Non riesco a capire come chiudere queste porte in listening che si presentano anche se non uso reti o sono in internet :
Proto Indirizzo locale Indirizzo remoto Stato
TCP 0.0.0.0: 135 0.0.0.0:0 LISTENING
TCP 0.0.0.0: 445 0.0.0.0:0 LISTENING
TCP 0.0.0.0: 10260.0.0.0:0 LISTENING
UDP 0.0.0.0: 135 *:*
UDP 0.0.0.0: 445 *:*
UDP 0.0.0.0: 1025 *:*
e non riesco a trovare i servzi che probabilmente me le attivano...
qualcuno sa come fare per chiuderle ?????
Da http://www.networkingitalia.it/SECUR/w2000.htm
Chiudete le porte che non sono necessarie
Questa è una scelta da fare essendo a conoscenza dei propri bisogni e dei rischi nei quali si può incorrere. Le workstation non sono normalmente a rischio se protette da un firewall, ma non sono mai sicure al 100%. Gli hacker si servono abitualmente di port scanner. Potete facilmente rendervi conto delle porte aperte nel vostro sistema aprendo il file che si trova in %systemroot%\drivers\etc\services. Potete configurare le vostre porte attraverso il TCP/IP (pannello di controllo > Network e Dial Up Connections > Local Area Connection > Internet Protocol (TCP/IP) > Properties > Advanced > Options > TCP/IP Filtering). Per permettere unicamente connessioni TCP e ICMP, configurate mettendo l’opzione “permit only” sui protocolli UDP e IP e lasciando i campi in bianco. Una lista di porte di default per Windows 2000 Domain Controllers può essere trovata qui http://support.microsoft.com/support.../Q289/2/41.ASP
Abilitate Auditing
La forma basilare di Intrusion Detection per Windows 2000 è l’abilitazione di Auditing. Questo vi metterà nella posizione di venire a conoscenza delle modifiche nelle policies di account, dei tentativi di hacking delle password, di accessi non autorizzati ai documenti, eccetera. Un gran numero di utenti non è nemmeno a conoscenza del tipo di porte che sono state lasciate aperte sulle postazioni di lavoro locali, e spesso se ne viene a conoscenza unicamente dopo che si sono avuti seri problemi di sicurezza. Le cose minimali da controllare sono le seguenti:
Account logon events
Success, failure
Account management
Success, failure
Logon events
Success, failure
Object access
Success
Policy change
Success, failure
Privilege use
Success, failure
System events
Success, failure
grazie della risposta ..... sto' cercando da quello che mi hai messo in chiaro di capire come configurare le politiche di gestione del traffico su ip e udp e di capire i filtri ip come gestirli.il post da me scritto non e' un modo di bloccare l'eventuale hacker ,poche' non saprebbe cosa farsene delle mie info locali, quanto invece un buon pretesto per capire e imparare come gestire un sistema operativo che uso da poco.Devo dire cqm che di default avevo altre 5 porte aperte inutilmente poiche' erano attivati servizi che io non usavo e grazie ad un intervento sul forum ho impostato taluni servizi come manuali e in parte ho risolto il probblema, ora mi rimane di capire la configurazione del tcp/ip .....Grazie dell'interessamento e delle info....
ciao Mario
Per il momento non riesco a chiudere queste porte nonostante l'ottimizzazione dei servizi e l'applicazione dei criteri di potezione ip impostati come CLIENT (solo risposta).
Le porte in listening si presentano coi' senza rete e connessione ad internet :
se hai qualche altro consiglio o info. te ne sono grato
by Mario
UN buon sistema per rilevare eventuali porte aperte è quello di utilizzare un port scanner digitando l'indirizzo IP del proprio PC ed avviando una scansione del medesimo.
Un buon port scanner si chiama Retina lo trovi al indirizzo www.eeye.com io l'ho provato e vamolto bene.
Lçuca
Moderatore dei forums sulla sicurezza:
http://www.freeforumzone.com/viewforum.asp?f=3252
www.cryptocom.it
si la soluzione del portscan e' indubbia ma..... non ho capito perche' me la hai consigliata se l'evidenza del netstat mette gia' in risalto il fatto che queste porte siano gia' in listening (ascolto o attesa di un evento o di un dato) .Dovrei pensare che mente il net stat ?
O forse ho capito male ? illuminami
grazie del consiglio cqm.......
ciao Mario
allora innanzitutto guarda sul file service (mi sembra../winnt/system32/drivers/etc) a che servizi corrispondono, e da li capirai come e se chiuderle
Altrimenti filtrale via rete ( ma fai attenzione che le filtri su tutte le macchine che hai nella lan).
non ho una rete ...........
poi la cosa curiosa e' che ne file serice
epmap 135/tcp loc-srv #Risoluzione endpoint DCE
microsoft-ds 445/tcp
microsoft-ds 445/udp
....la 1025 in services NON e' segnalata....
la 135 sara' associata al server locale che carica per il supporto RPC e condivisiaone file, che ho provato a disabilitare ma nel registro applicazione degli eventi ,al riavvio, mi da' una serie di errori e l'ho reimpostato come automatico.
Non ho capito la 445 sia in tcp che in udp che servizio e' , e la 1025 che addirittura non e' segnalata nel file services....
che ne dite ??? mistero della scienza e della tecnica ??
o gatta ci cova ??
Se il tuo intento è quello di proteggere il computer, un buon firewall è senza dubbio la soluzione migliore.
Se invece vuoi solo ampliare la tua conoscenza del OS, in effetti si possono chiudere alcune porte manualmente
La porta 445 corrisponde al servizio NetBIOS Datagram, e come per la 139 può essere usata da un hacker per guadagnare informazioni sul sistema obbiettivo. Penso che possa essere disabilitata insieme al servizio Netbios.
Per quanto riguarda la 1025, potrebbe dipende da molti programmi: dopo le "well known ports", che arrivano fino alla 1024, è la prima porta dinamica ad essere assegnata.
E' spesso usata da ICQ, ma su Win2000 dovrebbe essere utilizzata dal Task manager. Per bloccarla è necessario un firewall.
La porta 135 è associata appunto al server RPC, e non va mai disabilitata: pena il non funzionamento delle connessioni a internet e di un migliaio di funzioni di Windows
Permessi di invio
Rispondi quotando