Wie sicher ist die Windows Firewall?
Dominik Schmidt
angenommen, ein XP Pro Computer wird als Internetrouter benutzt, damit
andere PCs im lokalen Netzwerk �ber diesen ins Internet k�nnen.
Das bedeutet, dieser ist direkt mit dem Internet verbunden und stellt diese
�ber die Option Gemeinsame Nutzung der Internetverbindung zur Verf�gung.
Es sind alle Microsoft Updates installiert, keinerlei zus�tzliche Software
installiert (er kann also nicht kompromittiert sein). Die Windows Firewall
ist aktiviert, die Ausnahmen sind alle deaktiviert. �ber die erweiterten
Einstellungen (NAT-Regeln) werden manche Ports von au�en auf interne
Computer weitergeleitet, nicht aber auf diesen Router.
Der Router selbst sollte somit eigentlich absolut sicher bzw. von au�en
unerreichbar sein?
Ist das richtig, oder k�nnte es doch passieren, dass die Router-Firewall
manche Anfragen an den Router selbst leitet, bzw. dieser sonst irgend wie
angegriffen werden k�nnte?
Der Anlass meiner Frage ist, dass diese Konfiguration angeblich von au�en
�ber gewisse Ports erreichbar war, die ich nicht in den NAT-Regeln
festgelegt hatte (z.B. 90) und der Router von einem lokalen PC �ber gewisse
Ports wie z.B. 21 (es l�uft nirgendwo ein FTP-Server) erreichbar ist - das
sagt mir zumindest der Portscanner "Blues Port Scan".
Hei�t das, die Firewall funktioniert evtl. nicht richtig?
Michael H. Fischer
> Der Anlass meiner Frage ist, dass diese Konfiguration angeblich von au�en
> �ber gewisse Ports erreichbar war, die ich nicht in den NAT-Regeln
> festgelegt hatte (z.B. 90) und der Router von einem lokalen PC �ber gewisse
> Ports wie z.B. 21 (es l�uft nirgendwo ein FTP-Server) erreichbar ist - das
> sagt mir zumindest der Portscanner "Blues Port Scan".
>
> Hei�t das, die Firewall funktioniert evtl. nicht richtig?
Nein, der Portscanner erz�hlt dir Unsinn oder du interpretierst seine
angaben falsch. Was erz�hlt er dir *genau*?
Ganz davon abgesehen, dass ein echter Router weitaus sinnvoller und
flexibler w�re...
Michael H. Fischer
--
Antworten rund um NT/W2K/XP: http://www.derfisch.de/
Windows Tuning Mythen: http://www.derfisch.de/Tuning-Mythen.html
Dominik Schmidt
> Nein, der Portscanner erz�hlt dir Unsinn oder du interpretierst seine
> angaben falsch. Was erz�hlt er dir *genau*?
Okay, also folgendes Ergebnis bekomme ich, wenn ich von au�erhalb einen
Portscan durchf�hre:
TCP: ***.***.***.*** [21-ftp]
TCP: ***.***.***.*** [25-smtp]
TCP: ***.***.***.*** [80-www-http]
TCP: ***.***.***.*** [90-dnsix]
TCP: ***.***.***.*** [110-pop3]
Port 21 und 80 sind richtig, denn die habe ich testweise freigegeben (wird
nicht auf den Router sondern auf einen internen PC geleitet).
Die anderen Ports habe ich nicht f�r von au�en kommende Anfragen
freigegeben.
Und dieses Ergebnis bekomme ich bei einem Portscan von einem internen PC an
den Router:
TCP: ***.***.***.*** [21-ftp]
TCP: ***.***.***.*** [23-telnet]
TCP: ***.***.***.*** [139-netbios-ssn]
TCP: ***.***.***.*** [445-microsoft-ds]
Port 23 habe ich absichtlich f�r interne Anfragen freigegeben, da der
Telnet-Dienst im lokalen Netz kein Risiko darstellt. Ich verstehe
allerdings nicht, warum hier Port 21 auftaucht...?
> Ganz davon abgesehen, dass ein echter Router weitaus sinnvoller und
> flexibler w�re...
L�sst sich das pr�zisieren? Nat�rlich ist ein handels�blicher Router
einfacher zu handhaben. Aber nachdem die von mir beschriebene Konfiguration
einmal eingerichtet ist, funktioniert sie genauso gut - oder nicht?
Thomas Braun
> Der Router selbst sollte somit eigentlich absolut sicher bzw. von au�en
> unerreichbar sein?
Selbstverst�ndlich ist er erreichbar, sonst k�nnte er seine Aufgabe nicht
erf�llen.
"Absolut sicher" ist �brigens Marketing-Blabla. Definiere zuerst vor was du
gesch�tzt sein willst, nur dann kann jemand eine sinnvolle Antwort auf
deine Fragen geben.
> Ist das richtig, oder k�nnte es doch passieren, dass die Router-Firewall
> manche Anfragen an den Router selbst leitet, bzw. dieser sonst irgend wie
> angegriffen werden k�nnte?
Siehe oben - jede Software die auf der Maschine l�uft und auf Anfragen von
aussen wartet ("port offen") kann erreicht werden - ob der Router dadurch
auch "angegriffen" werden kann h�ngt nicht (nur) von den Paketfilterregeln
ab, sondern auch von potentiellen Sicherheitsl�cken der jeweiligen
Software.
Gaaaanz pauschal lautet die Antwort auf deine Frage also "unter Umst�nden
ja"
> Ports wie z.B. 21 (es l�uft nirgendwo ein FTP-Server) erreichbar ist - das
> sagt mir zumindest der Portscanner "Blues Port Scan".
>
> Hei�t das, die Firewall funktioniert evtl. nicht richtig?
Betsenfalls hei�t das, das der "portscanner" Mist ist - ohne eine
detailliertere Beschreibung deinerseits kann das aber niemand mit
ausreichender Sicherheit sagen.
Wie Michael schon geschrieben hat - ein dedizierter Router ist sinnvoller,
alleine schon wegen der geringeren Komplexit�t im Vergleich mit Windows XP
ist die Wahrscheinlichkeit von ungestopften L�chern geringer.
gr��e
thomas
Ottmar Freudenberger
> Okay, also folgendes Ergebnis bekomme ich, wenn ich von außerhalb einen
> Portscan durchführe:
>
> TCP: ***.***.***.*** [21-ftp]
> TCP: ***.***.***.*** [25-smtp]
> TCP: ***.***.***.*** [80-www-http]
> TCP: ***.***.***.*** [90-dnsix]
> TCP: ***.***.***.*** [110-pop3]
*Womit* wird de Portscan durchgeführt und was ist mit den obigen Ports?
Werden sie als "offen" -äh- ausgewiesen?
Du hast keinen Mailserver auf dem Pseudo-Router laufen und hast ganz sicher
keine Mails während des Portscans abgefragt bzw. versendet?
Auch kein "Client" hinter dem "Router"?
Bye,
Freu"ein 'echter' Router würde neben den Nerven latürnich auch Strom sparen
helfen"di
--
X-Deppeninterface-used: yes
Thomas Braun
> L�sst sich das pr�zisieren? Nat�rlich ist ein handels�blicher Router
> einfacher zu handhaben. Aber nachdem die von mir beschriebene Konfiguration
> einmal eingerichtet ist, funktioniert sie genauso gut - oder nicht?
...oder nicht, bzw. h�ngt das von deiner Definition von "genauso gut" ab.
Komplexeres System -> mehr potentielle Angriffsvektoren.
Gr��e
thomas
Dominik Schmidt
> "Dominik Schmidt" wrote:
>
>> Okay, also folgendes Ergebnis bekomme ich, wenn ich von au�erhalb einen
>> Portscan durchf�hre:
>>
>> TCP: ***.***.***.*** [21-ftp]
>> TCP: ***.***.***.*** [25-smtp]
>> TCP: ***.***.***.*** [80-www-http]
>> TCP: ***.***.***.*** [90-dnsix]
>> TCP: ***.***.***.*** [110-pop3]
>
> *Womit* wird de Portscan durchgef�hrt und was ist mit den obigen Ports?
> Werden sie als "offen" -�h- ausgewiesen?
Blues Port Scan hei�t das benutzte Programm und meines Wissens sollen die
gelisteten Ports offen sein.
> Du hast keinen Mailserver auf dem Pseudo-Router laufen und hast ganz sicher
> keine Mails w�hrend des Portscans abgefragt bzw. versendet?
> Auch kein "Client" hinter dem "Router"?
Doch, daran habe ich nicht gedacht: Zwar ist nirgendwo ein Mailserver,
allerdings fragen verschiedene PCs permanent Mails ab - das d�rfte
zumindest den Port 110 erkl�ren.
> Freu"ein 'echter' Router w�rde neben den Nerven lat�rnich auch Strom sparen
> helfen"di
Ja, da kann dir keiner widersprechen :-)
Ottmar Freudenberger
>> *Womit* wird de Portscan durchgef�hrt und was ist mit den obigen Ports?
>> Werden sie als "offen" -�h- ausgewiesen?
>
> Blues Port Scan hei�t das benutzte Programm und meines Wissens sollen die
> gelisteten Ports offen sein.
�hm, das Dingen von http://www.bluebitter.de/portscn1.htm meinst Du?
Wenn Du wissen willst, ob die Ports *von au�en* nicht erreichbar sind
und darum geht es ja auch, ist das "nicht so wirklich" geeignet.
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1
z.B. w�re eine sinnvollere Variante.
Bye,
Freudi
--
Macht euer Windows sicherer: http://windowsupdate.microsoft.com - jetzt!
http://www.microsoft.com/germany/sicherheit/
Infos zu aktuellen Patches f�r IE, OE und WinXP: http://patch-info.de
Dominik Schmidt
> Dominik Schmidt wrote:
>
>> Der Router selbst sollte somit eigentlich absolut sicher bzw. von au�en
>> unerreichbar sein?
>
> Selbstverst�ndlich ist er erreichbar, sonst k�nnte er seine Aufgabe nicht
> erf�llen.
Bin ich da jetzt falsch informiert? Ich dachte NAT-Router l�sst von au�en
(au�en = Internet) kommende Anfragen eben nicht einfach ins lokale
Netzwerk, au�er die Anfrage ist eine Reaktion auf eine Anfrage, die vom
lokalen Netz an diesen au�enstehenden PC ging.
Beispiel: Ein "au�enstehender" PC versucht sich, �ber Telnet mit der IP von
dem Router zu verbinden (hinter dieser ja mehrere PCs angeschlossen sind).
Kein lokaler PC hat eine Anfrage auf diesem Port an den au�enstehenden PC
gesendet und der Port 23 wird auch nicht von au�en auf einen bestimmten PC
durchgeroutet.
Vom lokalen Netzwerk ist es hingegen m�glich, �ber Port 23 auf den Router
zuzugreifen, da ich diesen in der Firewall freigegeben habe.
Ist das nun falsch?
> "Absolut sicher" ist �brigens Marketing-Blabla. Definiere zuerst vor was du
> gesch�tzt sein willst, nur dann kann jemand eine sinnvolle Antwort auf
> deine Fragen geben.
Ja, da hast du Recht. Ich m�chte vor jeglichen Angriffen "von au�en", das
hei�t aus dem Internet, gesch�tzt sein.
>> Ist das richtig, oder k�nnte es doch passieren, dass die Router-Firewall
>> manche Anfragen an den Router selbst leitet, bzw. dieser sonst irgend wie
>> angegriffen werden k�nnte?
>
> Siehe oben - jede Software die auf der Maschine l�uft und auf Anfragen von
> aussen wartet ("port offen") kann erreicht werden - ob der Router dadurch
> auch "angegriffen" werden kann h�ngt nicht (nur) von den Paketfilterregeln
> ab, sondern auch von potentiellen Sicherheitsl�cken der jeweiligen
> Software.
Auf dem Router l�uft ja keine Drittsoftware - nur Windows-Boardmittel, die
eben manche Ports auf andere PCs im Netzwerk weiterleiten. Es gibt keine
Filterregeln, die von au�en kommende Anfragen an den Router selbst leiten.
Daher meine Frage, ob es dennoch m�glich sein k�nnte, dass
(Angriffs-)Anfragen auf dem Router landen?
> Wie Michael schon geschrieben hat - ein dedizierter Router ist sinnvoller,
> alleine schon wegen der geringeren Komplexit�t im Vergleich mit Windows XP
> ist die Wahrscheinlichkeit von ungestopften L�chern geringer.
Aber auch hier muss ich noch mal die gleiche Frage stellen: Selbst wenn das
System nicht �ber MS Update auf dem aktuellsten Stand w�re, sollte dann die
Windows-Firewall (die ja f�r den Router keine Ausnahmen hat) nicht daf�r
sorgen, dass die offenen Sicherheitsl�cken nicht ausgenutzt werden k�nnen,
da eben nichts auf den Router durchgelassen wird?
Ottmar Freudenberger
> On Thu, 28 May 2009 13:43:16 +0200, Thomas Braun wrote:
>> "Absolut sicher" ist �brigens Marketing-Blabla. Definiere zuerst vor was du
>> gesch�tzt sein willst, nur dann kann jemand eine sinnvolle Antwort auf
>> deine Fragen geben.
>
> Ja, da hast du Recht. Ich m�chte vor jeglichen Angriffen "von au�en", das
> hei�t aus dem Internet, gesch�tzt sein.
Und jetzt definiere bitte "Angriffe". Ein Ping ist kein "Angriff".
> Selbst wenn das
> System nicht �ber MS Update auf dem aktuellsten Stand w�re, sollte dann die
> Windows-Firewall (die ja f�r den Router keine Ausnahmen hat) nicht daf�r
> sorgen, dass die offenen Sicherheitsl�cken nicht ausgenutzt werden k�nnen,
> da eben nichts auf den Router durchgelassen wird?
�hm, wie soll eine Firewall (welcher Art auch immer) vor Sicherheitsl�cken
sch�tzen, die sich in Anwendungen oder Teilen davon befinden, die t�glich
im Gebrauch sind? "Nicht jeder" Remotezugriff von au�en ist portbasierend.
Thomas Einzel
> Hallo,
>
> angenommen,
Also kein tats�chliche Frage einer Realisierung?
> ein XP Pro Computer wird als Internetrouter benutzt, damit
> andere PCs im lokalen Netzwerk �ber diesen ins Internet k�nnen.
...
> Der Router selbst sollte somit eigentlich absolut sicher bzw.
Hm, man k�nnte fragen ob das ein Scherz sein soll. Nimm einfach einen
kleinen "Hardwarerouter", das spart u.a. Nerven und Geld (Energiekosten).
Ggf. gleich einen mit WLAN und switch...
Thomas
Dominik Schmidt
> Und jetzt definiere bitte "Angriffe". Ein Ping ist kein "Angriff".
> �hm, wie soll eine Firewall (welcher Art auch immer) vor Sicherheitsl�cken
> sch�tzen, die sich in Anwendungen oder Teilen davon befinden, die t�glich
> im Gebrauch sind? "Nicht jeder" Remotezugriff von au�en ist portbasierend.
Ich sehe schon, meine NAT-Regeln tragen zur Verwirrung bei.
Um eines klarzustellen: Wenn ich z.B. den Port 80 durchroute auf einen
lokalen PC, an dem ein Webserver l�uft. Und dieser Server durch
Sicherheitsl�cken angegriffen wird, sodass im schlimmsten Fall vielleicht
der Computer infiziert wird, dann ist das nat�rlich unerw�nscht - aber
darum geht es mir nicht in diesem Thread. Ich k�nnte sagen, das w�re mir
diesbez�glich egal.
Die Firewall soll also, um auf deinen Post einzugehen, *nicht* vor solchen
Angriffen bzw. Sicherheitsl�cken in Anwendungen sch�tzen!
Ich versuche es mal so zu beschreiben: Vergiss die NAT-Regeln, nehmen wir
an, auf dem Router ist nach wie vor die Firewall aktiviert. Aber komplett
ohne Ausnahmen.
Es bleibt auch dabei, dass auf dem Router keinerlei Drittsoftware l�uft.
Besteht in dieser Konfiguration die M�glichkeit, dass der Router (die
anderen PCs spielen keine Rolle) trotz Firewall infiziert wird?
Ich erinnere mich dabei an diverse W�rmer, die sich automatisch verbreitet
haben, sodass ein ungepatchtes XP ohne Firewall in wenigen Sekunden
infiziert war. Ob ein derartiger Wurm derzeit im Umlauf ist, wei� ich
nicht, aber wenn das so w�re, sollte die Firewall eine Infektion durch
diesen verhindern - selbst wenn das System nicht aktuell w�re...?
Dominik Schmidt
> Dominik Schmidt schrieb:
>> Hallo,
>>
>> angenommen,
>
> Also kein tats�chliche Frage einer Realisierung?
In dem Fall nichts dauerhaftes, sondern zu Testzwecken.
>> Der Router selbst sollte somit eigentlich absolut sicher bzw.
>
> Hm, man k�nnte fragen ob das ein Scherz sein soll. Nimm einfach einen
> kleinen "Hardwarerouter", das spart u.a. Nerven und Geld (Energiekosten).
Nein, kein Scherz, eher schlechte Formulierung.
Dass "absolut sicher" meistens unm�glich ist, wei� ich auch.
Mir ging es eigentlich um die Sicherheit vom Router selbst im Vergleich zu
einem Standardrouter.
Ottmar Freudenberger
> On Sat, 30 May 2009 09:50:25 +0200, Ottmar Freudenberger wrote:
>
>> Und jetzt definiere bitte "Angriffe". Ein Ping ist kein "Angriff".
>> �hm, wie soll eine Firewall (welcher Art auch immer) vor Sicherheitsl�cken
>> sch�tzen, die sich in Anwendungen oder Teilen davon befinden, die t�glich
>> im Gebrauch sind? "Nicht jeder" Remotezugriff von au�en ist portbasierend.
>
> Ich sehe schon, meine NAT-Regeln tragen zur Verwirrung bei.
Nicht bei mir. M�chtest Du vielleicht das Ergebnis des Online-Portscans
wiedergeben.
> Um eines klarzustellen: Wenn ich z.B. den Port 80 durchroute auf einen
> lokalen PC, an dem ein Webserver l�uft. Und dieser Server durch
> Sicherheitsl�cken angegriffen wird, sodass im schlimmsten Fall vielleicht
> der Computer infiziert wird, dann ist das nat�rlich unerw�nscht - aber
> darum geht es mir nicht in diesem Thread.
Darum geht es auch mir nicht. Wie definierst Du also "Angriff"?
> Besteht in dieser Konfiguration die M�glichkeit, dass der Router (die
> anderen PCs spielen keine Rolle) trotz Firewall infiziert wird?
Durch *was* *wie* "infiziert"?
> Ich erinnere mich dabei an diverse W�rmer, die sich automatisch verbreitet
> haben, sodass ein ungepatchtes XP ohne Firewall in wenigen Sekunden
> infiziert war.
Die Firewall l�uft aber doch auch auf dem "Router", nicht?
Thomas Einzel
> On Sat, 30 May 2009 11:13:57 +0200, Thomas Einzel wrote:
>
>> Dominik Schmidt schrieb:
>>> Hallo,
>>>
>>> angenommen,
>> Also kein tats�chliche Frage einer Realisierung?
>
> In dem Fall nichts dauerhaftes, sondern zu Testzwecken.
Du willst die Sicherheit von XP im Internet testen? (nur rhetorische Frage)
>>> Der Router selbst sollte somit eigentlich absolut sicher bzw.
>> Hm, man k�nnte fragen ob das ein Scherz sein soll. Nimm einfach einen
>> kleinen "Hardwarerouter", das spart u.a. Nerven und Geld (Energiekosten).
>
> Nein, kein Scherz, eher schlechte Formulierung.
...
> Dass "absolut sicher" meistens unm�glich ist, wei� ich auch.
> Mir ging es eigentlich um die Sicherheit vom Router selbst im Vergleich zu
> einem Standardrouter.
Wenn du mit Standardrouter einem "Hardwarerouter" meinst (oft kleine
Linux Systeme oder spezielle OS des Herstellers) - vergleiche nur die
Netz Exploits Win XP und Linux der letzten paar Jahre.
Eine solche Frage in einer Microsoft....XP Gruppe �hnelt fast der Frage
an einem Ford H�ndler, ob ein Focus denn wirklich gut sei, oder so.
Kurz und f�r mich abschlie�end: F�r kleines Geld z.B. immer wieder gern
die Empfehlung f�r DD-WRT f�hige Ger�te wie Linksys WRT54GL (bei DSL
wird ein externes Modem ben�tigt). Bei h�heren und/oder gesch�ftlichen
Anspr�chen (kleinerer bis mittleren Umfang) empfehle ich mal einen Blick
auf Lancom Router zu werfen.
Thomas
Dominik Schmidt
> Nicht bei mir. M�chtest Du vielleicht das Ergebnis des Online-Portscans
> wiedergeben.
Ja, entschuldige bitte. Der "Windows-Standard" Test zeigt alle getesteten
Ports, mit Ausnahme von Port 80 (der ja auch benutzt wird), als gefiltert
an.
Ein gezielter Test nach den Ports, die laut Blues Port Scan offen waren,
sagt, dass nur Port 21 und 80 offen sind (wie gesagt - beabsichtigt) und
die �brigen drei - 25, 90, 110 - gefiltert sind.
Der Heise Portscan gibt also genau das Ergebnis aus, das ich erwartet hatte
(und die Tatsache, dass der Blues Scan ein anderes Ergebnis gebracht hat,
war der eigentliche Anlass meines Threads).
Darf ich daraus schlie�en, dass der Blues Port Scanner nicht fehlerfrei
arbeitet?
Und kannst du mir vielleicht einen Portscanner empfehlen, der so sch�n
arbeitet, wie der Heise-Scanner, nur ohne Einschr�nkung auf die eigene IP?
> Darum geht es auch mir nicht. Wie definierst Du also "Angriff"?
Mit "Angriff" meinte ich das selbe, wie mit "infiziert"...
> Durch *was* *wie* "infiziert"?
Z.B. durch einen Wurm, der sich wie der von mir angesprochene Wurm, nicht
per E-Mail o.�. verbreitet, sondern (meines Wissens) durch das
automatische, permanente Senden von bestimmten, modifizierten Anfragen an
(zuf�llig?) generierte IPs. Ungepatchte und ungesch�tzte (keine Firewall)
Windows-Systeme haben dabei so reagiert, dass der Wurm seinen Code in das
ungepatchte System einschleusen konnte.
Mir geht es dabei allein um die Tatsache, dass von dem Wurm eine Anfrage an
das System gesendet wurde - dieser hat das ganze also initiiert -, welche
durch eine Firewall (ohne Ausnahmeregeln) blockiert worden w�re (wodurch
auch das ungepatchte System nicht infiziert worden w�re).
Ich bin nun nicht mehr sicher, ob das richtig ist, ich habe das jetzt so in
Erinnerung, kann mich aber bei bestem Willen nicht mehr an den Namen des
(oder eines solchen) Wurmes erinnern.
*Falls* das so richtig sein *k�nnte*, d�rfte die Firewall davor gesch�tzt
haben...?
Allerdings denke ich, dass der Sinn meiner Frage sich langsam er�brigt,
nachdem ich ohnehin nicht mehr wei�, um welchen Wurm es sich handelt.
Meine Ausgangsfrage ist jedenfalls schon durch den Heise-Portscan
beantwortet.
>> Ich erinnere mich dabei an diverse W�rmer, die sich automatisch verbreitet
>> haben, sodass ein ungepatchtes XP ohne Firewall in wenigen Sekunden
>> infiziert war.
>
> Die Firewall l�uft aber doch auch auf dem "Router", nicht?
Selbstverst�ndlich l�uft die Firewall auf dem "Router".
Nur das von mir angesprochene, ungepatchte System war ohne Firewall und
ohne Router direkt mit dem Internet verbunden.
Ottmar Freudenberger
> Darf ich daraus schlie�en, dass der Blues Port Scanner nicht fehlerfrei
> arbeitet?
Du darfst daraus schlie�en, dass es nicht unbedingt sinnvoll ist, einen
Portscanner *auf* dem System auszuf�hren, wenn es um die Sichtbarkeit
*von au�en* geht, ja.
>> Darum geht es auch mir nicht. Wie definierst Du also "Angriff"?
>
> Mit "Angriff" meinte ich das selbe, wie mit "infiziert"...
>
>> Durch *was* *wie* "infiziert"?
>
> Z.B. durch einen Wurm, der sich wie der von mir angesprochene Wurm,
Dann lies einfach die vorherigen Antworten.
> Nur das von mir angesprochene, ungepatchte System war ohne Firewall und
> ohne Router direkt mit dem Internet verbunden.
Sehr witzig. Weshalb? Die Windows-Firewall existiert.
Dominik Schmidt
> "Dominik Schmidt" <dominik...@gmx.net> schrieb:
>
>> Darf ich daraus schlie�en, dass der Blues Port Scanner nicht fehlerfrei
>> arbeitet?
>
> Du darfst daraus schlie�en, dass es nicht unbedingt sinnvoll ist, einen
> Portscanner *auf* dem System auszuf�hren, wenn es um die Sichtbarkeit
> *von au�en* geht, ja.
Das habe ich nicht gemacht, das hast du falsch verstanden.
Ich habe den Portscanner, in dem Fall den Blues Port Scan, auf einem
Computer *au�erhalb* vom lokalen Netzwerk (anderer Internetanschluss)
gestartet. Er lief nicht auf dem Router. Von dort (=au�erhalb) aus habe ich
die �ffentliche IP des Anschlusses scannan lassen, an dem der Router h�ngt.
Und noch mal: Dabei hat der Blues Port Scan andere Ergebnisse gebracht, als
der Heise Scan. Mit dieser Information m�chte ich noch mal auf meine Frage
(oben zitiert) verweisen.
>> Nur das von mir angesprochene, ungepatchte System war ohne Firewall und
>> ohne Router direkt mit dem Internet verbunden.
>
> Sehr witzig. Weshalb? Die Windows-Firewall existiert.
Nein, nicht witzig und die Firewall existierte damals auch noch nicht. Das
war n�mlich die Zeit vor dem Service Pack 2 mit dem diese eingef�hrt wurde.
Und um das vorweg zu nehmen: Es ist mir klar, dass es grob fahrl�ssig ist,
ein System derart ungesch�tzt ans Internet anzuschlie�en, da eine
Firewallsoftware h�tte gekauft werden k�nnen, aber das hat nun wirklich
nichts mehr mit dem Thema zu tun.
Ottmar Freudenberger
> On Mon, 1 Jun 2009 09:23:27 +0200, Ottmar Freudenberger wrote:
>> "Dominik Schmidt" <dominik...@gmx.net> schrieb:
>>
>>> Darf ich daraus schlie�en, dass der Blues Port Scanner nicht fehlerfrei
>>> arbeitet?
>>
>> Du darfst daraus schlie�en, dass es nicht unbedingt sinnvoll ist, einen
>> Portscanner *auf* dem System auszuf�hren, wenn es um die Sichtbarkeit
>> *von au�en* geht, ja.
>
> Das habe ich nicht gemacht, das hast du falsch verstanden.
Na denn.
> Dabei hat der Blues Port Scan andere Ergebnisse gebracht, als
> der Heise Scan. Mit dieser Information m�chte ich noch mal auf meine Frage
> (oben zitiert) verweisen.
Da darfst. Und Du darfst mir gauben, dass ich dem Scan vom lfd.niedersachsen
mehr vertrauen schenke als diesem -mit verlaub- seltsamen Ding von bluebitter.
>>> Nur das von mir angesprochene, ungepatchte System war ohne Firewall und
>>> ohne Router direkt mit dem Internet verbunden.
>>
>> Sehr witzig. Weshalb? Die Windows-Firewall existiert.
>
> Nein, nicht witzig und die Firewall existierte damals auch noch nicht. Das
> war n�mlich die Zeit vor dem Service Pack 2 mit dem diese eingef�hrt wurde.
Ein weit verbreiteter Irrtum. Unter Windows XP RTM und auch im SP1 hie�
das Dingen nicht "Windows-Firewall", sondern "Internetverbindungsfirewall"
und war standardm��ig nur dann aktiviert, wenn die jeweilige Verbindung
mit dem XP eigenen Verbindungsassistenten eingerichtet wurde.
Michael
...
> Nein, nicht witzig und die Firewall existierte damals auch noch nicht. Das
> Und um das vorweg zu nehmen: Es ist mir klar, dass es grob fahrlässig ist,
> ein System derart ungeschützt ans Internet anzuschließen, da eine
> Firewallsoftware hätte gekauft werden können, aber das hat nun wirklich
> nichts mehr mit dem Thema zu tun.