Viren, Spyware, Datenschutz 11.214 Themen, 94.188 Beiträge

Hackerproblem im LAN

Shinji Ikari / 49 Antworten / Flachansicht Nickles

Hi!


Ich bin mit meinem Rechner in einem Lokalem Netzwerk und benutze die freeversion von der outpost firewall. Und meine Firewall blockt sehr viel Angriffe(portscanns/verbindungsversuche). Dabei hat es jemand wahrscheinlich durch einen Fehler von mir Zugriff auf meinem Rechner zu bekommen, denn ich hatte ausversehen eine Verbindung für scheinbar ie erlaubt. Und ein paar Stunden später hat sich jemand bei mir beschwer, dass ich bei ihm Portscans machen würde, was defintiv nicht ich seien kann, weil ich solche Progs nicht auf dem Rechner habe. Mein Fehler, der wahrscheinlich dazu führte wurde mir auch erst etwas später bewusst, als ich den rechner schon wieder runtergefahren hatte, aber outpost hatte am nächsten tag die anwendung iexplorer zweimal aufgeführt, einmal den "richtige" und einmal die falsche freigabe von mir. Dummerweise habe ich die sofort gelöscht, damit der nicht eventuell wieder sowas macht. Kann ich jetzt im Nachhinein noch irgendwie nachvollziehen, was genau der auf meinem Rechner gemacht hat???Denn der portscann war bestimmt nicht das einzige...


Und wie bekomme ich mein System vielleicht noch sicherer, denn nach pro stunde blockt outpost mindestens 3.000 "angriffe". Gibt es vielleicht auch Programme, mit denen man offene ports blockt/schliesst??


Denn ich hab auf dem Pc auchnoch das Problem, dass mir mIRC mit Invision bei dem localen portcheck, der bei jedem start gemacht wird, u.a. den prot 3456 als offen angibt. Aber weder Norton antivirus noch TrojanHunter haben etwas auf meinem PC entdeckt. Die Angabe von mIRC muss eigentlich richtig sein, denn auf meinem zweiten rechner(der nicht im Netzwerk ist) zeigt mir mIRC diesen Port nicht an.


 


Wie sollte ich eurer Meinung nach meinen Sachen noch absichern, damit mir in dem Netzwerk nicht wieder sowas passiert???


 


Ich hoffe ihr könnt mir wenigstens teilweise weiterhelfen :)

bei Antwort benachrichtigen
xafford -IRON- „@ Rika: Ein paar kleine Korrekturen und Ergänzungen: Die Firewall würde das...“
Optionen

iron, ich muß dir leider widerprechen und rika recht geben. firewalls
arbeiten grundlegend nach verschiedenen prinzipien (vereinfacht):


  • die einfachsten sind simple und dumme portblocker. sie tun nichts
    anderes, als einen port daran zu hindern pakete zu empfangen oder zu
    senden. dies ist nur sinnvoll, wenn man genau weiß warum man welchen
    port schließen will.

  • die meisten firewalls arbeiten nach dem statefull packet prinzip.
    sie werden mit regeln gesteuert, so weit korrekt. allerdings beziehen
    sich die regeln auf VERBINDUNGSAUFBAU. so bald eine verbindung legitimiert ist, erkennt die firewall die verbindung anhand der
    verbindungsid. dies ist auch dringend nötig, da entgegen landläufiger
    meinung und kenntnis eine verbindung z.b. von clientA an webserver B
    nicht permanente vom port auf client A aus läuft, von der die
    verbindung gestartet wurde, und der server B die verbindung auch nicht
    die ganze zeit über seinen port 80 (http) abwickelt. es läuft ungefähr
    folgendermaßen ab.
    -client startet anfrage z.b. von port 1033 an den server auf port 80
    -webserver antwortet und beide handeln die protokolltypischen werte
    (windowgröße, vberbindungsports, etc) aus.
    -danach läuft die verbindung am server über einen der hohen ports, um
    port 80 für verbindungsversuche anderer clients an port 80 nicht zu
    blockieren.
    - es kann durchaus passieren. daß eine verbindung mehrere verbindungen
    nach sich zieht und mehrere sockets auf verschiedenen ports dazu
    gehören (schau dir mal netstat oder einen funktionierenden sniffer an.

    würden firewalls nun so agieren, wie du es andeutest, so müsstest du
    ständig irgendwelche regeln anpassen, nur um überhaupt eine webseite
    abrufen zu können und dns wäre so gut wie unmöglich, da es nicht über
    tcp, sondern über udp abgewickelt wird, welches gar keine fest etablierte
    verbindung zwischen client und server erlaubt.

  • Proxys. diese arbeiten ähnlich dem statefull packet prinzip (einfach
    gesagt), nur daß sie die protokolle kennen, die sie filtern und
    demnach auch den inhalt der pakete analysieren und die pakete neu
    erstellen.


desktop-firewalls sind meist eine kombination aus allen 3 prinzipien
inklusive einem zusätzlichen feature, das dadurch möglich ist, daß
die DTF auf dem rechner arbeiten, den sie schützen sollen:
sie erlauben verbindungen nicht nach der verbindungsID, sondern nach
dem programm-hash des programmes, das für die verbindung legitimiert
ist. hir ist also die verbindungsid durch den programmhash ersetzt.
die regeln die man einstellt bei einer firewall, egal ob DTF oder ipchains, iptable, Firewall1, Zygnus, etc sind also nur für das blockieren
des verbindungsaufbaues zuständig. ist ein socket aufgebaut und registiert
so erfolgt die zuweisung von ports die für die verbindung notwendig
sind automatisch.
stell dir mal vor, es wäre nicht so:
du setzt von deinem port 3555 (beispiel) eine dns-anfrage an serverX
und dessen port 53 über TCP. dieser antwortet dir über UDP von seinem
port 33555 (UDP), deine firewall würde dies dann gnadenlos blocken,
da sie für diese verbindung keine regel hat (bei standard DENY oder DROP).
PS: über die nomenklatur Hacker - Cracker wird selbst in kreisen des CCC
diskutiert, früher waren hacker welche, die in systeme eindrangen und
cracker welche, die programme knackten.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
FULL ACK -IRON-