Aloha!

Wollte nur mal nachfragen ob man über Win2k selbst die Programme beeinflussen kann, die auf verscheidenen Ports lauschen.
Ich habe nur mal zum Spaß alle Dienste installiert, die standardmäßig noch nicht dabei waren, Resultat:
22 offene Ports.
Und vor allem ganz schön viel Schwachsinn wie echo, discard(was ist das?), Datetime, quote of the day, Character generator, was sollen diese Dinger?

echo - dieser Demon schickt alles, was er empfängt, wieder zurück. Dient AFAIK reinen Testzwecken, genau wie PING auch.

quote of the day - reiner Spielkram. Schickt dir auf eine Verbindungsanfrage hin das Zitat des Tages. Bekannt vor allem aus der Linux-Welt (fortune cookie).

Datetime - wird wohl Datum und Zeit des Systems ausliefern. Wer keine eigene Uhr hat...

Character generator klingt ganz so, wie "Zeichengenerator". Vermutung: Liefert Zufallszeichen.

Keines der Programme ist so richtig sinnvoll. Alle bieten potentielle Angriffsflächen, weil sie oder beteiligte Teile des Betriebssystems schlampig und fehlerhaft programmiert sein könnten. Bei so simplen Programmen wie echo dürfte man das zwar eher ausschließen, aber die Grundregel gilt: Ein offener Port ist ein schlechter Port.

Dann noch 2 für Spiele, die ganzen bekannten standard-dienste wie http, https, ftp, smtp, pop3... und einige Dienste die ich nicht kenne(BBN IAD, Zephyr serv-hm connection, DCE Endpoint resolution).

Ich hab auch keine Ahnung, was es alles gibt. Es gibt 65536 mögliche Ports, für die ersten 1024 sind "well known services" festgelegt (Port 80 - http, ...), es sind aber AFAIK nichtmal dort alle belegt. Außerdem sind die Ports ab 1024 sehr dicht belegt. Häufig sind auch zwei oder mehr verschiedene Applikationen auf einen Standard-Port konfiguriert. Der verwendete Port an sich sagt bei den exotischeren Diensten absolut _nichts_ über die tatsächliche Verwendung aus. Man kann echo genausogut auf Port 80 packen (dann kriegt jeder Browser seine Requests postwendend zurückgeschickt - ob das sinnvoll ist und etwas angezeigt wird, weiß ich nicht). Man kann HTTP über jeden anderen Port als Nr. 80 laufen lassen (nur müsste man dies dann den Besuchern vorher mitgeteilt haben, damit sie eine Portnummer an den Domainnamen anhängen: http://www.domain.tld:12345/pfad/zur/seite.html. Was ich sagen will: Die Bezeichnung der Portaktivität kann falsch sein. Es gibt Dateien (unter Linux /etc/services, unter Windows sollte sie identisch heißen und irgendwo im Windows-Verzeichnis liegen), die für eine Portnummer eine Textbezeichnung definieren: 80 = http, 21 = ftp, aber bei den meisten hohen Ports (über 1024) ist einfach der als erstes oder am häufigsten verwendete Einsatzzweck genommen worden, spätere oder seltenere Programme auf dem gleichen Port sind nicht berücksichtigt.

Insofern ist es in der Regel sinnvoller, sich die Portnummern selbst ausgeben zu lassen (unter Linux Kommandozeilenoption '-n'), und nicht deren Text. Sonst kann es bei der Listung der aktiven Verbindungen schon mal vorkommen, dass sich 'http-proxy' mit 'http' verbindet, obwohl auf dem Rechner absolut kein Proxy läuft. Was ist passiert? Der Browser hat Port 8080 verwendet, um den Webserver auf Port 80 zu kontakten. Sekunden später ist die Verbindung auch schon wieder erledigt, der Browser sucht sich für neue Verbindungen andere freie Ports (und arbeitet sich auf diese Weise so langsam von 1024 an hoch durch die Portnummern).

Ich gehe recht in der Annahme das sich diese Ports nur durch Deaktivierung des entsprechenden Programms schließen lassen, oder?

Das ist die beste Möglichkeit - außer du benötigst einen dieser Dienste unbedingt (was ich absolut nicht glaube). Ist dies der Fall, dann hilft nur eine Firewall. Eine Personal Firewall ist dabei nicht so sicher, wie eine externe, denn alles, was auf deinem Rechner läuft, kann durch dich oder deine Software (die unerkannte böse Funktionen enthält) außer Kraft gesetzt werden.

- Sven Rautenberg