der rechten Maustaste anklicken und auswählen), aber damit
können sie auch schon einige wichtige Einstellungen außer Gefecht
setzen.
Der
Sternenhimmelstuermer hält es hier wie alle Experten: anfangen zu
faseln, da konkrete Tipps schwere Fehler verursachen können. Ein eher
harmloses beispiel zum Thema Systemdienste: In einer führenden
Computerzeitschrift wurde seiner Zeit der Tip gegeben, mit bootvis den
Bootvorgang zu beschleunigen.
Gleichzeitig wurde in derselben
Zeitschrift der Tip gegeben, den Indexdienst zu aktivieren, um
Ressourcen zu sparen: Pech gehabt: Bootvis verweigert ohne Indexdienst
einfach mal die Arbeit...Der Sternenhimmelstuermer warnt daher
allgemein Systemdienste zu deaktivieren. Übrigens steigt nicht die
Performance beim Bootvorgang durch deaktivieren sämtlicher möglichen
automatischen Dienste, sondern sinkt. Ein Test einer PC-Zeitschrift
stellte dieses als Nebenprodukt eines Wettbewerbs von Vista gegen XP
fest! Wenn sie übrigens auf einmal Probleme mit Office und der
Grafikkarte (ATi) bekommen und sie vorher an den Ports herumgespielt
haben, wissen sie jetzt den Grund! Ist leider beim
Sternenhimmelstuermer schon 'ne Weile her, daher keine genaue Zuordnung
mehr möglich..
Ach und die Ports 135 und 445 müssen nicht unbedingt
blockiert sein,
auch wenn das in einigen Foren zur Lebensaufgabe (ein wenig
Paronoia...)
erklärt wird.
Anmerkung: in einer Firewall können sie den Verkehr über
einen Port
natürlich eintragen.
4. Manchmal will man andersrum einen Port öffnen, um z. B.
Internetspiele oder Tauschbörsen zu frequentieren. In der Regel fragt
die sogar auch so schlechte Windowsfirewall nach, ob ein Programm einen
ungewöhnlichen Port benutzen will. In diesem Fall ist das auch kein
Problem. Bei der Nachfrage der Windows-Firewall einfach mit ja
bestätigen.
Manchmal unterbleibt leider diese Nachfrage und das Tool wird
einfach
geblockt - keine Sorge: Sie können auch mit der XP-Firewall Ausnahmen
konfigurieren:
a) start - systemsteuerung . windows-firewall
b) Registerkarte Ausnahmen anklicken
c) Programm als Ausnahme auswählen oder sicherer: Port freigeben durch
Eintrag und aussagekräftigen Namen geben - fertig.
Bei der Gelegenheit: Schauen sie sich gleich mal die Einträge
in der
List der Ausnahme an. Remotedesktopunterstützung sollten sie gleich mal
durch Wegnahme des Häkchens deaktivieren - es sei denn, sie brauchen
mal wirklich Hilfe von draußen...
Tipp: Haben sie eine andere Firewalllösung auf dem Desktop,
so sollten
sie die von XP deaktivieren. Zwar liefen Zonealarm und XP-Firewall ohne
Probleme früher beim Sternenhimmelstuermer zusammen, aber das
soll
man offiziell nicht machen. Das Konzept der Firewall von XP ist
zugegebener Maßen etwas eigenwillig, aber lange nicht so schlecht wie
ansonsten dargestellt...
Der Sternenhimmelstuermer hofft ein wenig grundlegende und
userbezogene
Fragen wegen Ports geklärt zu haben. Er bittet um Verständnis, dass
weitere Fragen per E-Mail nicht beantwortet werden - Dankschreiben oder
der Hinweis auf Fehler sind natürlich willkommen...