porta 445 e client DHCP

[Delmak_O]

vorrei un consiglio per migliorare la sicurezza del mio pc, dunque: ho come sistema operativo windows xp e tra le porte in 'listening' la (ultimamente) famigerata porta 445; non uso sistemi di 'file sharing' però so che l'utilizzo di questa porta è legata alla possibilità di usare il protocollo DHCP ed ottenere automaticamente un indirizzo IP. Se però digito 'ipconfig /all' dal prompt, sotto 'scheda PPP', risulta:
'DHCP abilitato' > 'no'
'netbios su tcp/ip' > disabilitato

tra i servizi in esecuzione ho in avvio automatico sia 'client DHCP' sia 'Helper netbios di TCP/IP'

a questo punto mi chiedo come faccia ad avere un IP dinamico...può essere che veramente DHCP non mi serva? posso così chiudere la porta 445?
ho sì un firewall, però vorrei sapere comunque se fosse possibile disabilitare il tutto...

[Habanero]

la 445 gestisce SMB(o CIFS se preferisci) direttamente su TCP/IP a differenza dalla 139 che vuole netbios come ulteriore interfaccia tra SMB e TCP/IP.
la 445 direi che non c'entra proprio nulla con il DHCP!

[Delmak_O]

www.grc.com/port_445.htm

[Habanero]

A quanto pare non è una vera questione di porte... DHCP usa le porte 67(client) e 68 (server) e non la 445... quanto piuttosto una questione di servizi dipendenti.
Spero di non dire un cavolata (al momento non ho tempo di verificare)... ma probabilmente nella negoziazione dell'indirizzo dinamico IP con il tuo ISP interviene direttamente il protocollo PPP e non penso entri in gioco il servizio client DHCP di windows. A meno che tu abbia un server DHCP interno o un router con la funzione DHCP abilitata per l'assegnazione degli indirizzi INTERNI alla rete (ma in questo caso l'assegnazione avviene all'accensione della macchina e non del collegamento internet!).

In ogni caso fai presto a verificare... disabilita il servizio client dhcp, riavvia la macchina e vedi se riesci a connetterti a Internet.

[Delmak_O]

è come dici tu, grazie Habanero...

[Habanero]

fammi sapere se hai deciso di chiudere (senza firewall) la 445 e se è tutto ok.

[billiejoex]

se possibile, a me interesserebbe sapere come chiudere la 135 e 445 TCP senza ausilio di firewall.

[Habanero]

la 135 è un po' un casino.. pisogna stoppare tutti i servizi che dipendono da RPC...
avevo trovato un paper molto interessante (ma non ho avuto tempo di sperimentare)... se lo ritrovo posto il link

[Delmak_O]

per la porta 445, l'ho chiusa facendo una modifica al registro e dopo aver disabilitato sia il servizio DHCP (il mio ISP infatti non vi ricorre per assegnarmi l'IP dinamico, per saperlo penso basti digitare ipconfig /all durante la connessione ad Internet), sia Helper NetBios di TCP/IP. Non uso inoltre sistemi di file-sharing, cosa che mi sconsiglierebbe di procedere. Per disabilitare entrambi i servizi sono entrato da start/esegui/services.msc . Per la modifica al registro: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\NetBT\Parameters
nel riquadro di dx ho cercato il nome del valore 'TransportBindName', doppio clic si apre la maschera con i dati valore, di default è riportato '\Device\', bisogna cancellare quanto riportato in modo che rimanga tutto vuoto (cancellare dunque \Device\), dare l'ok, riavviare
sito di riferimento:
http://www.uksecurityonline.com/husd...0/close445.htm

ho provato e la porta 445 effettivamente sparisce, non ho problemi anche se nel 'visualizzatore eventi' mi viene ad ogni avvio segnalato un errore di sistema (origine NetBT), 'inizializzazione non riuscita perché non è stato possibile creare la periferica corrispondente al driver specificato', la mia sensazione è che l'apertura della porta 445 sia posta di default da Microsoft anche a livello di configurazione del sistema...
la porta 135 è condivisa in Windows NT/2000/xp/2003 da tre servizi, DCOM, Schedule (Utilità di pianificazione) e MSDTC (Distributed Transaction Coordinator). Occorre disabilitare gli ultimi due, premettendo che per Schedule così non funzioneranno più le attività a tempo, tipo quelle dell'antivirus che pone una scansione del sistema o un aggiornamento on-line a scadenze prefissate (bisognerà intervenire manualmente). Per DCOM occorrerà utilizzare un programma della Gibson, DCOMBobultator (DCOMbob.exe), piuttosto leggero (29 KB), perché intervenire direttamente per disabilitare DCOM pare piuttosto complicato. Lo trovi qui, come tutto quello che ho detto sulla porta 135:
http://grc.com/dcom/
per Windows 95/98/ME basterà usare questo programmino, perché lo Schedule non usa la porta 135 e MSDTC non c'è. Personalmente non ho mai utilizzato questo programma, anche se lo tengo lì... pur avendo infatti disabilitato MSDTC volevo tenere l'Utilità di Pianificazione, unicamente per poter avvalermi in XP del 'prefetching'

non so quanto consigliare la chiusura di queste due porte, un buon firewall dovrebbe nasconderle entrambe, certo che può essere un modo per affacciarsi sulla rete inizialmente senza il temuto pericolo dei vari Worm che sfruttano la vulnerabilità dei servizi legati a queste due porte, si potrebbero scaricare in tranquillità le patch di Microsoft, a questo punto anche senza un firewall, senza il problema di un riavvio del sistema dopo 40 secondi dalla connessione...quindi si può decidere di 'riaprirle' in sicurezza...

[billiejoex]

bel lavoro, immaginavo che fossero cosi importanti. :\