nicht angemeldet
Firewall-Log Auswertung
0 Ach ja, Nachtrag:
0 0
Firewall-Log Auswertung
Hi alle,
ich hab mir mal das Log meiner (Hardware)Firewall zu Gemüte geführt und bin nun doch etwas überrascht über die Dichte der vergeblichen Zugriffsversuche:
----------------------------------------------------------------
Montag, 21. Juni 2004 00:10:58 Unrecognized attempt blocked from 24.86.74.84:3322 to TCP port 445
Montag, 21. Juni 2004 00:11:04 Unrecognized attempt blocked from 24.86.74.84:3322 to TCP port 445
Montag, 21. Juni 2004 00:11:19 Unrecognized attempt blocked from 62.46.124.66:1030 to UDP port 137
Montag, 21. Juni 2004 00:12:48 Unrecognized attempt blocked from 62.43.33.110:2525 to TCP port 135
Montag, 21. Juni 2004 00:12:51 Unrecognized attempt blocked from 62.43.33.110:2525 to TCP port 135
Montag, 21. Juni 2004 00:15:08 Unrecognized attempt blocked from 148.244.94.194:44060 to UDP port 137
Montag, 21. Juni 2004 00:18:16 Unrecognized attempt blocked from 4.65.49.131:2237 to TCP port 445
Montag, 21. Juni 2004 00:19:32 Unrecognized attempt blocked from 142.217.74.149:4378 to TCP port 445
Montag, 21. Juni 2004 00:19:35 Unrecognized attempt blocked from 142.217.74.149:4378 to TCP port 445
Montag, 21. Juni 2004 00:21:25 Unrecognized attempt blocked from 67.71.65.167:1808 to TCP port 5554
Montag, 21. Juni 2004 00:21:25 Unrecognized attempt blocked from 67.71.65.167:2131 to TCP port 9898
Montag, 21. Juni 2004 00:22:53 Unrecognized attempt blocked from 218.78.209.68:24291 to UDP port 1026
Montag, 21. Juni 2004 00:24:20 Unrecognized attempt blocked from 63.238.14.26:1167 to TCP port 445
Montag, 21. Juni 2004 00:24:39 Unrecognized attempt blocked from 62.45.148.156:3319 to TCP port 135
Montag, 21. Juni 2004 00:24:42 Unrecognized attempt blocked from 62.45.148.156:3319 to TCP port 135
Montag, 21. Juni 2004 00:24:57 Unrecognized attempt blocked from 213.213.28.188:3666 to TCP port 445
Montag, 21. Juni 2004 00:25:00 Unrecognized attempt blocked from 213.213.28.188:3666 to TCP port 445
Montag, 21. Juni 2004 00:25:06 Unrecognized attempt blocked from 213.213.28.188:3666 to TCP port 445
Montag, 21. Juni 2004 00:26:24 Unrecognized attempt blocked from 202.160.26.211:3323 to TCP port 17300
Montag, 21. Juni 2004 00:26:26 Unrecognized attempt blocked from 80.118.234.48:4537 to TCP port 445
Montag, 21. Juni 2004 00:26:33 Unrecognized attempt blocked from 80.118.234.48:4537 to TCP port 445
Montag, 21. Juni 2004 00:28:37 Unrecognized attempt blocked from 62.45.200.188:3113 to TCP port 445
Montag, 21. Juni 2004 00:28:40 Unrecognized attempt blocked from 62.45.200.188:3113 to TCP port 445
Montag, 21. Juni 2004 00:29:50 Unrecognized attempt blocked from 62.46.79.117:1025 to TCP port 1676
Montag, 21. Juni 2004 00:30:55 Unrecognized attempt blocked from 62.46.64.100:3751 to TCP port 135
Montag, 21. Juni 2004 00:31:00 Unrecognized attempt blocked from 62.46.64.100:3751 to TCP port 135
Montag, 21. Juni 2004 00:32:54 Unrecognized attempt blocked from 62.43.65.151:4450 to TCP port 135
Montag, 21. Juni 2004 00:36:01 Unrecognized attempt blocked from 24.122.52.10:1414 to TCP port 5554
Montag, 21. Juni 2004 00:36:02 Unrecognized attempt blocked from 24.122.52.10:1668 to TCP port 9898
Montag, 21. Juni 2004 00:38:14 Unrecognized attempt blocked from 209.181.45.230:2608 to TCP port 135
Montag, 21. Juni 2004 00:43:03 Unrecognized attempt blocked from 217.6.60.105:3379 to UDP port 135
Montag, 21. Juni 2004 00:43:04 Unrecognized attempt blocked from 217.6.60.105:3379 to UDP port 135
Montag, 21. Juni 2004 00:43:05 Unrecognized attempt blocked from 217.6.60.105:3379 to UDP port 135
Montag, 21. Juni 2004 00:43:07 Unrecognized attempt blocked from 217.6.60.105:3379 to UDP port 135
Montag, 21. Juni 2004 00:43:11 Unrecognized attempt blocked from 217.6.60.105:3379 to UDP port 135
Montag, 21. Juni 2004 00:43:19 Unrecognized attempt blocked from 217.6.60.105:3379 to UDP port 135
Montag, 21. Juni 2004 00:43:35 Unrecognized attempt blocked from 217.6.60.105:3379 to UDP port 135
Montag, 21. Juni 2004 00:44:06 Unrecognized attempt blocked from 62.43.203.19:4967 to TCP port 135
Montag, 21. Juni 2004 00:44:30 Unrecognized attempt blocked from 62.46.180.200:4097 to TCP port 445
Montag, 21. Juni 2004 00:44:33 Unrecognized attempt blocked from 62.46.180.200:4097 to TCP port 445
Montag, 21. Juni 2004 00:44:38 Unrecognized attempt blocked from 62.46.180.200:4097 to TCP port 445
Montag, 21. Juni 2004 00:44:48 Unrecognized attempt blocked from 62.46.50.169:4193 to TCP port 135
Montag, 21. Juni 2004 00:45:05 Unrecognized attempt blocked from 67.51.176.9:3117 to TCP port 445
Montag, 21. Juni 2004 00:45:52 Unrecognized attempt blocked from 217.6.60.78:3419 to UDP port 135
Montag, 21. Juni 2004 00:45:53 Unrecognized attempt blocked from 217.6.60.78:3419 to UDP port 135
Montag, 21. Juni 2004 00:45:54 Unrecognized attempt blocked from 217.6.60.78:3419 to UDP port 135
Montag, 21. Juni 2004 00:45:56 Unrecognized attempt blocked from 217.6.60.78:3419 to UDP port 135
Montag, 21. Juni 2004 00:46:00 Unrecognized attempt blocked from 217.6.60.78:3419 to UDP port 135
Montag, 21. Juni 2004 00:46:07 Unrecognized attempt blocked from 4.42.53.233:3336 to TCP port 445
Montag, 21. Juni 2004 00:46:08 Unrecognized attempt blocked from 217.6.60.78:3419 to UDP port 135
Montag, 21. Juni 2004 00:46:10 Unrecognized attempt blocked from 4.42.53.233:3336 to TCP port 445
Montag, 21. Juni 2004 00:46:16 Unrecognized attempt blocked from 4.42.53.233:3336 to TCP port 445
Montag, 21. Juni 2004 00:46:24 Unrecognized attempt blocked from 217.6.60.78:3419 to UDP port 135
----------------------------------------------------------------
Da gabs doch mal so eine Adresse, wo man nachlesen konnte, was die jeweilige Portnummer bedeutet, auf einige Ports wird ja besonders gehäuft zugegriffen, oftmals auch von ein und derselben IP. :-/
Wenn man bedenkt, dass das nur das Log der letzten 30 Minuten ist, schaudert mir schon, was sich da so alles tut.
Sieht mir fast so aus, als ob da jemand gezielt auf meinen Rechner losginge, oder wie oder was?
Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Eifer ist Begeisterung, gemildert durch Vernunft." (Blaise Pascal; fr. Mathematiker, Physiker u. Philiosoph; 1623-1662)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Eifer ist Begeisterung, gemildert durch Vernunft." (Blaise Pascal; fr. Mathematiker, Physiker u. Philiosoph; 1623-1662)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at
-
Hi alle,
Die IP-Adressen stammen mit Sicherheit aus dem Internet, meine eigenen lokalen sind mir durchaus bekannt und tauchen im Log nicht auf... ;-)
Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Keine Kunst ist es, alt zu werden, es ist eine Kunst, es zu ertragen." (Johann Wolfgang von Goethe; dt. Dichter, Jurist u. Staatsminister; 1749-1832)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at -
Moin,
Da gabs doch mal so eine Adresse, wo man nachlesen konnte, was die jeweilige Portnummer bedeutet
Hmm, in der /etc/services. Wenn du selbst keine haben solltest, kannst du Google nach einer fragen.
Wenn man bedenkt, dass das nur das Log der letzten 30 Minuten ist, schaudert mir schon, was sich da so alles tut.
Sieht mir fast so aus, als ob da jemand gezielt auf meinen Rechner losginge, oder wie oder was?Nein, das meiste davon ist nur das übliche Hintergrundrauschen.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Hi Henryk,
Da gabs doch mal so eine Adresse, wo man nachlesen konnte, was die jeweilige Portnummer bedeutet
Hmm, in der /etc/services. Wenn du selbst keine haben solltest, kannst du Google nach einer fragen.
Sorry, aber mit deiner Antwort kann ich nicht wirklich etwas anfangen. Was meinst du mit "/etc/services"?
Also, auf die Idee, nach Portnummern zu googlen, wär ich von selbst nicht gekommen, funktioniert aber! ;-)Wenn man bedenkt, dass das nur das Log der letzten 30 Minuten ist, schaudert mir schon, was sich da so alles tut.
Sieht mir fast so aus, als ob da jemand gezielt auf meinen Rechner losginge, oder wie oder was?Nein, das meiste davon ist nur das übliche Hintergrundrauschen.
Na dann gute Nacht, wenn da jemand wirklich mal was will... :o
Danke dir.
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Ein Wunsch kann durch nichts mehr verlieren als dadurch, dass er in Erfuellung geht." (Peter Bamm; dt. Schriftsteller; 1897-1975)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at-
Hallo!
Hmm, in der /etc/services. Wenn du selbst keine haben solltest, kannst du Google nach einer fragen.
Sorry, aber mit deiner Antwort kann ich nicht wirklich etwas anfangen. Was meinst du mit "/etc/services"?
Also, auf die Idee, nach Portnummern zu googlen, wär ich von selbst nicht gekommen, funktioniert aber! ;-)http://www.google.de/search?hl=en&ie=UTF-8&q=%2Bport+%2Bnumber+%2Blist&btnG=Search
http://www.iana.org/assignments/port-numbersNa dann gute Nacht, wenn da jemand wirklich mal was will... :o
Dann mache alle Ports zu die Du nicht benötigst. Ganz einfach. Wo es keine Tür gibt, geht es auch nicht rein, außer die Firewall wird gehackt.
MfG, André Laugks
--
L-Andre @ gmx.de-
Hi André,
Sorry, aber mit deiner Antwort kann ich nicht wirklich etwas anfangen. Was meinst du mit "/etc/services"?
Also, auf die Idee, nach Portnummern zu googlen, wär ich von selbst nicht gekommen, funktioniert aber! ;-)http://www.google.de/search?hl=en&ie=UTF-8&q=%2Bport+%2Bnumber+%2Blist&btnG=Search
http://www.iana.org/assignments/port-numbersUii, danke für den Link! :-)
Na dann gute Nacht, wenn da jemand wirklich mal was will... :o
Dann mache alle Ports zu die Du nicht benötigst. Ganz einfach. Wo es keine Tür gibt, geht es auch nicht rein, außer die Firewall wird gehackt.
Naja, ich bin ja dicht, sämtliche Ports geschlossen, mein System antwortet ja nicht mal auf Pings.
Trotzdem hab ich mir so meine Gedanken gemacht, nachdem so übermäßig viele Zugriffsversuche, insbesondere auf NetBIOS erfolgt sind.
Heute vormittag hatte ich eine Unmenge an Zugriffsversuchen auf den Port 4662, da weiss ich nicht mal, wofür der gut ist. (naja, mal nachlesen... ;-))Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Wir lernen aus Erfahrung, dass die Menschen nichts aus Erfahrung lernen." (George Bernhard Shaw; ir. Dramatiker; 1856-1950)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at-
Moin!
Naja, ich bin ja dicht, sämtliche Ports geschlossen, mein System antwortet ja nicht mal auf Pings.
Wenn du ICMP komplett gesperrt hast, kann das übrigens durchaus schlecht sein. Da steckt wesentlich mehr dahinter als nur "Ping", und das meiste Zeugs ist durchaus nützlich für dich. Beispielsweise so Sachen wie "Path MTU Discovery".
Und "unsichtbar" wirst du durch das Sperren von Ping oder das Nicht-Antworten auf Verbindungsversuche auch an gesperrten Ports auch nicht - stattdessen nerven die Gegenstellen dich noch viel häufiger, weil sie vermuten, die TCP-Pakete würden verlorengehen.
Trotzdem hab ich mir so meine Gedanken gemacht, nachdem so übermäßig viele Zugriffsversuche, insbesondere auf NetBIOS erfolgt sind.
Das ist wirklich absolut normal.
Heute vormittag hatte ich eine Unmenge an Zugriffsversuchen auf den Port 4662, da weiss ich nicht mal, wofür der gut ist. (naja, mal nachlesen... ;-))
Kein Port hat eine fest definierte Funktion. Erst die Verbindung "IP-Adresse, Portnummer und dahinter laufendes Serverprogramm" ergeben einen Sinn. Es ist technisch beispielsweise kein Problem, einen Mailserver auf Port 80 laufen zu lassen, und den Webserver auf Port 135.
Du machst dir echt zuviele Gedanken. Schalt alle Dienstprogramme aus, die irgendeinen Port öffnen würden, so dass deine Ports alle "closed" sind, und gut ist.
- Sven Rautenberg
-
Hi Sven,
Wenn du ICMP komplett gesperrt hast, kann das übrigens durchaus schlecht sein. Da steckt wesentlich mehr dahinter als nur "Ping", und das meiste Zeugs ist durchaus nützlich für dich. Beispielsweise so Sachen wie "Path MTU Discovery".
Der Witz dabei ist ja der, das ich Pings explizit gar nicht gesperrt habe, das macht der Router(USR8000A) ganz von selbst, obwohl diese Option nicht aktiviert ist. Ich hab mal dran gedacht, das zu tun, als dier Rede war vom "Ping of Death", habe es aber dann doch sein lassen.
Und "unsichtbar" wirst du durch das Sperren von Ping oder das Nicht-Antworten auf Verbindungsversuche auch an gesperrten Ports auch nicht - stattdessen nerven die Gegenstellen dich noch viel häufiger, weil sie vermuten, die TCP-Pakete würden verlorengehen.
Das war und ist auch nicht meine Intention, da mir schon bewusst ist, dass Stationen, die sich krampfhaft zu verbergen suchen, bevorzugtes Angriffsziel von Hackern sind. Wichtig ist mir eigentlich nur eins: Dass meine Ports dicht sind, solange ich keine Anwendungen laufen habe, die sie benötigen. Dann kann ich aber sowieso die Ports auf den betroffenen Rechner routen, so dass das restliche Netzwerk davon unberührt ist. Da ich einen eigenen Rechner nur für Internetanwendungen nutze, sehe ich da nicht so sehr ein Problem.
Trotzdem hab ich mir so meine Gedanken gemacht, nachdem so übermäßig viele Zugriffsversuche, insbesondere auf NetBIOS erfolgt sind.
Das ist wirklich absolut normal.
Ok, wenn du es sagst, nehm ich es einfach mal so.
Kein Port hat eine fest definierte Funktion. Erst die Verbindung "IP-Adresse, Portnummer und dahinter laufendes Serverprogramm" ergeben einen Sinn. Es ist technisch beispielsweise kein Problem, einen Mailserver auf Port 80 laufen zu lassen, und den Webserver auf Port 135.
Ja, soweit ist mir das schon klar. Tatsache ist aber, dass kaum jemand ohne triftigen Grund einfach die Ports, die für bestimmte Anwendungen standardmäßig definiert sind, ändert.
So gesehen, kann man schon großteils davon ausgehen, daß die Ports von den zugeordneten Anwendungen gescannt werden.Du machst dir echt zuviele Gedanken. Schalt alle Dienstprogramme aus, die irgendeinen Port öffnen würden, so dass deine Ports alle "closed" sind, und gut ist.
Nuja, die Gedanken sind ja erst gekommen, als ich draufkam, daß mein altes Modem(ELSA-ISDN4you mit integriertem Router!) die Ports 137, 53 und 25 ins Internet offen gehalten hat.
Nachdem ich das weggeschmissen hab und nun den USR konfiguriere, möchte ich natürlich schon so ziemlich alles dicht kriegen, ohne mich aber auszusperren :o), bevor ich mich zurücklehne.
Wenn das alles so läuft wie gewünscht, werde ich mir auch keine Gedanken mehr machen. :-)Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Tadele nicht den Fluss, wenn du ins Wasser faellst." (ind. Sprichwort)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at-
Moin!
Das war und ist auch nicht meine Intention, da mir schon bewusst ist, dass Stationen, die sich krampfhaft zu verbergen suchen, bevorzugtes Angriffsziel von Hackern sind.
Da würde ich sogar abwiegelnd widersprechen wollen. Ich zielte eher auf den Irrglauben der normalen Anwender, mit einer nicht-antwortenden Firewall wäre man unsichtbar und unangreifbar fürs Netz.
Wollte man wirklich unsichtbar sein, müßte man mit der IP seines zugeordneten Routers (also den ersten im Netz des Providers, an dem die eigenen Pakete vorbeikommen) an den Anfrager ICMP-Pakete "Destination not reachable" senden. Das würde der Router von sich aus tun, wenn die IP nicht vergeben und unerreichbar wäre.
Wichtig ist mir eigentlich nur eins: Dass meine Ports dicht sind, solange ich keine Anwendungen laufen habe, die sie benötigen. Dann kann ich aber sowieso die Ports auf den betroffenen Rechner routen, so dass das restliche Netzwerk davon unberührt ist. Da ich einen eigenen Rechner nur für Internetanwendungen nutze, sehe ich da nicht so sehr ein Problem.
Stimmt. Aber wenn man das macht, sollte man sich bei der eingesetzten Software relativ sicher sein, dass die keine Lücken hat. Microsoft würde ich ungern als Server ins Netz lassen, muß ich sagen. Andere Menschen tun es - aber dann werden eben die gehackt, nicht ich. :)
Ja, soweit ist mir das schon klar. Tatsache ist aber, dass kaum jemand ohne triftigen Grund einfach die Ports, die für bestimmte Anwendungen standardmäßig definiert sind, ändert.
Hängt davon ab. Es ist widersinnig, einen HTTP-Server auf einem anderen als Port 80 laufen zu lassen - außer Port 80 ist schon belegt, und man hat keine andere Wahl. Oder man will sich etwas verstecken. Niemand kann aufgrund der Portnummer "56517" erkennen, dass da HTTP gesprochen werden muß. Aber das verschleiert nur ein wenig, es sichert nichts ab.
So gesehen, kann man schon großteils davon ausgehen, daß die Ports von den zugeordneten Anwendungen gescannt werden.
Man kann von zweierlei ausgehen: Erstens werden die bekanntesten Ports mit Sicherheit häufiger gescannt, als unbekannte Ports. Und zweitens werden im Zweifel sowieso alle Ports gescannt. Ob es Sinn macht, sich für seine eigenen Server einen Port zu suchen, der defaultmäßig von nmap nicht gescannt wird, muß jeder selbst entscheiden. :)
Nuja, die Gedanken sind ja erst gekommen, als ich draufkam, daß mein altes Modem(ELSA-ISDN4you mit integriertem Router!) die Ports 137, 53 und 25 ins Internet offen gehalten hat.
Ein spannender Router. Der hat offenbar seinen Job ernst genommen. :)
Nachdem ich das weggeschmissen hab und nun den USR konfiguriere, möchte ich natürlich schon so ziemlich alles dicht kriegen, ohne mich aber auszusperren :o), bevor ich mich zurücklehne.
Router, welche auch Network Adress Translation (Masquerading) machen, bieten schon mal eine grundsätzliche Sicherheit, weil sie keinerlei unautorisierten Zugriff ins interne Netz zulassen. Intern werden in der Regel IPs aus den für private Zwecke reservierten Bereichen verwendet, d.h. die kann man über das Internet gar nicht ansprechen. Somit sind auch alle Ports erstmal "zu" - es sei denn, man definiert Port-Forwarding. Das sollte man allerdings aktiv und nur für die Ports tun, die man wirklich offen haben will.
Bleibt als letzte zu sichernde Bastion eigentlich nur der Router selbst. Es gab bei einigen Herstellern schon Sicherheitsprobleme, beispielsweise war die Konfigurationsseite aus dem Internet erreich- und angreifbar. Sowas sollte man natürlich nicht zulassen. :)
- Sven Rautenberg
-
Hi Sven,
Das war und ist auch nicht meine Intention, da mir schon bewusst ist, dass Stationen, die sich krampfhaft zu verbergen suchen, bevorzugtes Angriffsziel von Hackern sind.
Da würde ich sogar abwiegelnd widersprechen wollen. Ich zielte eher auf den Irrglauben der normalen Anwender, mit einer nicht-antwortenden Firewall wäre man unsichtbar und unangreifbar fürs Netz.
*lol* Ja, der Unsinn wurde von demjenigen aufgebracht, der den Begriff "stealth" im Zusammenhang mit einer Firewall(ich glaub, damals wars ZoneAlarm oder so...) verwendete.
Wollte man wirklich unsichtbar sein, müßte man mit der IP seines zugeordneten Routers (also den ersten im Netz des Providers, an dem die eigenen Pakete vorbeikommen) an den Anfrager ICMP-Pakete "Destination not reachable" senden. Das würde der Router von sich aus tun, wenn die IP nicht vergeben und unerreichbar wäre.
Ja, so in etwa hab ich mir das vorgestellt.
Wichtig ist mir eigentlich nur eins: Dass meine Ports dicht sind, solange ich keine Anwendungen laufen habe, die sie benötigen. Dann kann ich aber sowieso die Ports auf den betroffenen Rechner routen, so dass das restliche Netzwerk davon unberührt ist. Da ich einen eigenen Rechner nur für Internetanwendungen nutze, sehe ich da nicht so sehr ein Problem.
Stimmt. Aber wenn man das macht, sollte man sich bei der eingesetzten Software relativ sicher sein, dass die keine Lücken hat. Microsoft würde ich ungern als Server ins Netz lassen, muß ich sagen. Andere Menschen tun es - aber dann werden eben die gehackt, nicht ich. :)
Nuja, ich betreibe keinen Server sondern ein P2P-Netzwerk. Eigentlich schützt micvh nur der Router und dessen Firewall, oder auch nicht, wenn man betrachtet, was der ELSA gemacht hat. :-)
Nuja, die Gedanken sind ja erst gekommen, als ich draufkam, daß mein altes Modem(ELSA-ISDN4you mit integriertem Router!) die Ports 137, 53 und 25 ins Internet offen gehalten hat.
Ein spannender Router. Der hat offenbar seinen Job ernst genommen. :)
Naja, Ansichtssache, ich denke eher, der wollte möglichst wenig tun und Urlaub machen. Den hat er ja nun, in der Elektronikschrottkiste... ;-)
Nachdem ich das weggeschmissen hab und nun den USR konfiguriere, möchte ich natürlich schon so ziemlich alles dicht kriegen, ohne mich aber auszusperren :o), bevor ich mich zurücklehne.
Router, welche auch Network Adress Translation (Masquerading) machen, bieten schon mal eine grundsätzliche Sicherheit, weil sie keinerlei unautorisierten Zugriff ins interne Netz zulassen. Intern werden in der Regel IPs aus den für private Zwecke reservierten Bereichen verwendet, d.h. die kann man über das Internet gar nicht ansprechen. Somit sind auch alle Ports erstmal "zu" - es sei denn, man definiert Port-Forwarding. Das sollte man allerdings aktiv und nur für die Ports tun, die man wirklich offen haben will.
NAT kann der USR, allerdings hat die Firewall Mängel, da kann ich die Ports nicht getrennt für TCP/UDP freigeben. Deshalb bin ich auch auf der Suche nach etwas neuerem, besserem, kenn mich da aber nicht wirklich aus.
Ich werde wohl auf einen reinen Router von Zyxel(202Hoder 202H+) oder Netgear umsteigen und dazu ein ISDN-Modem und einen Druckerserver mit 2 Ports umsteigen.
Der Zyxel hätte auch schon ein integriertes ISDN-Modem, wenn ich die Beschreibung richtig interpretiere.Bleibt als letzte zu sichernde Bastion eigentlich nur der Router selbst. Es gab bei einigen Herstellern schon Sicherheitsprobleme, beispielsweise war die Konfigurationsseite aus dem Internet erreich- und angreifbar. Sowas sollte man natürlich nicht zulassen. :)
Netgear hatte da ja letztens einige Probleme, wenn ich mich recht erinnere...
Naja, die Routerkonfig ist sowieso passwortgeschützt, wobei sich das sicherlich auch herausfinden liesse.
Wie kann man feststellen, ob der Router via Internet erreichbar ist?Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Wer keine ueblen Gewohnheiten hat, hat wahrscheinlich auch keine Persoenlichkeit." (William Faulkner; am. Schriftsteller; 1897-1962)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at-
Moin!
NAT kann der USR, allerdings hat die Firewall Mängel, da kann ich die Ports nicht getrennt für TCP/UDP freigeben. Deshalb bin ich auch auf der Suche nach etwas neuerem, besserem, kenn mich da aber nicht wirklich aus.
Alten Rechner finden, alles bis auf CPU, RAM und Diskettenlaufwerk ausbauen, und Fli4L anwenden.
Wie kann man feststellen, ob der Router via Internet erreichbar ist?
Von außen einen kompletten Portscan machen und gucken, was offen ist.
- Sven Rautenberg
-
Hi Sven,
Alten Rechner finden, alles bis auf CPU, RAM und Diskettenlaufwerk ausbauen, und Fli4L anwenden.
Fli4L???
Ist das wieder so ein Insiderkürzel?
Weiss nicht, was du damit meinst...Wie kann man feststellen, ob der Router via Internet erreichbar ist?
Von außen einen kompletten Portscan machen und gucken, was offen ist.
Jetzt wirds richtig interessant.
Beim letzten Portscan war alles zu, Ping ging nicht, Firewall wurde nicht erkannt.
Nun hab ich noch einen gemacht,Firewall erkannt, Ping ging plötzlich und zusätzlich waren Port 137 TCP und 138 TCP offen...Daraufhin hab ich den Router neu gebootet, abgestürzt.
Stromversorgung unterbrochen, neu gestartet, jetzt gehts wieder.
Neuer Portscan:
Firewall gefunden alle Ports zu, Pings gehen nicht... Ich verstehs nicht.
Ist der USR auch defekt???Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Kraft wird aus dem Zwang geboren und stirbt an der Freiheit." (Leonardo da Vinci; it. Universalgenie; 1452-1519)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at-
Moin!
Hi Sven,
Alten Rechner finden, alles bis auf CPU, RAM und Diskettenlaufwerk ausbauen, und Fli4L anwenden.
Fli4L???
Ist das wieder so ein Insiderkürzel?
Weiss nicht, was du damit meinst...Google wüßte das bestimmt. :)
Es handelt sich um ein extra angepaßtes Linux, welches (wenn man nicht alle möglichen Sonderoptionen will) auf eine Diskette paßt und als Router agiert, für DSL, ISDN und Modem. Das Einrichten auf der Diskette geht auch per Windows-Menüprogramm (das schreibt dann einsteckfertig die Diskette), und die Beobachtung des Router-Status geht auch.
Nun hab ich noch einen gemacht,Firewall erkannt, Ping ging plötzlich und zusätzlich waren Port 137 TCP und 138 TCP offen...
Wo bzw. wie hast du den gemacht? Dazu braucht es ja einen Rechner, der im Internet ist, damit du von dem aus scannen kannst.
Daraufhin hab ich den Router neu gebootet, abgestürzt.
Toll. "Mit Linux wär' das nicht passiert..." :-p
Stromversorgung unterbrochen, neu gestartet, jetzt gehts wieder.
Neuer Portscan:
Firewall gefunden alle Ports zu, Pings gehen nicht... Ich verstehs nicht.Ich auch nicht. Aber Firmware-Fehler in Routern wären nichts neues. Da laborieren Hersteller auch gerne mal zwei oder drei Releases lang an ein und derselben Stelle herum.
- Sven Rautenberg
-
Hi Sven,
Fli4L???
Ist das wieder so ein Insiderkürzel?
Weiss nicht, was du damit meinst...Google wüßte das bestimmt. :)
Uups, ja, ähm, also....
Es handelt sich um ein extra angepaßtes Linux, welches (wenn man nicht alle möglichen Sonderoptionen will) auf eine Diskette paßt und als Router agiert, für DSL, ISDN und Modem. Das Einrichten auf der Diskette geht auch per Windows-Menüprogramm (das schreibt dann einsteckfertig die Diskette), und die Beobachtung des Router-Status geht auch.
Aarghs, Linux, wo ich doch schon mit Windoof so meine Probleme habe... :-/
Da seh ich wirklich schwarz...Nun hab ich noch einen gemacht,Firewall erkannt, Ping ging plötzlich und zusätzlich waren Port 137 TCP und 138 TCP offen...
Wo bzw. wie hast du den gemacht? Dazu braucht es ja einen Rechner, der im Internet ist, damit du von dem aus scannen kannst.
Portscan auf http://webscan.security-check.ch
Daraufhin hab ich den Router neu gebootet, abgestürzt.
Toll. "Mit Linux wär' das nicht passiert..." :-p
*grmpf* Bist du dir da sicher?
Stromversorgung unterbrochen, neu gestartet, jetzt gehts wieder.
Neuer Portscan:
Firewall gefunden alle Ports zu, Pings gehen nicht... Ich verstehs nicht.Ich auch nicht. Aber Firmware-Fehler in Routern wären nichts neues. Da laborieren Hersteller auch gerne mal zwei oder drei Releases lang an ein und derselben Stelle herum.
Naja, US-Robotics hat aber schon seit Monaten kein Release herausgebracht, so gesehen, hab ich die aktuelle Firmware drauf...
Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Trenne dich nie von deinen Illusionen und Traeumen. Wenn sie verschwunden sind wirst du weiter existieren, aber aufgehoert haben zu leben." (Mark Twain; am. Schriftsteller; 1835-1903)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at-
Moin!
Es handelt sich um ein extra angepaßtes Linux, welches (wenn man nicht alle möglichen Sonderoptionen will) auf eine Diskette paßt und als Router agiert, für DSL, ISDN und Modem. Das Einrichten auf der Diskette geht auch per Windows-Menüprogramm (das schreibt dann einsteckfertig die Diskette), und die Beobachtung des Router-Status geht auch.
Aarghs, Linux, wo ich doch schon mit Windoof so meine Probleme habe... :-/
Da seh ich wirklich schwarz...Du siehst von Linux außer auf dem Namensschild wirklich nichts. Das läuft, wenn du willst, komplett über eine schöne Windows-Konfigurationssoftware. Natürlich mußt du etwas technische Ahnung haben, was dein privates Netz, die gewünschte Konfiguration etc. angeht. Und eventuell (bei ausgefallenen Wünschen) kommst du um das selbständige Bearbeiten einer Textdatei nicht drumherum. Aber die Standardfunktionen sind supersimpel und schnell eingerichtet.
Aber wie gesagt: Einen ausgedienten Rechner (für Modem und ISDN reicht ein 468er aus, mit 16 MB RAM) brauchst du dafür.
Nun hab ich noch einen gemacht,Firewall erkannt, Ping ging plötzlich und zusätzlich waren Port 137 TCP und 138 TCP offen...
Wo bzw. wie hast du den gemacht? Dazu braucht es ja einen Rechner, der im Internet ist, damit du von dem aus scannen kannst.
Portscan auf http://webscan.security-check.ch
Ok, wenn dieser Portscan das sagt, dann wird das wohl stimmen. Ich kanns nicht nachvollziehen, weil man sich da unnötiger Weise mit Mailadresse anmelden muß.
Daraufhin hab ich den Router neu gebootet, abgestürzt.
Toll. "Mit Linux wär' das nicht passiert..." :-p
*grmpf* Bist du dir da sicher?
Mein Fli4L-Router läuft seit 40 Tagen ununterbrochen und ohne Probleme durch. Damals hatte ich ihn neu gestartet, weil ich die Konfiguration vom QoS-Modul angepaßt hatte.
Und mein Router davor, der zugleich auch noch Server für alles war (nicht unbedingt ein idealer Zustand aus Sicherheits-Sicht) lief ohne Probleme monatelang durch - er wurde jedenfalls nicht wegen Abstürzen neu gestartet, sondern weil irgendwas umzubauen war (Rechner umräumen, neuer Kernel etc...). Wenn es um unterbrechungsfreien Dauerbetrieb geht, vertraue ich Linux ausdrücklich.
Übrigens basieren etliche Router ebenfalls auf Linux. Einige Hersteller haben da nur noch nicht so genau in die GNU-Lizenzbedingungen reingeschaut, irgendwo gibts da einen Prozess oder zumindest eine einstweilige Verfügung gegen einen Vertriebspartner in Deutschland (Hersteller in China war gerade nicht greifbar).
Naja, US-Robotics hat aber schon seit Monaten kein Release herausgebracht, so gesehen, hab ich die aktuelle Firmware drauf...
Ich behaupte ja auch nicht, dass der Router einen Fehler hat. Nur: Irgendwas ist da passiert, und ich würde die Lage deshalb genauer beobachten.
- Sven Rautenberg
-
Hi Sven,
Aarghs, Linux, wo ich doch schon mit Windoof so meine Probleme habe... :-/
Da seh ich wirklich schwarz...Du siehst von Linux außer auf dem Namensschild wirklich nichts. Das läuft, wenn du willst, komplett über eine schöne Windows-Konfigurationssoftware. Natürlich mußt du etwas technische Ahnung haben, was dein privates Netz, die gewünschte Konfiguration etc. angeht. Und eventuell (bei ausgefallenen Wünschen) kommst du um das selbständige Bearbeiten einer Textdatei nicht drumherum. Aber die Standardfunktionen sind supersimpel und schnell eingerichtet.
Was heisst, wenn du willst?
Ich hab mir mal die Site angeschaut, da sind ja unendlich viele Teile zum downloaden, was brauch ich denn da für meine Erfordernisse wirklich von?Aber wie gesagt: Einen ausgedienten Rechner (für Modem und ISDN reicht ein 468er aus, mit 16 MB RAM) brauchst du dafür.
Der sollte nun wirklich nicht das Problem sein, sowas wird ja laufend von Firmen ausgemustert und ist günstigst zu haben.
Portscan auf http://webscan.security-check.ch
Ok, wenn dieser Portscan das sagt, dann wird das wohl stimmen. Ich kanns nicht nachvollziehen, weil man sich da unnötiger Weise mit Mailadresse anmelden muß.
Ja, das ist ein Manko.
Daraufhin hab ich den Router neu gebootet, abgestürzt.
Toll. "Mit Linux wär' das nicht passiert..." :-p
*grmpf* Bist du dir da sicher?
Mein Fli4L-Router läuft seit 40 Tagen ununterbrochen und ohne Probleme durch. Damals hatte ich ihn neu gestartet, weil ich die Konfiguration vom QoS-Modul angepaßt hatte.
Und mein Router davor, der zugleich auch noch Server für alles war (nicht unbedingt ein idealer Zustand aus Sicherheits-Sicht) lief ohne Probleme monatelang durch - er wurde jedenfalls nicht wegen Abstürzen neu gestartet, sondern weil irgendwas umzubauen war (Rechner umräumen, neuer Kernel etc...). Wenn es um unterbrechungsfreien Dauerbetrieb geht, vertraue ich Linux ausdrücklich.
Mein Netzwerk lief auch 3 Jahre störungsfrei im Nonstopbetrieb, erst, als der ELSA den Geist aufgab, begannen die Probleme.
Übrigens basieren etliche Router ebenfalls auf Linux. Einige Hersteller haben da nur noch nicht so genau in die GNU-Lizenzbedingungen reingeschaut, irgendwo gibts da einen Prozess oder zumindest eine einstweilige Verfügung gegen einen Vertriebspartner in Deutschland (Hersteller in China war gerade nicht greifbar).
Uups, naja, sowas sollte ja nicht passieren...
Ich behaupte ja auch nicht, dass der Router einen Fehler hat. Nur: Irgendwas ist da passiert, und ich würde die Lage deshalb genauer beobachten.
Ja, ich vermute, der Tod des ELSA hat den USR in Mitleidenschaft gezogen, oder der USR hat Macken und den ELSA gekillt.
Irgendsowas dürfte da schon sein. Seitdem stürzt er immer wieder in unregelmäßigen Abständen ab.Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Das ist das Merkmal des grossen und guten Menschen, dass er immer zuerst auf das Ganze und auf andere sieht, auf sich zuletzt." (Adalbert Stifter; oest. Schriftsteller; 1805-1868)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at
-
-
-
-
-
-
-
-
-
-
Hallo Kurt,
Heute vormittag hatte ich eine Unmenge an Zugriffsversuchen auf den Port 4662, da weiss ich nicht mal, wofür der gut ist. (naja, mal nachlesen... ;-))
4662 ist der voreingestellte Port von eDonkey/eMule (Filesharing). Jemand, der vorher Deine IP-Adresse hatte, war mit diesem Programme online. Andere, die mit ihm getauscht haben, versuchen nun wieder auf ihn zuzugreifen und landen daher zwangsläufig bei Dir...
Viele Grüße
Carsten
-
-
-
-
-
Hi Kurt,
die Zugriffe auf 135 und 445 dürften von den gängigen Würmern (Blaster, Sasser, usw.) stammen, ist also normal. Und wenn Du die aktuellen Patches installiert hast, sind die Ports auch dicht, weil kein Dienst dahinter läuft.
Der Blaster z. B. hat ja damals ausgenutzt, daß durch den RPC-Dienst der Port 135 offen war.
Viele Grüße
Jörg
-
Servus Jörg,
schon lange nicht mehr gelesen. :-)die Zugriffe auf 135 und 445 dürften von den gängigen Würmern (Blaster, Sasser, usw.) stammen, ist also normal. Und wenn Du die aktuellen Patches installiert hast, sind die Ports auch dicht, weil kein Dienst dahinter läuft.
Naja, automatisches Windoof-Update ist an, von daher sollten meine Systeme immer auf dem aktuellen Stand sein. laut einem Portscan bei http://webscan.security-check.ch ist mein System absolut dicht.
Der Blaster z. B. hat ja damals ausgenutzt, daß durch den RPC-Dienst der Port 135 offen war.
RPC? Wat´n dat???
Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Das ist das Merkmal des grossen und guten Menschen, dass er immer zuerst auf das Ganze und auf andere sieht, auf sich zuletzt." (Adalbert Stifter; oest. Schriftsteller; 1805-1868)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at-
Hi Kurt,
Servus Jörg,
schon lange nicht mehr gelesen. :-)wie wahr ;-)
RPC? Wat´n dat???
Das ist der Remoteprozeduraufruf, der bei Win 2000 und XP standardmäßig gestartet war und den 135 offen hatte. Da kam dann der Blaster herein.
Mit dem Patch (vom Februar?) wurde das Problem aber behoben.
Siehe auch: http://www.heise.de/security/news/meldung/39358
Viele Grüße
Jörg
-
Hi Jörg,
RPC? Wat´n dat???
Das ist der Remoteprozeduraufruf, der bei Win 2000 und XP standardmäßig gestartet war und den 135 offen hatte. Da kam dann der Blaster herein.
Mit dem Patch (vom Februar?) wurde das Problem aber behoben.
Siehe auch: http://www.heise.de/security/news/meldung/39358
Ach so, nachdem ich automatisch immer update, denk ich mal, hab ich alle verfügbaren Patches installiert. So gesehen no Problem. :-)
Gruß
Kurt
--
Nein, ich beantworte keine Anfragen per e-mail.
ss:( zu:) ls:[ fo:) de:] va:| ch:| sh:( n4:° rl:( br:? js:| ie:% fl:( mo:?
"Derjenige, der zum erstenmal an Stelle eines Speeres ein Schimpfwort benutzte, war der Begruender der Zivilisation." (Sigmund Freud; oest. Psychologe u. Psychater; 1856-1939)
http://elektro-dunzinger.at
http://shop.elektro-dunzinger.at
-
-
-