Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

Hackerproblem im LAN

Shinji Ikari / 49 Antworten / Flachansicht Nickles

Hi!


Ich bin mit meinem Rechner in einem Lokalem Netzwerk und benutze die freeversion von der outpost firewall. Und meine Firewall blockt sehr viel Angriffe(portscanns/verbindungsversuche). Dabei hat es jemand wahrscheinlich durch einen Fehler von mir Zugriff auf meinem Rechner zu bekommen, denn ich hatte ausversehen eine Verbindung für scheinbar ie erlaubt. Und ein paar Stunden später hat sich jemand bei mir beschwer, dass ich bei ihm Portscans machen würde, was defintiv nicht ich seien kann, weil ich solche Progs nicht auf dem Rechner habe. Mein Fehler, der wahrscheinlich dazu führte wurde mir auch erst etwas später bewusst, als ich den rechner schon wieder runtergefahren hatte, aber outpost hatte am nächsten tag die anwendung iexplorer zweimal aufgeführt, einmal den "richtige" und einmal die falsche freigabe von mir. Dummerweise habe ich die sofort gelöscht, damit der nicht eventuell wieder sowas macht. Kann ich jetzt im Nachhinein noch irgendwie nachvollziehen, was genau der auf meinem Rechner gemacht hat???Denn der portscann war bestimmt nicht das einzige...


Und wie bekomme ich mein System vielleicht noch sicherer, denn nach pro stunde blockt outpost mindestens 3.000 "angriffe". Gibt es vielleicht auch Programme, mit denen man offene ports blockt/schliesst??


Denn ich hab auf dem Pc auchnoch das Problem, dass mir mIRC mit Invision bei dem localen portcheck, der bei jedem start gemacht wird, u.a. den prot 3456 als offen angibt. Aber weder Norton antivirus noch TrojanHunter haben etwas auf meinem PC entdeckt. Die Angabe von mIRC muss eigentlich richtig sein, denn auf meinem zweiten rechner(der nicht im Netzwerk ist) zeigt mir mIRC diesen Port nicht an.


 


Wie sollte ich eurer Meinung nach meinen Sachen noch absichern, damit mir in dem Netzwerk nicht wieder sowas passiert???


 


Ich hoffe ihr könnt mir wenigstens teilweise weiterhelfen :)

bei Antwort benachrichtigen
FULL ACK -IRON-
Rika xafford „wenn wir schon mal dabei sind, mich würde mal interessieren, was ein protokoll,...“
Optionen

Der Zusammenhang ist ein ganz einfacher:

Erinnerst du dich noch an die Zeiten, als Win98 durch ordentlich fragmentierte IP-Pakete in die Knie gezwungen wurde? Microsoft hat diese Lücken zwar gestopft, aber meinst du, sie hätten was dazugelernt? Deshalb hat NIS seit 2001 die Option, fragmentierte IP-Pakete generell zu blocken (und das war SCHEISSE). Seit NIS2003 kann es zwischen relativ normalen und extrem fragmentierten IP-Paketen unterscheiden. Konkret, letztere kommen entweder überhaupt nicht vor oder sind meist auch noch fehlerhaft - wenn also welche kommen, kann man davon ausgehen, dass es sich um einen Angriff handelt. Deshalb: "Fragmented IP packet handling", "Permit all expect suspected attacks"

IGMP wiederum hat die Eigenart, dass es in der Praxis eigentlich so gut wie nie genutzt wird. Dementsprechend gehen wir mal dvon aus, dass der TCP/IP-Stack gegenüber IGMP auch schwächelt, diese Lücken aber noch nicht bekannt sind, da kaum einer IGMP nutzt... Deshalb: "Block IGMP"


Das mit dem SYN-Flooding haste wohl falsch verstanden. Es geht darum, dass die Pakete überhaupt nicht erst den TCP/IP-Stack erreichen, das gilt für malformed IP, IGMP und SYN-Flooding.
Tatsächlich hat NIS immernoch keine SYN-Cookies implementiert (leider...), und die SYN-Cookies von Win2K/XP sind noch etwas unausgereift. Aber das IDS von NIS kann wenigstens ein SYN-Flooding erkennen und setzt die jeweilige IP dann automatisch auf die Blockier-Liste, in diesem Fälle fängt der IDS-Blocker dann die SYN-Pakete schon ab, bevor sie den TCP/IP-Stack erreichen. Bei ZoneAlarm geht das nicht: Die Pakete löchern den TCP/IP-Stack zu Tode, die Auslastung von ZoneAlarm steigt auf 99 Prozent - das SYN-Flooding war noch erfolgreicher als ohne Firewall.

bei Antwort benachrichtigen