Interne und externe Ports überprüfen

Interne und externe Ports überprüfen
Dazu öffnen wir die Kommandozeile mit Windows + R und dem Befehl cmd.
Intern geöffnete Ports lassen wir uns über den Befehl netstat –an anzeigen.
Anhand dieser Abfrage erkennen wir welche Ports geöffnet sind und in welchem Status
sie sich befinden.
Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015
Interne und externe Ports überprüfen
Auf der linken Seite sehen wir das Protokoll TCP oder UDP, wobei UDP verbindungslos ist
und somit keine Remoteadressen angezeigt werden. Die Lokale Adresse ist die Bindung
an eine Netzwerkkarte. Vier Mal die Null bedeutet z.B., dass alle Netzwerkkarten den
entsprechenden Port Abhören und der Dienst aktiv ist. Die Remoteadresse ist die Adresse
mit der im Netzwerk kommuniziert wird. Der Status Hergestellt ist selbstsprechend. Viel
interessanter ist der Status Synchronisation. Synchronisation bedeutet, dass gerade eine
Verbindung aufgebaut wird. Sollten aber mehr als normal davon angezeigt werden, kann
das ein Indiz dafür sein, das eine Attacke auf unser System stattfindet. Der Status
Schließen_Warten wird angezeigt nachdem eine Verbindung beendet wurde und gibt dem
Prozess noch einmal die Gelegenheit die Verbindung aufzubauen bevor sie ganz
abgeschaltet wird.
Mit dem Befehl netstat –ano lassen wir uns noch den dazugehörigen Prozess (PID)
anzeigen, der über den Port kommuniziert.
Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015
Interne und externe Ports überprüfen
Um einen Prozess zu einem Port zu ermitteln führen wir diesen Befehl aus:
tasklist /svc /Fi "PID eq 3780"
In diesem Beispiel steht hinter dem Prozess mit der PID 3780 der TeamViewer Service.
Externe Ports:
Es gibt mehrere Online-Dienste mit denen wir prüfen können, über welche Ports wir von
außen zu erreichen sind. Der Portscan von winboard ist nur ein Beispiel. Dieses Angebot
prüft relevante Ports und zeigt uns das Ergebnis sehr übersichtlich und schnell an.
Über einen Klick auf „hier den Test starten“ startet die Überprüfung.
http://portscan.winboard.org
Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015
Interne und externe Ports überprüfen
Nach einer kurzen Wartezeit das Ergebnis. Wir sehen das nur ein sicherheitsrelevanter
„Standard“ Port (Port 21) geöffnet ist. Diesen Port nutze ich z.B. für einen FTP-Server.
PortInfo:
Port
Beschreibung
20
Für FTP-Server genutzt
21
Für FTP-Server genutzt
22
Secureshell
23
Telnet Server
25
Mail Server
53
DNS Server
79
finger (Einfache TCP Dienste
80
Web Server
Solltest Du diesen Port unbeabsichtigt mit
einer Windowsmaschine offen haben, Hast
du wahrscheinlich den IIS mitinstalliert.
In der ungepatchten Variante besteht hohes
Risiko sich mit einer Code-Red-Mutation zu
infizieren !!!
88
mögliches Router Webinterface
110
POP3 Server
113
Ident Port
Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015
Interne und externe Ports überprüfen
135
RPC-Dienst
Hohes RPC/DCOM-Wurm W32.Blaster Risiko
!!!
139
SMB Server
Hier liegt offensichtlich ein hohes Risiko vor
Dieser Port für für Windows Freigaben
verwendet
solltest du diesen Port unabsichtlich offen
haben entferne die Microsoft Freigabe
Bindungen vom PPP Adapter !!!
445
SMB Server Sasser Worm Risiko !!!
990
SFTP
1080
mögl. Bugbear.b/Tanatos Virus !
1243
möglicher Trojaner
1503
Netmeeting T.120
1720
Netmeeting H.323
1731
Netmeeting H.323 AudioCall
1723
VPN Port
1999
möglicher Trojaner
3306
MySQL-Server
3127
möglicher MyDoom-Wurm
3389
Terminal Server
4662
eDonkey Net
4711
Webinterface von eMule
5000
möglicher Sasser Clone
5800
aktiver VNC Server
5900
aktiver VNC Java Viewer
6776
möglicher Trojaner
7789
möglicher Trojaner
8080
Web- oder Proxyserver, Webinterface von
einem Router möglich
10168
WORM_LOVGATE.C (als Winppcsrv.e,
Syshelp.exe, Winrcp.exe, WinGate.exe,
Repcsrv.exe)
Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015
Interne und externe Ports überprüfen
12345
möglicher Trojaner
31337
möglicher Trojaner
54320
möglicher Trojaner
54321
möglicher Trojaner
Alle Ports die von außen zu erreichen sind, stellen erst einmal ein Risiko dar. Daher
sollten Ports nach außen nur bewusst geöffnet werden.
Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015