Interne und externe Ports überprüfen Dazu öffnen wir die Kommandozeile mit Windows + R und dem Befehl cmd. Intern geöffnete Ports lassen wir uns über den Befehl netstat –an anzeigen. Anhand dieser Abfrage erkennen wir welche Ports geöffnet sind und in welchem Status sie sich befinden. Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015 Interne und externe Ports überprüfen Auf der linken Seite sehen wir das Protokoll TCP oder UDP, wobei UDP verbindungslos ist und somit keine Remoteadressen angezeigt werden. Die Lokale Adresse ist die Bindung an eine Netzwerkkarte. Vier Mal die Null bedeutet z.B., dass alle Netzwerkkarten den entsprechenden Port Abhören und der Dienst aktiv ist. Die Remoteadresse ist die Adresse mit der im Netzwerk kommuniziert wird. Der Status Hergestellt ist selbstsprechend. Viel interessanter ist der Status Synchronisation. Synchronisation bedeutet, dass gerade eine Verbindung aufgebaut wird. Sollten aber mehr als normal davon angezeigt werden, kann das ein Indiz dafür sein, das eine Attacke auf unser System stattfindet. Der Status Schließen_Warten wird angezeigt nachdem eine Verbindung beendet wurde und gibt dem Prozess noch einmal die Gelegenheit die Verbindung aufzubauen bevor sie ganz abgeschaltet wird. Mit dem Befehl netstat –ano lassen wir uns noch den dazugehörigen Prozess (PID) anzeigen, der über den Port kommuniziert. Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015 Interne und externe Ports überprüfen Um einen Prozess zu einem Port zu ermitteln führen wir diesen Befehl aus: tasklist /svc /Fi "PID eq 3780" In diesem Beispiel steht hinter dem Prozess mit der PID 3780 der TeamViewer Service. Externe Ports: Es gibt mehrere Online-Dienste mit denen wir prüfen können, über welche Ports wir von außen zu erreichen sind. Der Portscan von winboard ist nur ein Beispiel. Dieses Angebot prüft relevante Ports und zeigt uns das Ergebnis sehr übersichtlich und schnell an. Über einen Klick auf „hier den Test starten“ startet die Überprüfung. http://portscan.winboard.org Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015 Interne und externe Ports überprüfen Nach einer kurzen Wartezeit das Ergebnis. Wir sehen das nur ein sicherheitsrelevanter „Standard“ Port (Port 21) geöffnet ist. Diesen Port nutze ich z.B. für einen FTP-Server. PortInfo: Port Beschreibung 20 Für FTP-Server genutzt 21 Für FTP-Server genutzt 22 Secureshell 23 Telnet Server 25 Mail Server 53 DNS Server 79 finger (Einfache TCP Dienste 80 Web Server Solltest Du diesen Port unbeabsichtigt mit einer Windowsmaschine offen haben, Hast du wahrscheinlich den IIS mitinstalliert. In der ungepatchten Variante besteht hohes Risiko sich mit einer Code-Red-Mutation zu infizieren !!! 88 mögliches Router Webinterface 110 POP3 Server 113 Ident Port Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015 Interne und externe Ports überprüfen 135 RPC-Dienst Hohes RPC/DCOM-Wurm W32.Blaster Risiko !!! 139 SMB Server Hier liegt offensichtlich ein hohes Risiko vor Dieser Port für für Windows Freigaben verwendet solltest du diesen Port unabsichtlich offen haben entferne die Microsoft Freigabe Bindungen vom PPP Adapter !!! 445 SMB Server Sasser Worm Risiko !!! 990 SFTP 1080 mögl. Bugbear.b/Tanatos Virus ! 1243 möglicher Trojaner 1503 Netmeeting T.120 1720 Netmeeting H.323 1731 Netmeeting H.323 AudioCall 1723 VPN Port 1999 möglicher Trojaner 3306 MySQL-Server 3127 möglicher MyDoom-Wurm 3389 Terminal Server 4662 eDonkey Net 4711 Webinterface von eMule 5000 möglicher Sasser Clone 5800 aktiver VNC Server 5900 aktiver VNC Java Viewer 6776 möglicher Trojaner 7789 möglicher Trojaner 8080 Web- oder Proxyserver, Webinterface von einem Router möglich 10168 WORM_LOVGATE.C (als Winppcsrv.e, Syshelp.exe, Winrcp.exe, WinGate.exe, Repcsrv.exe) Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015 Interne und externe Ports überprüfen 12345 möglicher Trojaner 31337 möglicher Trojaner 54320 möglicher Trojaner 54321 möglicher Trojaner Alle Ports die von außen zu erreichen sind, stellen erst einmal ein Risiko dar. Daher sollten Ports nach außen nur bewusst geöffnet werden. Erstellt von Jörn Walter www.der-windows-papst.de – 22.11.2015
© Copyright 2025 ExpyDoc