Win Server 2003 offene Ports

[FlyestAngel]

Hallo,

ich habe einen Server mit Windows 2003 von United-Hoster, jetzt habe ich mal ein Portscan gemacht und gesehen das folgende Ports auf sind:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-10-16 11:10 CEST
Interesting ports on meinserver.com (85.xx.xxx.xx):
Not shown: 1673 closed ports
PORT STATE SERVICE
21/tcp open ftp
135/tcp open msrpc
139/tcp open netbios-ssn
1027/tcp open IIS
3389/tcp open ms-term-serv
8443/tcp open https-alt

Der Port 21 ist klar, da ich Filezilla FTP Installiert habe, aber hat jemand eine Ahnung wie ich die anderen Ports schliessen kann? IIS ist soweit ich weiß für einen Webserver, sowas habe ich aber alles nicht.

Grüße
FlyestAngel

 

[easy.2ci]

21/tcp open ftp
135/tcp open msrpc
139/tcp open netbios-ssn
1027/tcp open IIS
3389/tcp open ms-term-serv
8443/tcp open https-alt

21 FTP
1027 und 8443 ist dein Webserver (unverschlüsselt und unverschlüsselt)

3389 ist der Zugriff auf das System per RDP

135 und 139 sollte dringends geschlossen werden, weil netbios unsicher ist und von außen nicht benötigt wird. Am besten die Windows Firewall anschalten und der Datei Freigabe keine Ausnahmerechte geben. Dann ist der Port nicht mehr erreichbar.

 

[FlyestAngel]

Ich habe die Windows Firewall extra ausgemacht, weil mal ja oft liest das die oft Probleme macht und sowieso kaum etwas bringt, also meinst du ich sollte die Firewall lieber anschalten?

 

[easy.2ci]

Die Firewall macht Probleme, weil viele Leute sie einschalten, ohne zu wissen was sie da genau machen. Wenn dann irgendwas nicht mehr geht, heisst es die Firewall ist schuld und wird wieder deaktiviert.

Die Probleme liegen aber nicht an der Firewall, sondern letztendlich an der falschen Konfiguration.

Die Firewall bringt kaum was? Die Windows Firewall filtert eingehenden Verkehr. Aus meiner Sicht ist das auch völlig ausreichend. Ausgehender Verkehr wird nicht gefiltert, das ist richtig.

Leute die den Zusammenhang nicht verstehen schreiben dann schnell, die Firewall von Windows bringt nichts.


Ich an deiner Stelle würd folgendes tun:

Firewall aktivieren. Den Haken in der Mitte der ersten Seite "Keine Ausnahmen zulassen" NICHT setzen.

Dann hast du alle Ports dicht, mit Ausnahme derjenigen, die du auf der mittleren Seite des Dialoges ("Ausnahmen") einstellst.

Hier stellst du Ausnahmen für die von dir benötigten Dienste ein:

FTP
HTTP
RemoteDesktop falls du das benötigst
und ggf. weitere Services die du brauchst

Dann mach einen weiteren Portscan mit nmap und stell sicher, daß nur Ports offen sind, die du wirklich brauchst.

 

[Camillo]

Einige deiner offener Ports lassen sich sehr komfortabel mit dem Windows Worms Doors Cleaner (Ja ich weiß, komischer Name) schließen. Das Programm ist Server 2003 kompatibel, wie auf der Homepage zu ersehen ist.
Im ersten Link findest du ganz unten einen "Dienste optimieren" Workaround, der auch ganz hilfreich sein kann.

 

[FlyestAngel]

Komisch, wenn ich die Windows Firewall an mache, zeigt der mir noch mehr offene Ports... mhhhh

 

[easy.2ci]

Die Ports die trotz Firewall offen sind, kannst du auf der Seite "Ausnahmen" im Firewall Dialog auch schließen.

Um dein System zu härten, solltest du eh die Services abschalten, die du eh nicht brauchst. Offene Ports bedeuten ja auch immer, daß Software läuft, die auf diesen Ports nach Anfragen lauscht. Wenn du also alle Server Dienste beendest, die du nicht brauchst, dann ist deine Angriffsfläche nochmal kleiner.

Poste doch am besten mal Screenshots von deiner Firewall Konfiguration und dann dem Ergebnis von nmap.

Wahrscheinlich liegt hier einfach nur ein Missverständnis vor.

 

[FlyestAngel]

Ich habe gerade den IIS Dienst mal deaktiviert und siehe da, der Port 1027 ist schon mal verschwunden.

Das Tool Windows Worms Doors Cleaner was Camillo empfohlen hatte, habe ich auch mal runtergeladen, allerdings schließt der einfach den Port 139 nicht, obwohl ich es angeklickt habe.

Im Moment sind noch die Ports offen:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-10-19 06:12 CEST
Interesting ports on meinserver.com (85.xx.xxx.xx):
Not shown: 1675 closed ports
PORT STATE SERVICE
21/tcp open ftp
139/tcp open netbios-ssn
3389/tcp open ms-term-serv
6667/tcp filtered irc
8443/tcp open https-alt

Welche Dienste muss ich denn deaktivieren damit der Port 8443 und 139 geschlossen wird?
Den Port 3389 brauche ich ja, weil ich über den Remotedesktop connecte.

edit: Der Port 8443 scheint für Plesk zu sein, wenn ich http://ip:8443 eingebe, komme ich auf so nem Plesk Interface, das brauche ich nicht, habe ja kein Plesk. Das einzige was ich habe ist Virtuzzo worüber ich den Server steuern kann, das ist der Port http://ip:4643, aber den port zeigt nmap ja net an.

 

[FlyestAngel]

Hat niemand ne Ahnung welche Dienste ich deaktivieren muss damit die Ports zu sind?

 

[easy.2ci]

Plesk wird vermutlich auch nur ein Dienst sein, den du über die Dienste MMC beenden kannst.

Aber nochmal: Wenn du Ports unerreichbar machen möchtest, dann kannst du diese auch über die Windows Firewall blocken. Dann ist es irrelevant, ob der Plesk noch läuft oder nicht, er ist dann nicht mehr erreichbar.

Das nmap den Port 4643 nicht anzeigt liegt daran, daß nmap mit den default Parametern nicht alle 65000 Ports scannt, sondern nur die häufig verwendeten. Aus Performance Gründen.

Mit entsprechendem Parameter kannst du nmap auch anweisen, alle Ports zu scannen, was natürlich dann auch ein wenig dauert.

 

[FlyestAngel]

Ich habe die Windows Firewall jetzt mal aktiviert und nur bei FTP und Remotedesktop ein Haken gemacht, jetzt musste ich allerdings bei meinem FTP Programm Passive Mode ausschalten, ansonsten hat der mir die Verzeichnisse nicht aufgelistet.

Wenn ich jetzt ein ein Port Scan mache, sieht das so aus:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-10-20 13:11 CEST
Interesting ports on meinserver.com (85.xx.xxx.xx):
Not shown: 1677 filtered ports
PORT STATE SERVICE
21/tcp open ftp
3389/tcp open ms-term-serv
8443/tcp open https-alt

Der Port 8443 ist wohl nicht klein zu kriegen, werde wohl mal den Support fragen.

Danke für deine Hilfe easy.2ci

 

[easy.2ci]

8443 gehört wohl auch zu Plesk. Ist wohl der SSL Port der Software. Wenn du Plesk nicht brauchst, dann kannst du ja auch einfach die Software deinstallieren. Um 100%ig sicher zu sein, zu welcher Software der Port gehört, kannste mit

netstat -bv

nachsehen.



Aber mal eine andere Frage zu einem älteren Beitrag von dir:

Hallo,

ich habe vor zwei Tagen das Windows XP Update mit dem Internet Explorer 7 gemacht mit allen Updates, seit dem hängt mein PC ab und an mal für eine Sekunde, kennt das Problem jemand?
Den Hänger merkt man eigentlich kaum, aber wenn man mal etwas zügiger arbeiten will, dann merkt man den doch kurz.

Grüße
FlyestAngel

Das hab ich neuerdings auch. Hab hier XP+SP3 und surfe eigentlich nur mit Firefox. Als ich dann am Wochenende per Windows Update doch mal den IE7 gezogen hab, fiel mir das auch sofort auf. Tritt sporadisch auf, ich klicke auf Start und er legt ne kurze Pause ein, bevor das Menü kommt. Manchmal scheint Windows auch Mausklicks zu übersehen. Das ist total nervig.

Frage: Konntest du das Problem lösen?

 

[FlyestAngel]

Ne, das Problem konnte ich leider auch nicht lösen, bin mittlerweile auf Vista umgestiegen.