PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gelöst Avast und die Ports



Cluster09
24.02.11, 23:22
Hallo an die Wissenden....

heute möchte ich mich zu einem anderen Thema melden:

Seit ich Avast nutze (ab Version 5.x), viel mir schon seit längerem auf, das das Prog nach aussen hin Ports offen hält.

Da es mir anfangs nie auffiel, da auf dem Lokalen Host scheinbar alles dicht zu sein scheint, scannte ich einmal mit einem Portscanner meine externe IP-Addresse.
Avast hält Ports im 12000er-Bereich offen, deren letzten drei Ziffern den "eigentl. Original-Port" darstellen sollen.

Als Beispiel:

Port 12080 entspricht in Wahrheit Http-Port 80.
Port 12110 entspricht Pop-3 Port 110.
Port 12143 entpspricht Mail Port 143 für das IMAP-Protokoll.
usw.

Da mir natürlich einleuchtet, das der Virenscanner - um es einfach zu sagen - "auf allen Hochzeiten tanzen" muss, um auch alles mitzubekommen, ist mir klar.
Nur, warum sind die Ports so eindeutig als offen ersichtlich, bzw. besteht u.U. die Gefahr eines Angriffs aus diesem Grund?

Selbst ein Bekannter von mir, konnte von aussen 8(!) offene Ports diesbzgl. feststellen !

Darüberhinaus - am Rande - macht mir Port 23 (TelNet) am meisten Kopfzerbrechen, da ich ihn weder von der Avast-Software als offen lokalisieren kann, noch von sonst einem Prog bei mir.

Sollte einer der Experten mir mehr Auskünfte darüber geben können, ob es möglich ist alle Ports wieder zu schliessen, wäre ich sehr dankbar.

PS: Alle Netzwerkdienste wurden von mir explizit deaktiviert. Der TelNet Dienst ist ebenfalls inaktiv.
Als Anhang hier alle notwendigen (hoffe ich) Dokumentationen über mein bestehendes Problem.
Das Thema ist deshalb in der Avast 6 Rubrik, da ich seit vorgestern auf Avast 6.0.1000 mit Erfolg upgedatet habe.

Vielen Dank für eine aufschlussreiche Antwort.

Gruß, Cluster09

Merlin
24.02.11, 23:40
Hallo,

die Erklärung dafür ist recht einfach. Das Web- sowie das Mailschutz-Modul von avast! realisieren den Echtzeit-Schutz für web- und mailbasierte Kommunikation über eine Art Proxy-Funktionalität, d.h. wenn du eine Anfrage über deinen Web- oder Mailclient nach aussen stellst, wird diese erst von avast! verarbeitet und wird dann weiter an das eigentliche Ziel gesendet. Natürlich wird dann vom Ziel auch eine Antwort zurück gesendet und diese Antwort muss dann natürlich auch gescannt werden. Die Antwort erfolgt dann über eben diese Ports, wird dann wieder von avast! gescannt und an deinen Browser weitergeleitet. Daher sitzt avast! auch fest auf diesen Ports und hält sie auch dafür offen. Es besteht also kein Grund zur Sorge und gehört mit zum Konzept.
Warum auch der Telnet Port offen ist, kann ich dir nicht beantworten. Du könntest aber hier z.B. mit NirSoft Utilities schauen, welche Anwendung diesen Port offen hält: http://www.nirsoft.net/utils/cports.html

Cluster09
25.02.11, 00:00
Hallo Adama....

vielen Dank für Deine prompte Antwort..:-)

Deine Erklärung leuchtet mir ein, dass alles ein-und ausgehende, von Avast! gescannt wird.

Aber du bist der Meinung das es tatsächlich kein mögl. Risiko darstellt, wenn alle diese Ports als offen erkennbar sind?
Gäbe es denn nicht u.U. die Möglichkeit einen sog. `DoS-Angriff` zu fahren, wenn man die Avast-Schnittstelle umgeht?

Ich meine, wo eine gewisse `Angriffsfläche` herrscht, gäbe es doch sicher auch einen Weg für böse Menschen, den für sich zu nutzen, oder?

Danke übrig. für deinen Link zu einer Seite von `CurrPorts`.
Das Tool ist mir wohlbekannt; selber benutze ich aber als ständigen Begleiter `TcpView` und `Nmap`, was mind. genauso gute Dienste leistet.

Der Port 23 scheint übrig. etwas ominös zu sein.

Habe gelesen dass u.U. die Möglichkeit besteht, das er seitens des Providers zur `Fernkonfiguration` eines Modems bzw. Routers verwendet werden kann.
Ich weiss das dieses Thema jetzt speziell nichts mit Avast! zu tun hat, aber da ich ihn auf dem Lokalen Host nirgends ausmachen kann, würde es mich schon interessieren, wie es dazu kommen kann, das er offen ist, und ich ihn noch mit nichts schliessen konnte.

Vielen Dank trotzdem weiterhin.
Alles Gute...
Cluster09

Auggie
25.02.11, 07:19
Aber du bist der Meinung das es tatsächlich kein mögl. Risiko darstellt, wenn alle diese Ports als offen erkennbar sind?
Gäbe es denn nicht u.U. die Möglichkeit einen sog. `DoS-Angriff` zu fahren, wenn man die Avast-Schnittstelle umgeht?
Ich meine, wo eine gewisse `Angriffsfläche` herrscht, gäbe es doch sicher auch einen Weg für böse Menschen, den für sich zu nutzen, oder?

Eine Angriffsmöglichkeit ist grundsätzlich immer gegeben, nicht nur, wenn ein Port offen ist, genauso wie ein DoS oder DDoS Angriff.
Genau wegen dieser möglichen Gefahr (Buffer Overflow und Remote-Code Injection) ist es erste Bürgerpflicht, das OS aktuell zu halten.
Ein 100% abgedichtetes System gibt es nicht!
Die Dienste für Remote-Desktop und Terminaldienst sind standardmäßig aktiviert, zumindest für den Remote-Desktop gilt auch, das davon noch andere Dienste abhängig sind und eine Deaktivierung unter Umständen Windows nicht mehr ordnungsgemäß funktioniert.
Auf einigen Tuning-Seiten wird sogar empfohlen, die UAC zu deaktivieren......
Ich glaube, die Wahrscheinlichkeit, das ein Kamel durchs Nadelör geht ist größer als die Wahrscheinlichkeit, das ein Angreifer mittels DDoS versucht, ein System zu infizieren......der Aufwand und der mögliche Nutzen sind viel zu hoch.
Wer hinter allem eine böse Absicht und einen Scharlatan vermutet, kann das leicht umgehen, in dem er das Inet nicht mehr nutzt.
Dein Beispiel übrigens stimmt nicht ganz:
Port 12080 ist nicht gleich Port 80; es gibt eine Reihe sogen. well known Ports, die standardmäßig für bestimmte Protokolle genutzt werden. Natürlich kann man davon abweichen, dann ist das System/der Server eben nicht standardkonform konfiguriert, mehr aber auch nicht.
Welches Protokoll welchen Port nutzt, ist Sache des Admins.....Abweichungen vom Standard sind zwar möglich, führen aber möglicherweise dazu, das die entsprechenden Clients erst mal nicht funktionieren, weil sie eine standardkonforme Konfiguration voraussetzen.

Aber diese Diskussion ist wirklich eine andere und sollte in der entsprechenden Usergruppe diskutiert werden.

Merlin
25.02.11, 08:03
Hallo,

als Ergänzung zu den offenen Ports bei avast! diese sind vom Programm her so gesichert, dass auf diesen keine entsprechenden Angriffe durchgeführt werden können, d.h. sie sind sicher und gehören wie schon gesagt zum Grundkonzept des Web- bzw. Mail-Schutz. Wenn du auf deinem Rechner selbst keine Programm finden kannst, welches den Port 23 offen hält, ist die Ursache wahrscheinlich auf dem Router davor zu suchen. Überprüfe hier mal die Konfiguration. Viele Router haben den Port 23 für die Konfiguration geöffnet, d.h. betreiben einen kleinen Telnet Server. Das haben auch alle größeren Switches. Solltest du einen konfigurierbaren Router mit kleiner Firewall für externe Verbindungen haben, sollte aber auch die Möglichkeit bestehen, den Port generell zu blocken.

Cluster09
25.02.11, 11:59
Hallo Auggie,
hallo Adama,

also solltet ihr beide der Meinung sein das offene Ports in "diesem" Falle kein Problem darstellen, möchte ich das gerne glauben.....

Andererseits, zugegebener Weise muss man doch sagen, widerspricht es etwas der sonst üblichen Doktrin im Computerwesen, das es stets wichtig wäre alle Ports geschlossen zu halten....(!)

Rein technisch gesehen, sollte dies mögl. sein, wäre es interessant, WIE Avast! die offenen Schnittstellen gegen mögliches `DoS` abdichtet...(?)
Denke das würde viele Avast! Benutzer interessieren...

Kurz noch auf das Thema bzgl. Telnet Port23 kann ich sagen, ich benutze leider keinen Router, sondern das Original Kabel-Modem von Alice, Typ 1111.
Habe schon mehrfach versucht das Modem Hardware-seitig zu reseten, leider ohne Erfolg.

Der Port schliesst nur kurzzeitig und ist im Anschluss wieder offen....

Sollte dies Praxis seitens von Alice sein, werde ich da mal gesondert `nachhaken` (So gehts ja nicht)

Ansonsten vielen Dank für eure Antworten....

Gruß,
C09

Merlin
25.02.11, 12:26
Rein technisch gesehen, sollte dies mögl. sein, wäre es interessant, WIE Avast! die offenen Schnittstellen gegen mögliches `DoS` abdichtet...(?)

In dem es nur Verbindungen zu IPs annimmt, die vorher auch geöffnet wurden und weiterhin auch mit Limits arbeitet, was z.B. die Anzahl und zeitlichen Abstände der Pakete bzw. Anfragen angeht. Der eigentliche Verbindungsaufbau geht ja immer von deinem Rechner aus, d.h. du bestimmst vorher damit die Zieladdresse. Von daher ist es recht simpel auf Attacken zu reagieren. Andererseits gibt es noch weitere internet Mechanismen, um diese Ports für unauthorisierte Zugriffe abzusichern. Diese wird dir aber AVAST Software nicht offen legen, irgendwo muss man seine Entwicklungen ja auch noch schützen. Da muss du dich halt mit der Aussage zufrieden geben, dass bei einer Sicherheitslösung wie avast! diese Technik auch sicher programmiert worden ist.


Der Port schliesst nur kurzzeitig und ist im Anschluss wieder offen....

Das ist dann eindeutig ein Fall für den Anbieter.

Merlin
03.03.11, 08:18
Hallo,

da keine weitere Rückfrage mehr zu dem Thema kam, schliesse ich es als "Gelöst".