Firewall

[MAPI]

Ich habe heute meine PC-Cilin Firewall etwas administriert und habe mal einen Blick in die Logs geworfen. Ich war recht überrascht, wieviele Angriffsversuche mein Rechner von Außen erdulden muss.

Hier sind einige Auszüge:

---------------------------

PC-cillin 2002 Log List

Type,Time,IN/OUT,Protocol,Source IP Address,Source Port,Destination IP Address,Destination Port,Description

Firewall,12:12:05,IN,UDP,213.39.220.146,11440,213.6.26.158,135,NetBIOS Browsing,

Firewall,12:12:26,IN,ICMP,213.5.97.249,N/A,213.6.26.158,N/A,Ping Attack,

Firewall,13:59:35,IN,ICMP,213.5.239.9,N/A,213.6.26.4,N/A,Ping Attack,

Firewall,14:00:35,IN,ICMP,213.8.24.60,N/A,213.6.26.4,N/A,Ping Attack,

Firewall,14:09:57,IN,TCP,213.6.24.3,1119,213.6.26.10,445,NetBIOS Browsing,

Firewall,15:20:49,IN,UDP,145.254.140.236,28432,213.6.25.242,28431,Traceroute,

---------------------------

Ich bekomme ständige "Ping Attacken", "Traceroute's" und "NetBIOS Browsing's".

Kann mir jemand erklären in wieweit sich all dies auf mein System (win2k) auswirken kann?

Ich kann es mir vorstellen, dass unter "Ping Attack" einfach zu meinem Rechner gesendete Pings gemeint sind (korrigiert mich, wenn ich falsch liege), und dass jemand mit "Traceroute"-Befehl einfach die Route zu meinem Rechner ausfindig machen will (aber dann frage ich mich, wofür? Und wie kommt er an meine Adresse, da wo mir von meinem ISP jedesmal eine andere zugeteilt wird.) Und was ist mit "NetBIOS Browsing" gemeint? Welche Auswirkungen hat dies auf mein System?

Darüberhinaus habe ich mich etwas mit der KERIO FIREWALL auseinandergesetzt und die komplette Hilfe zu dem Programm durchgelesen. Das Programm ist meiner Meinung sehr gut, weil ich damit alle Ports komplett absichern kann. Das Problem ist aber - es sind nur vom System aus über 1023 Ports da und dazu gibt es noch zig weitere, von den Anwendungen genutzten Ports. Wie soll ich es erkennen, welche Ports man zumachen soll und welche net? Oder wie soll ich es herauskriegen, welche Ports man standardmässig schliesst und welche offen lässt, um sich vor Hacker-Attacken zu schützen?

Kann mir jemand mit all diesen Fragen Hilfestellung leisten?

[sYnTaxx]

also dann geb ich doch mal meine Meinung dazu ab Diese "Attacken" würde ich als Scans betrachten. Da scannen einfach versch. Leute IP Ranges nach potentiellen PC`s ab die leicht anzugreifen sind. Die meisten hoffen auf einen installierten Trojaner um sich dann connecten zu können.

Auswirkungen? Hm nun scans ansich bringen dem Angreifer nur Informationen über die Situation seines "Gegeners" Natürlich kann sich das dann dementsprechend anderst auswirken was für Sicherheitslücken er entdeckt.

Dann könnte man mit solchen Pingfloods bzw. Überlängepakete deinen Rechner zum Absturz bringen.

Kerio ist eine sehr gute Personal Firewall. :cool:

Jeder offener Port ist eine Sicherheitslücke den hinter jedem offenem Port sitzt ein Programm und dieses Programm kann natürlich Bugs haben. ( Exploits )

Also ganz einfach: Alle Ports die nicht benötigt werden schliessen. Alle Programme die nicht benötigt werden deinstallieren. Scanne dich am besten mal selber mit einem Portscanner ab und dann kannst du dich anhand einer Portliste informieren was für Dienste deine Ports offen haben und diese dann schliessen... ( z.B. Port 135,139,443 usw. )

Ich hoffe ich konnte etwas helfen!

:marine

[MAPI]

Also ganz einfach: Alle Ports die nicht benötigt werden schliessen. Alle Programme die nicht benötigt werden deinstallieren. Scanne dich am besten mal selber mit einem Portscanner ab und dann kannst du dich anhand einer Portliste informieren was für Dienste deine Ports offen haben und diese dann schliessen... ( z.B. Port 135,139,443 usw. )

Wo finde ich denn so einen Portscanner?

Kennt jemand so ein Programm, mit dem man diese Scans von anderen Rechnern machen kann? Ich möchte mal gerne sehen wie die Hacker meinen Rechner scannen können, um mich dann auch ausreichend davor schützen zu können.

(Ich weiss, dass Hackerprogramme wahrscheinlich illegal sind, aber ich denke, welcher Admin wird sich nicht damit auseinandergesetzt haben um sein Netzwerk von jeglichen Gefahren schützen zu können?!)

[given_to_fly]

Hi.

Also für Linux ist das hier eigentlich der "beste":

nmap

Für Windows bin ich voll und ganz begeisert von :

GFI LanGuard

Firewall,14:09:57,IN,TCP,213.6.24.3,1119,213.6.26.10,445,NetBIOS Browsing,

Beim NetBIOSBrowsing versucht der "Angreifer" herauszufinden ob du irgendwelche Freigaben ( offene shares ) bei dir laufen hast. Der Rechername ist hierbei nur 2. rangig. Desweiteren wird NetBios Browsing gerne verwendet um potentielle Opfer für Spam Popus ( Net send ) zu finden, und herauszufinden ob bei dir auch ein Nachrichtendienst läuft.

[sYnTaxx]

also nmap kann ich auch für windows empfehlen => http://www.it-secure-x.de/download.php?id=75&s=download

dann gibts z.b. noch superscan was ganz funny ist...

hm einfach mal google.de usen dann geht das...

[nic_power]

Hallo,

fuer Windows gibt es eine Menge unterschiedlicher Tools, ich habe mit http://www.eeye.com/html/Products/Retina/index.html sehr gute Erfahrungen gemacht (ist allerdings nicht ganz preiswert), fuer gelegentliche Scans wuerde ich ebenfalls auf nmap zurueckgreifen. Die "Angriffe" von aussen werden meist von irgendwelchen Wuermern erzeugt, die zufaellige Adressbereich nach Sicherheitsluecken abklappern um sich so zu verbreiten. Aehnlichen Phaenomene sind zu beobachten, wenn Du die IP-Adresse eines Nutzers erhaelst, der ein P2P-Tool eingesetzt hat.

Nic