nicht angemeldet
Port Scans aus eigenem Adressraum
Hallo zusammen,
auch wenn es nicht direkt zum Thema HTML gehört, eine Frage zur Sicherheit, da hier ja viele IT-Profis im Forum posten:
Meine Firewall (Sygate PF) zeigt dauernd Portscans an, teilweise sogar mit einer Remote Adresse aus unserem Adressraum. Den Rechner mit der entsprechenden IP habe ich mit Virusscanner gecheckt (SOPHOS) und nix gefunden. (Ich bin leider nicht für alle Rechner verantwortlicher Administrator, kann also leider nicht für alle Rechner den entsprechenden Schutz gewährleisten...)
a) Kann die IP vorgetäuscht sein?
b) Wenn Sie vorgetäuscht ist, hat dann vielleicht ein Hacker Zugriff auf unsere Systeme erlangt?
c) Sind Portscans eigentlich legal und was bringt ein Schreiben an die entsprechenden Abuse Mail Adressen?
d) Was würdet Ihr mir raten bei ca 50 PortScans täglich pro Rechner?
Gruss & Danke für die Hilfe,
fotzibaer
-
Moin!
d) Was würdet Ihr mir raten bei ca 50 PortScans täglich pro Rechner?
Definiere: Was _genau_ meldet die Firewall? Und welche Antwort gibt die Firewall dem Kontakt?
Wenn du der Firewall in irgendeiner Weise mißtraust, dass diese Verbindungsanfragen an Ports, die nicht offen sind oder sein sollten, nicht eindeutig mit einem "Port ist zu" beantwortet, dann solltest du das Produkt wechseln.
Wenn du aber glaubst, dass die Firewall zuverlässig arbeitet, dann solltest du deren Report-Level runtersetzen. Portscans sind absolut normal. Das ist das sprichwörtliche "Anfassen am Türendrücker, ob die Tür auf ist". Absolut harmlos für den Admin, der weiß, dass er bei der Konfiguration alles richtig gemacht hat. Und sich durch regelmäßige Logfilekontrolle davon immer wieder überzeugt.
Der Rest deiner Punkte ist daher eigentlich irrelevant.
Bis auf einen Punkt: Schmeiß diese Personal Firewall weg. Sie bietet keinen Schutz - wie jede andere PF ebenfalls.
Wenn du deinen Job ernst nimmst, hast du als Firewall einen eigenen Rechner laufen, und die zu schützenden Rechner sind allesamt _dahinter_ in einem eigenen Netzwerk. Alles andere ist Pipifax.
- Sven Rautenberg
--
Among the maxims on Lord Naoshige's wall, there was this one: "Matters of great concern should be treated lightly."
Master Ittei commented, "Matters of small concern should be treated seriously."
(Hagakure: The Way of the Samurai)-
Hallo Sven,
Definiere: Was _genau_ meldet die Firewall? Und welche Antwort gibt die Firewall dem Kontakt?
Die Firewall meldet einen Scan von bestimmten (meist gleichen) Ports. Dabei handelt es sich um eben jene, die die letzten Würmer (Beagle, MyDoom) geöffnet haben. Die Firewall blockt diese Ports. Habe selbst Portscans auf meinem System durchgeführt inkl. PortReporter drüberlaufen lassen. Das System scheint aber sicher zu sein.
Nur der Portscan von einer IP im eigenen Adressraum irritiert mich. Und dass ich auf dem entsprechenden Rechner keine Malware gefunden habe.Wenn du aber glaubst, dass die Firewall zuverlässig arbeitet,
Jo, denke schon. Problem ist, das es hier leider DAUs gibt, denen ich zutraue, dass Sie Attachments ausführen. Man ist ja leider nicht immer schnell genug, um neue Definitionen bei SOPHOS einzuspielen....
Bis auf einen Punkt: Schmeiß diese Personal Firewall weg. Sie bietet keinen Schutz - wie jede andere PF ebenfalls.
Ja, ich weiss. Soweit ich aber auch weiss, sitzen wir hinter einer Hardware Firewall...Die PFW ist zusätzlich vorhanden.
Gruss,
fotzibaer-
Hallo.
Soweit ich aber auch weiss, sitzen wir hinter einer Hardware Firewall...Die PFW ist zusätzlich vorhanden.
Sicherst du einen verschlossenen Tresor auch mit einem zusätzlichen Fahrradschloss?
MfG, at
-
-
-
Meine Firewall (Sygate PF) zeigt dauernd Portscans an, teilweise sogar mit einer Remote Adresse aus unserem Adressraum. Den Rechner mit der entsprechenden IP habe ich mit Virusscanner gecheckt (SOPHOS) und nix gefunden.
a) Kann die IP vorgetäuscht sein?
Ja, siehe http://www.insecure.org/nmap/data/nmap_manpage.html, Option -S und insbesondere den idlescan -sI (im Detail beschrieben unter http://www.insecure.org/nmap/idlescan.html).
b) Wenn Sie vorgetäuscht ist, hat dann vielleicht ein Hacker Zugriff auf unsere Systeme erlangt?
Wenn sie vorgetäuscht ist, kann sie von überall her kommen.
c) Sind Portscans eigentlich legal
Strittig. Wer einen der Öffentlichkeit zugänglichen Rechner betreibt, muß sich nicht wundern, wenn die Öffentlichkeit gelegentlich auch versucht, auf den Rechner zuzugreifen. Das mag unhöflich sein, aber definitiv illegal sind nur Manipulationsversuche an diesem Rechner, die Portscans folgen könnten.
und was bringt ein Schreiben an die entsprechenden Abuse Mail Adressen?
Probiere es aus, der eine reagiert so, der andere so.
d) Was würdet Ihr mir raten bei ca 50 PortScans täglich pro Rechner?
Es gibt schlimmeres. Offene Türen, die durch Postscans entdeckt werden, beispielsweise. Mit anderen Worten: Kümmere Dich nicht um die Portscans, kümmere Dich um die Systemsicherheit.
-
Hallo Müllhalde,
danke für die Tipps,
fotzibaer
-