Viren, Spyware, Datenschutz 11.239 Themen, 94.617 Beiträge

Hackerproblem im LAN

Shinji Ikari / 49 Antworten / Flachansicht Nickles

Hi!


Ich bin mit meinem Rechner in einem Lokalem Netzwerk und benutze die freeversion von der outpost firewall. Und meine Firewall blockt sehr viel Angriffe(portscanns/verbindungsversuche). Dabei hat es jemand wahrscheinlich durch einen Fehler von mir Zugriff auf meinem Rechner zu bekommen, denn ich hatte ausversehen eine Verbindung für scheinbar ie erlaubt. Und ein paar Stunden später hat sich jemand bei mir beschwer, dass ich bei ihm Portscans machen würde, was defintiv nicht ich seien kann, weil ich solche Progs nicht auf dem Rechner habe. Mein Fehler, der wahrscheinlich dazu führte wurde mir auch erst etwas später bewusst, als ich den rechner schon wieder runtergefahren hatte, aber outpost hatte am nächsten tag die anwendung iexplorer zweimal aufgeführt, einmal den "richtige" und einmal die falsche freigabe von mir. Dummerweise habe ich die sofort gelöscht, damit der nicht eventuell wieder sowas macht. Kann ich jetzt im Nachhinein noch irgendwie nachvollziehen, was genau der auf meinem Rechner gemacht hat???Denn der portscann war bestimmt nicht das einzige...


Und wie bekomme ich mein System vielleicht noch sicherer, denn nach pro stunde blockt outpost mindestens 3.000 "angriffe". Gibt es vielleicht auch Programme, mit denen man offene ports blockt/schliesst??


Denn ich hab auf dem Pc auchnoch das Problem, dass mir mIRC mit Invision bei dem localen portcheck, der bei jedem start gemacht wird, u.a. den prot 3456 als offen angibt. Aber weder Norton antivirus noch TrojanHunter haben etwas auf meinem PC entdeckt. Die Angabe von mIRC muss eigentlich richtig sein, denn auf meinem zweiten rechner(der nicht im Netzwerk ist) zeigt mir mIRC diesen Port nicht an.


 


Wie sollte ich eurer Meinung nach meinen Sachen noch absichern, damit mir in dem Netzwerk nicht wieder sowas passiert???


 


Ich hoffe ihr könnt mir wenigstens teilweise weiterhelfen :)

bei Antwort benachrichtigen
FULL ACK -IRON-
Rika -IRON- „Bei all deiner Schwärmerei für die zweifelhaften Fähigkeiten von NIS...“
Optionen

Mir scheint, du hast's mit DTFs nicht ganz so...
Zu deinem Kommentar (3.): Ich selbst betrachte NIS auch nur als zusätzliche Abschirmung. Um nicht zu sagen; ich hab mir grade WinXP hier frisch draufgekloppt. Zuerst habe ich sämtliche möglichen Einstellungen vorgenommen, stets auf Sicherheit bedacht, anschließend habe ich sämtliche Patches eingespielt, anschließend habe ich sämtliche Software draufgespielt, eingestellt, sämtliche erdenkbare Tuningmaßnahmen vorgenommen, dann erst NIS wieder installiert, Updates und Virensignaturen eingespielt und erst dann bin ich erst wieder online gegangen... Dabei sind ich und meine DSL-Leitung EXTREM SAUGGIERIG.
Meine Patchsammlung ist stets aktuell (1 mal am Tag WinUpdate checken, 1 mal pro Woche das komplette Download-Center checken, 1 mal pro Monat durchsuche ich die komplette Technet-Base), ebenso kenne ich alle Versionsnummern meiner Programme aus dem Kopf, checke bei den wichtigsten jeden Tag, ob 'ne Aktualisierung vorliegt. Dazu kommen noch regelmäßiges Vorbeischauen bei BugTraq und intensive Studien von Informationsmaterial. Soweit so gut, von Systemsicherheit kannst du mir nicht mehr viel erzählen - NIS schützt mich nur vor Dingen, die noch da sein könnten, aber wohl eher nicht sind.

Und soweit ich das sehe, ist NIS technisch sehr ausgereift. Die Filter hängen einerseits zwischen NDIS-Driver und TCP-Socket, andererseits auch zwischen Socket- und Application-Layer (von Windows, nicht vom OSI). Konkret: IGMP und fragmented IP sowie der IDS-Totalblocker fangen Pakete ab, bevor sie übrhaupt den TCP/IP-Stack von Windows erreichen. Die, die durchkommen, fallen bei Bedarf noch durch die XP-Firewall (scheiss Teil, nützt nicht wirklich), gehen dann durch die Firewall-Regeln und das IDS durch, ung gelangen dann erst zur Anwendung. HTTP-Daten, eMails und Daten von Instant Messenger wandern noch zusätzlich erst durch einen von NIS bereitgestellten Proxy-Service. Die Tatsache, dass eventuelle malformed packets nicht mal zum TCP/IP-Stack gelangen, lässt z.B. ZoneAlarm alt aussehen - diese bricht deshalb unter einem SYN-Flooding gnadenlos zusammen; NIS stört sich daran nicht mal im geringsten. Und seit NIS2003 nutzt das IDS zusätzlich eine regelmäßig aktualisierte Liste von typischen Muster bekannter (und zum Glück auch schon gestopfter) Unix- und Windows-Exploits.
Leider ist auch NIS2003 nicht ganz perfekt; gegenüber Version 2002 kann man nun z.B. den HTTP_USERAGENT nur noch blocken oder zulassen, aber keinen eigenen String mehr verwenden - ich fand es klasse, jedem Webserver vorzugaukeln, ich hätte Win98 mit IE5 in der Gold-Edition, während ich tatsächlich mit Win2K und IE6b unterwegs war. So long...

Demnach ist der Begriff Placebo-Firewall eher nicht angebracht. Man muss nur die Standardeinstellungen in die Tonne kicken, dann wird auch 'n Schuh draus.

bei Antwort benachrichtigen