0nan schrieb:
Benno-007 schrieb:
Zumindest Ubuntu (mit seiner keine-offene-Ports-Politik) ist im Wesentlichen optimal voreingestellt.
Port 80 ist aber doch offen.
Port 443 für gesicherte HTTPS-Verbindungen oder der Port 25 für den Nachrichtenversand per SMTP.
Alle 65535 Ports sind 'offen'... ausnahmslos. Du kannst das auf einfachste Weise mit netcat testen, der auf wirklich jeden Port mit "echo" eine Nachricht senden kann. Voraussetzung ist nur, dass auf dem Zielgerät ein Dienst genau auf diesem Port auf die Nachricht wartet. Lediglich ein Paketfilter im Kernel könnte das verhinden, der aber default nicht installiert ist - was imho aber auch unnötig ist. Nur ist "offen" hier an der Stelle generell ein falscher Terminus. Denn wirklich offen wird ein Port auf einem Rechner erst dadurch, wenn ein Dienst auf diesem Port auf eingehende Pakete lauscht. Und solange das nicht ist, ist ein Port auch nicht auf/offen.
"Port 80 ist auf" bedeutet in Deiner Sichtweise also nur, Port 80 erlaubt ebenso wie die 65534 anderen Ports ausgehende TCP-Pakete... insofern ist diese Feststellung "offen" bedeutungslos. Auf einer anderen Maschine muss aber genau auf diesem Port 80 ein Dienst auf ein solches Paket warten... und nur auf dieser anderen Maschine kann man wegen dieses Dienstes dann von einem offenen Port 80 sprechen.
Ausgehend sind also immer alle Ports offen (solange ein Paketfilter das nicht unterbindet), eingehend sind nur die Ports offen, auf dem ein Dienst lauscht. Und wenn lokale Prozesse den Port 80 für "unerlaubt nach hause telefonieren" missbrauchen, so hat das nichts mit "offen" zu tun, sondern weil es sich um lokale Prozesse handelt ist das zweckgebundenes oder bestimmungsgemäßes Verhalten. Wenn Du das nicht willst, solltest Du nicht solche Software installieren und Dich dann darüber beklagen, dass sie "nach hause telefoniert".
Was wirklich offen ist, zeigt netstat.