Viren, Spyware, Datenschutz 11.242 Themen, 94.694 Beiträge

Hackerproblem im LAN

Shinji Ikari / 49 Antworten / Flachansicht Nickles

Hi!


Ich bin mit meinem Rechner in einem Lokalem Netzwerk und benutze die freeversion von der outpost firewall. Und meine Firewall blockt sehr viel Angriffe(portscanns/verbindungsversuche). Dabei hat es jemand wahrscheinlich durch einen Fehler von mir Zugriff auf meinem Rechner zu bekommen, denn ich hatte ausversehen eine Verbindung für scheinbar ie erlaubt. Und ein paar Stunden später hat sich jemand bei mir beschwer, dass ich bei ihm Portscans machen würde, was defintiv nicht ich seien kann, weil ich solche Progs nicht auf dem Rechner habe. Mein Fehler, der wahrscheinlich dazu führte wurde mir auch erst etwas später bewusst, als ich den rechner schon wieder runtergefahren hatte, aber outpost hatte am nächsten tag die anwendung iexplorer zweimal aufgeführt, einmal den "richtige" und einmal die falsche freigabe von mir. Dummerweise habe ich die sofort gelöscht, damit der nicht eventuell wieder sowas macht. Kann ich jetzt im Nachhinein noch irgendwie nachvollziehen, was genau der auf meinem Rechner gemacht hat???Denn der portscann war bestimmt nicht das einzige...


Und wie bekomme ich mein System vielleicht noch sicherer, denn nach pro stunde blockt outpost mindestens 3.000 "angriffe". Gibt es vielleicht auch Programme, mit denen man offene ports blockt/schliesst??


Denn ich hab auf dem Pc auchnoch das Problem, dass mir mIRC mit Invision bei dem localen portcheck, der bei jedem start gemacht wird, u.a. den prot 3456 als offen angibt. Aber weder Norton antivirus noch TrojanHunter haben etwas auf meinem PC entdeckt. Die Angabe von mIRC muss eigentlich richtig sein, denn auf meinem zweiten rechner(der nicht im Netzwerk ist) zeigt mir mIRC diesen Port nicht an.


 


Wie sollte ich eurer Meinung nach meinen Sachen noch absichern, damit mir in dem Netzwerk nicht wieder sowas passiert???


 


Ich hoffe ihr könnt mir wenigstens teilweise weiterhelfen :)

bei Antwort benachrichtigen
FULL ACK -IRON-
Rika xafford „igmp wird im internet nicht geroutet, es tritt nur in lokalen netzwerken auf...“
Optionen

Ich sag's doch: Niemand braucht IGMP, und ungültige IGMP-Pakete aus 'm Netz 'ner hohen TTL lassen auf 'ne Attacke schließen. (IGMP kann man durch IP tunneln)

Das mit Multicast ist auch klar. Kommt aber nur zum Einsatz, wenn irgendwas live ausgestrahlt wird, also gleichzeitig an viele Rechner gesendet werden soll. Da ich persönlich an solchen "Veranstaltungen" nie teilnehme, sind die jeweiligen Multicast-Ports der Player bei mir grundsätzlich gesperrt. Die Ports für "normalen" Streaming-Transport sind zwar auch per Default geschlossen, haben aber 'ne spezielle Regel für Stateful Inspection.

Das mit dem SYN-Flooding ist so, dass NIS nicht "wirklich" SYN-Cookies implementiert; vielmehr nur 'n einfachen Filter, der auf SYN's anspricht und abzählt - wenn zuviele auf einmal kommen, dann blockiert er automatisch. "Echte" SYN-Cookies gehen da viel weiter...

Und an die Raw Sockets kommt bei mir nur SYSTEM und Admin, aber kein unter 'nen eingeschränkten Account gestarteter Prozess, wie z.B. Trojaner. Bin ja nicht dumm...

Ich kenn ja die ganze Diskussion zwischen Steve Gibson (GRC.COM, ShieldsUp!) und Microsoft über die Raw Sockets.
Tatsächlich bin ich der Ansicht, dass die Raw Sockets bleiben sollten: Man löst ein Problem nicht, in dem man der Mehrheit nicht erlaubt, es auslösen zu können. Statt dessen sollte man die technische Struktur, durch die das Problem möglich wird, neu durchdenken. Tatsächlich hat z.B T-Online schon vorher (sogar vor Win2K) bereits dafür gesorgt, dass man nur IP-Pakete mit der eigenen IP als Absender durch die Leitung jagen konnte. Alles andere hat der Server automatisch verworfen und an die Technikabteilung gemeldet - wenn sowas öfter vorkam, gab's Ärger.
Absolut vorbildlich! Aber AOL... :-|

bei Antwort benachrichtigen