[Hinkebein]

hallo zusammen!

vorab möchte ich sagen: Ich hab die suche verwendet!!!!!!!(und nix gefunden)


folgende frage:

meine kleine agnitum outpost pro firewall, zeigt mir jeden tag 4 bis 5 mal " Angriffe(Portscans)" auf port 445 an.

meine frage dazu: werde ich ununterbrochen von bösen hinterlistigen terroristischen hackern angegriffen, und meine firewall wehrt dies ab, oder nicht?

könnte dies auch mein provider sein?(manchmal zeigt er mir meine provider ip)?

ich bin ratlos

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von Hinkebein bearbeitet: 01. Oktober 2004 - 10:50

[ph030]

Hi,

das ist halt der SMB-Port, unteranderem gedacht z.B. für Remote-Aktivitäten. Entweder du hast was auf dem Rechner, was nach draussen will, oder es ist mal wieder ein Wurm im Umlauf.
Genügend Info's dazu gibt's bei Google!

Da gibt's nur eins...die entsprechenden Dienste abschalten und auf Pseudo-FW verzichten.
Ich seh's schon kommen, gleich geht's wieder los *duckundschnellwech*

Manu

[Hinkebein]

danke für die antwort in "realtime"

ich denk es kommt von "außen".

alle dienste die gacke sind ,sind eigentlich soweit abgedreht
oder nicht?

Angehängte Miniaturbilder

• 

[Rika]

Benutze doch bitte die Boardsuche oder lies wenigstens die sticky Threads.

[Kurt W]

Hallo,

das gleiche Problem hatte ich auch beim Wurm Sasser. Täglich zig anzeigen von Outpost
wegen Portscanns 445. Wenn dich diese Meldungen stören, dann einfach in Outpost bei "Filter für Internet Attacken" den Schieberegler auf "Minimal" setzten, dann werden diese Portscanns nicht mehr angezeigt. Ich gehe davon aus, das du die Version 2.1 benutzt!

Gruß Kurt

[xylen]

Zitat (ph030: 01.10.2004, 11:55)

Hi,

das ist halt der SMB-Port, unteranderem gedacht z.B. für Remote-Aktivitäten. Entweder du hast was auf dem Rechner, was nach draussen will, oder es ist mal wieder ein Wurm im Umlauf.
<{POST_SNAPBACK}>

Ein Wurm sollte es eigentlich nicht sein - ich kenne jedenfalls keinen der den Port nutzt. Du kannst du Port aber ganz einfach schließen:

1. Registry Editor starten (Regedit.exe).
2. Suche folgenden Key:
HKLM\System\CurrentControlSet\Services\NetBT\Parameters
3. Dort sollte es einen Wert namens TransportBindName geben.
4. Klicke ihn doppelt an und lösche den Wert, so das nichts mehr drin steht.
5. Schließ den Registry Editor
6. Starte den Rechner neu

Danach sollte es die Meldung in der Firewall nicht mehr geben.

[Rika]

Gut, damit machst du NetBIOS kaputt. Dann lieber so:

1. Registry Editor starten (Regedit.exe).
2. Suche folgenden Key:
HKLM\System\CurrentControlSet\Services\NetBT\Parameters
3. Dort legst du einen neuen DWORD-Wert mit Namen "SMBDeviceEnabled" an.
4. Klicke ihn doppelt an und gib ihm den Wert "0"
5. Schließ den Registry Editor.
6. Starte den Rechner neu.

[Kurt W]

Zitat (xylen: 03.10.2004, 16:08)

Ein Wurm sollte es eigentlich nicht sein - ich kenne jedenfalls keinen der den Port nutzt.

Ich schon und zwar Sasser.Der Wurm öffnet einen ftp-Port (5554) und scannt IP Adressen nach verwundbaren Systemen (TCP port 445). Dieser Portscan auf Port 445 wird von Outpost bemerkt und dann selbstverständlich auch gemeldet. Dürfte aber nun nicht mehr sehr häufig vorkommen, Sasser ist ja auch schon einige Zeit her.

Zitat

Du kannst du Port aber ganz einfach schließen

Wenn Outpost richtig konfiguriert ist, ist dieser Port bereits geschlossen (stealthed)

Gruß Kurt

Dieser Beitrag wurde von Kurt W bearbeitet: 03. Oktober 2004 - 15:55

[Rika]

[_] Du kennst sasserd.
[X] Du glaubst nicht daß Leute einfach so aus Spaß einen Daemon für's Exploit-Scanner entwickeln.
[_] Du hast verstanden was Nessus macht.

[Hinkebein]

danke für die hilfe!

netbios hab ich sowieso deaktiviert, ebenso sämtliche icmp und igmp dinge.

[ph030]

Zitat

Wenn Outpost richtig konfiguriert ist, ist dieser Port bereits geschlossen (stealthed)

Stealthed != Closed

Ein Unterschied, der durchaus zur Gefahr werden kann!

[Rika]

Zitat

netbios hab ich sowieso deaktiviert, ebenso sämtliche icmp und igmp dinge.

Wie dumm muss man sein um einfach ICMP zu verbieten, aber mache nur... dein PMTUD ist damit Schrott. IGMP ist sowieso per Default abgeschaltet, was genau willst du da deaktivieren? Und sowas will mit einem hostbasierenden Paketfilter Sicherheit erreichen...

Dieser Beitrag wurde von Rika bearbeitet: 03. Oktober 2004 - 18:39

[Hinkebein]

gut fachwissen hast du sicher mehr als ich, dennoch hab ich mit komplett wegefilterem icmp noch keinerlei merkbaren probleme gehabt;
außerdem:
Das ICMP Protokoll kann auch mißbraucht werden, indem künstlich falsch Fehlermeldungen versendet werden:

Denial-of-Service Angriff
Ping-to-Death
Durch Versenden von Redirect-Meldungen kann ein böser böser Angreifer den gesamten Datenverkehr eines Netzes über seinen Rechner laufen lassen.

was ist sicherheitstechnisch mit diesen sache?

ach ja bitte beachten: cih such nur rat und möchte nicht mit leuten über themen "streiten", die sich zweifelsfrei besser auskennen als ich...

[Rika]

Zitat

dennoch hab ich mit komplett wegefilterem icmp noch keinerlei merkbaren probleme gehabt;

Doch: kein PMTUD und damit, ohne BEachtung der Folgen, auch eine neue Sicherheitslücke, kein funktionierendes Load Balancing externer Server (sprich: langsamer), unnötige Timeouts, kein funktionierendes Source Quenching, RFC violation...
Und du zeigt daß du von Adminstration eines Paketfilters keine Ahnung hast.

Zitat

indem künstlich falsch Fehlermeldungen versendet werden:
Denial-of-Service Angriff

Was außer Bandbreitenflooding, daß mit ICMP genau gar nix zu tun hat, kommt dir da in den Sinn? Mir käme da MTU Quenching in den Sinn, aber das braucht kein ICMP, ganz im Gegenteil, dort wäre ICMP sogar von Vorteil, um es besser zu erkennen.

Zitat

Ping-to-Death

Glückwunsch, bei dir ist im Jahre 1998 die Zeit stehengeblieben.

Zitat

Durch Versenden von Redirect-Meldungen kann ein böser böser Angreifer den gesamten Datenverkehr eines Netzes über seinen Rechner laufen lassen.

[_] Du hast die Funktionsweise von ICMP_REDIRECT verstanden.
[_] Du hast verstanden daß sowas, wenn überhaupt, nur im LAN funktioniert.
[_] Du kennst HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
[_] Du weißt daß der Defaultwert 0 ist.

Zitat

was ist sicherheitstechnisch mit diesen sache?

Allesamt nicht existent. Es sei denn man doktort wie du falsch an ICMP herum, dann baut man sich halt selber Probleme.

Zitat

cih such nur rat und möchte nicht mit leuten über themen "streiten", die sich zweifelsfrei besser auskennen als ich...

Sprich: Du bist nur hier um das zu lesen, was du gerne lesen würdest.
Dabei hast du keinerlei Ahnung, wie deine Sicherheitsmaßnahme "Paketfilter" zu verwenden ist, damit sie auch wirkt, sondern schießt dir ausschließlich selbst ins Knie.

Dieser Beitrag wurde von Rika bearbeitet: 03. Oktober 2004 - 21:08

[Hinkebein]

Zitat

Sprich: Du bist nur hier um das zu lesen, was du gerne lesen würdest.
Dabei hast du keinerlei Ahnung, wie deine Sicherheitsmaßnahme "Paketfilter" zu verwenden ist, damit sie auch wirkt, sondern schießt dir ausschließlich selbst ins Knie.

du hast recht ahnung hab ich nicht viel davon
lange rede kurzer sinn [ich will ja doch schlauer werden]
ich sollte icmp [_] weiterhin blockieren
[_] nicht blockieren
[_] mir ist nicht zu helfen

Zitat

Und du zeigt daß du von Adminstration eines Paketfilters keine Ahnung hast.

die runde geht wohl auch an dich. du hast recht,und das ist keineswegs zünisch gemeint!

Zitat

wie deine Sicherheitsmaßnahme "Paketfilter" zu verwenden ist

wie denn?