amiga-news ENGLISH VERSION
.
Links| Forum| Kommentare| News melden
.
Chat| Umfragen| Newsticker| Archiv
.

amiga-news.de Forum > Amiga, AmigaOS 4 > Externe Zugriffe überwachen... ??? [ - Suche - Neue Beiträge - Registrieren - Login - ]

-1- [ - Beitrag schreiben - ]

18.08.2003, 22:34 Uhr

Falcon
Posts: 3544
Nutzer
Moin,

über T-DSL bin ich ja quasi online, sobald mein Compi an ist.
Der lädt Genesis in der WB-Startup und geht dann halt online.

Nun fällt mir seit gestern Abend folgendes auf:

Selbst wenn ich gar keinen Browser, FTP-Soft oder sonstwas am
Laufen habe und noch nicht mal am Rechner sitze (er ist eben nur
auf der WB eingeschaltet), dann erfolgen Zugriffe per Netzwerk ?!?

Ich hab' mir eben mal gedacht 'Scahlt doch mal die anderen Rechner
an und schau, was passiert...'...
Zuerst nix. Dann nach ca. 10 Minuten (2 x Amiga, 1 x PC)
seh' ich auf einmal alle TX-, RX-LEDs flackern, was das Zeug hält.

Was ist'n das ?????

Gibt's eigentlich ein Tool a'la Snoopdos für Online- oder
Netzwerk-Verbindungen ?

Ich glaube eigentlich nicht, daß jemand von draußen was mit meinen
Rechnern versucht, zumal ja noch ein Router dazwischen hängt.
Da müßte man ja schon meine IP, die IP des Routers und die
IPs der angeschlossenen Rechner rauskriegen...
Dazu hat der Router ja noch 'ne Firewall eingebaut, bei der
lediglich die Ports 5900 (VNC) und 20/21 (FTP) offen sind.

Aber ich weiß definitiv, daß diese 'Zugriffe' erst seit ca.
vorgestern auftreten. Vorher war das noch nie.

Ciao,

Falcon.
--
Che-Hoa Yuin sagt:
Der Amiga kann alles, was man zum Arbeiten braucht...
... was er nicht kann, braucht man auch nicht !!!!!!!

Meine Homepage: http://home.wtal.de/elasticimages

[ - Antworten - Zitieren - Direktlink - ]

19.08.2003, 00:57 Uhr

Robin
Posts: 1056
Nutzer
Bei der Menge an Viren, Wuermern und Trojanern,die zur Zeit
durchs Internet wueten, wuerde ich mich eigentlich nicht
weiter wundern Zugriffe auf meinen Ports zu sehen ;-)

Aber mehr als eine gut konfigurierte Firewall kann man
doch nun wirklich nicht wollen :-)

Tools kenne ich leider keine die sich damit befassen ...
--
Bild: http://www.amiganiac.net/gfx/twov.png

Two worlds - One Vision

[ - Antworten - Zitieren - Direktlink - ]

19.08.2003, 02:03 Uhr

ylf
Posts: 4112
Nutzer
@Falcon: mach dir keinen Kopf darüber. Durch den Router sind deine Rechner gegen direkte Angriffe von außen prinzipbedingt geschützt. Es ist nicht möglich vom Internet aus auf deine Rechner im LAN zuzugreifen, daß liegt am Prinzip vom Routing. Daher schütz die Firewall im Router eher den Router, obwohl der eher keinen Schutz braucht. ;-)
Das jetzt aber alles im Details auszuführen ist mir zu viel. :D


bye, ylf

[ - Antworten - Zitieren - Direktlink - ]

19.08.2003, 03:01 Uhr

kadi
Posts: 1528
Nutzer
> mach dir keinen Kopf darüber. Durch den Router sind deine Rechner
> gegen direkte Angriffe von außen prinzipbedingt geschützt. Es ist
> nicht möglich vom Internet aus auf deine Rechner im LAN
> zuzugreifen, daß liegt am Prinzip vom Routing. Daher schütz die
> Firewall im Router eher den Router, obwohl der eher keinen Schutz
> braucht. ;-)

> Das jetzt aber alles im Details auszuführen ist mir zu viel.

Schade eigentlich, die Ausführung im Detail wäre am interessantesten, so hört es sich für mich nämlich unplausibel an.

Wieso sollte ein Router vor einem Angriff "prinzipbedingt" schützen?

Offene Ports an denen FTP oder VNC Server lauschen, wie bei Falcon, sind auch hinter einem Router nicht "prinzipbedingt" sicherer...!?

Welche LEDs flackern eigentlich bei dir Falcon? Die vom Switch/HUB?

Wenn man sein DSL-Modem nicht am SWITCH angeschlossen hat, sondern am Router, dann bedeutet ein Flackern der Switch/HUB/Lampen das Traffik im eingenen Netz ist, mit Portscans oder treffern von blaster32 aus dem Internet kann das Flackern der LEDs also IMO nicht zu erklären sein.



[ Dieser Beitrag wurde von kadi am 19.08.2003 editiert. ]

[ - Antworten - Zitieren - Direktlink - ]

19.08.2003, 06:35 Uhr

ylf
Posts: 4112
Nutzer
Zitat:
Original von kadi:
> mach dir keinen Kopf darüber. Durch den Router sind deine Rechner
> gegen direkte Angriffe von außen prinzipbedingt geschützt. Es ist
> nicht möglich vom Internet aus auf deine Rechner im LAN
> zuzugreifen, daß liegt am Prinzip vom Routing. Daher schütz die
> Firewall im Router eher den Router, obwohl der eher keinen Schutz
> braucht. ;-)

> Das jetzt aber alles im Details auszuführen ist mir zu viel.

Schade eigentlich, die Ausführung im Detail wäre am interessantesten, so hört es sich für mich nämlich unplausibel an.

Wieso sollte ein Router vor einem Angriff "prinzipbedingt" schützen?

Muß ich jetzt IP-NAT erklären?

bye, ylf


[ - Antworten - Zitieren - Direktlink - ]

19.08.2003, 09:17 Uhr

Falcon
Posts: 3544
Nutzer
Hi,

also nochmal zu meinen LEDs.
Ich habe im 4000'er eine IOBlix mit Ethernet-Modul. Dessen LEDs
habe ich mir in eine Plastikblende des Towers eingebaut.
Die grüne (TxD) und die rote (RxD) flackern, das ist das Eine.

Am 1200'er hab' ich 'ne PCMCIA-Karte dran, deren LEDs (eine ist für
Rx/Tx und eine für LAN) ebenfalls vorne am Rechner angebracht sind.
Die Rx/Tx-LED flackert ebenfalls und zwar gleichzeitig zu den LEDs
des 4000'ers.

Der PC hat nur eine LAN-Led, die leuchtet, sobald der Rechner
Verbindung zum Router hat.

Ob die Port-LEDs am Router auch flackern, kann ich nicht sagen
(oder noch nicht...), weil mein Router unterm Tisch liegt.

Gleiches gilt für das DSL-Modem.

Ach übrigens:
Ich hab' gestern Abend dann noch stundenlang Snoopdos laufen lassen,
um herauszufinden, was bei mir auf den HDs passiert (deren LEDs
flackern auch ab und an, so als ob ein Browser was in seinen
Cache schreibt), konnte aber nix ermitteln.

Ciao,

Falcon.
--
Che-Hoa Yuin sagt:
Der Amiga kann alles, was man zum Arbeiten braucht...
... was er nicht kann, braucht man auch nicht !!!!!!!

Meine Homepage: http://home.wtal.de/elasticimages

[ - Antworten - Zitieren - Direktlink - ]

19.08.2003, 13:23 Uhr

kadi
Posts: 1528
Nutzer
@ylf

> Muß ich jetzt IP-NAT erklären?

Wär vieleicht ganz gut für das Forum, ja.

Ich weiß was IP/NAT ist und ich weiß so ungefärhr wie das funktioniert...aber warum man sich deswegen vor Angriffen "keinen Kopf darüber" machen braucht und warum wegen IP/NAT der Rechner "gegen direkte Angriffe von außen prinzipbedingt geschützt" ist.....

...das sind die Punkte, die ich nicht plausibel finde.

Ich habe schon viel über die vorteile eines IP-Filters, der einfach Ports blockt, gelesen und verstehe, warum Blaster32 zum Beispiel bei gut konfiguriertem IP/Filter ein Windowssystem nicht hätte infizieren können. (Weil das IP-Paket, das den Bufferoverflow im RPC-Service ausführt, den RPC-Service nicht erreichen kann, der IP-Filter blockt ja den Port.)

Ich verstehe auch, das die meisten Router einen vorkonfigurierten IP-Filter eingebaut haben und deshalb gegen genau diesen Wurm sicher waren.

Frage:
Wenn ich bei meinem Router den IP-Filter abschalten täte oder Port 135 im IP-Filter öffnen würde, könnte der Wurm Blaster32 dann einen WindowsXP Rechner hinter den Router infizieren? Oder wäre durch IP/NAT dieser effektiv aufgehalten worden?

Gegen normale Viren, Email Würmer und Backdor-servern kann ein IP/NAT Router auf keinen Fall helfen...ein restriktiv konfigurierter IP-Filer kann den Wurm zumindest an der Kommunikation mit dem Internet hindern.

@Flacon

> Ich hab' gestern Abend dann noch stundenlang Snoopdos laufen
> lassen, um herauszufinden, was bei mir auf den HDs passiert (deren
> LEDs flackern auch ab und an, so als ob ein Browser was in seinen
> Cache schreibt), konnte aber nix ermitteln.

Hast du SAMBA laufen, oder an deinen PCs ein Laufwerk freigegeben oder diesen Service installiert? Ich hab so im Hinterkopf, das PCs manchmal in regelmäßigen Abständen die anderen Rechner im Lan kontakten, dann flackern natürlich die LEDs.

Stoppt das Flackern wenn die PCs nicht laufen?

Ansonsten kann man mit netstat abfragen welche Services lauschen und welches Programm dafür verantwortlich ist.
Da ein Trojaner ja auch nur ein Server ist, sollte so einer auch mit aufgelistet werden. Natürlich auch alle "guten" Seveices, die nachts ohne Aufforderung durch die gegend funken und die LEDs flackern lassen.

Bei MiamiDX gibt man in die Shell netstat ein, ob und wie das bei Genesis geht, weiß ich leider nicht.

MiamiNetStat -anO

Der Output gibt darüber auskunft, was an deinen Ports lauscht, bei mir lauscht zum Beispiel der "auth" service an Port 113 und ist von MiamiDX gestartet worden.

MiamiNetStat -O

Damit kannst du dir jedes Programm ausgeben lassen, das zur Zeit eine netzverbindung aufgebaut haben. Wenn also ein Browser aktiv im Netz seiten läd und ein VNC Client eine Verbindung zum Server sucht, dann gibt MiamiNetStat -O zum Beispiel so eine Zeilen aus:
tcp 0 0 amigaxxx http://www.heise.de.http IBrowseNetwork ESTABLISHED
tcp 0 0 amigaxxx penguin.amigaxxx.5901 VVA ESTABLISHED

[ Dieser Beitrag wurde von kadi am 19.08.2003 editiert. ]

[ - Antworten - Zitieren - Direktlink - ]

19.08.2003, 15:29 Uhr

DrNOP
Posts: 4118
Nutzer
Zitat:
Original von kadi:
@ylf

> Muß ich jetzt IP-NAT erklären?

Wär vieleicht ganz gut für das Forum, ja.

Jepp. Und selbst wenn nicht hier, dann doch für's Glossar ;)


@kadi:
restriktiv konfigurierter IP-Filter = Firewall ?

[ - Antworten - Zitieren - Direktlink - ]

19.08.2003, 16:51 Uhr

Falcon
Posts: 3544
Nutzer
Hi,

also das passiert auch, wenn nur 1 Rechner des Netzwerkes
eingeschaltet ist.

Ich habe KEIN Samba installiert, da der PC erst seit 2 Tagen,
genaugenommen richtig erst seit heute Mittag im Netz aktiv ist.

Aber egal, ob der 4000'er oder 1200'er eingeschaltet ist, nach
'ner Zeit flackern halt die LEDs, obwohl weder FTP, noch Netzwerk-
Laufwerke oder -Drucker, bzw. ähnliches angemeldet sind.
Jeder Rechner hängt nur 'für sich' am Router.


Ciao,

Falcon.
--
Che-Hoa Yuin sagt:
Der Amiga kann alles, was man zum Arbeiten braucht...
... was er nicht kann, braucht man auch nicht !!!!!!!

Meine Homepage: http://home.wtal.de/elasticimages

[ - Antworten - Zitieren - Direktlink - ]

20.08.2003, 00:04 Uhr

kadi
Posts: 1528
Nutzer
> @kadi:
> restriktiv konfigurierter IP-Filter = Firewall ?

Ja und nein.

Ein IP-Filter ist ein Teil des TCP/IP Stacks und schließt eigentlich nur Ports. Man darf natürlich nicht alle Ports schließen, weil man dann ja nicht mehr surfen kann, einige bleiben also offen. Sowohl Miami alsauch MiamiDX haben einen IP-Filter in der Reiterkarte Database/IP-Filter. Den sollte man auf jeden Fall konfigurieren, wenn man mit dem Amiga direkt (also ohne Router) am Netz ist.

Fachleute sagen, das eine "Firewall" keine Software ist, auch kein IP-Filter und auch kein Gerät (Rechner, Router), sondern ein Konzept.

Geräte wie eigene Firewall-Rechner oder Firewall-Router und Programme wie IP-Filter, Intrusion-detectction Software, Virenscanner und Paket sniffer/analyser können zum Konzept "Firewall" gehören, wie auch Regeln, die die Mitarbeiter oder die/den User betreffen (keine Emailanhänge öffnen).

Ein IP-Filter oder ein Proxy, oder ein NAT-Router sind also Bestandteile des Konzeptes, das man Firewall nennt. Auch kann ein Firewall Konzept nur aus einem Router mit sorgsam konfiguriertem IP-Filter bestehen.


[ - Antworten - Zitieren - Direktlink - ]

20.08.2003, 08:05 Uhr

ylf
Posts: 4112
Nutzer
Zitat:
Original von kadi:
@ylf

> Muß ich jetzt IP-NAT erklären?

Wär vieleicht ganz gut für das Forum, ja.

Ich weiß was IP/NAT ist und ich weiß so ungefärhr wie das funktioniert...aber warum man sich deswegen vor Angriffen "keinen Kopf darüber" machen braucht und warum wegen IP/NAT der Rechner "gegen direkte Angriffe von außen prinzipbedingt geschützt" ist.....

...das sind die Punkte, die ich nicht plausibel finde.

Na denn mal los ... gucken, ob ich wieder eine kleine nette Geschichte hinkriege.

IP-NAT bedeutet Internet-Protokoll-Network-Adress-Translation

Stellen wir uns mal eine Firma (Netzwerk) vor. Es gibt verschiedene Abteilungen (Rechner) und eine Poststelle (Router/Gateway), über die sämtliche Ein- und Ausgehende Post (Internet) geht. Wenn jetzt Abteilung A (Rechner1) ein Prospekt (z.B. eine HTML Seite) von Firma B haben möchte, dann füllt A die Bestellkarte aus mit Firma B als Anschrift und Abteilung A als Absender. Diese Postkarte wird zur Postelle geleitet. In der Postelle wird die Postkarte in einen Umschlag gesteckt, dieser bekommt als Anschrift Firma B, als Absender "unsere Firma" und eine laufende Nummer. Diese laufende Nummer wird auch an eine große Tafel in der Poststelle geschrieben mit der Bemerkung "für Abt. A". Wenn jetzt als Antwort das gewünschte Prospekt (unsere HTML-Seite) in der Poststelle ankommt, so ist dieses wieder mit der laufenden Nummer versehen. Anhand der laufenden Nummer und der Tafel in der Poststelle kann unsere Poststelle nachvollziehen, daß das Prospekt für Abt. A ist und packt das in einen Umschlag für interne Post, welcher dann logischerweise an Abt. A adressiert ist. So kommt Abt. A zu ihrem Prospekt oder was auch immer. Mit den anderen Abteilung funktioniert das genauso.
Nun kommt ein direkter Angriff von außen. Es ist also jemand so unverschämt und schickt eine Briefbombe an "unsere Firma". Diese Briefbombe hat natürlich, wie jedes andere Poststück auch, eine laufende Nummer. In der Poststelle von unserer Firma wird die laufende Nummer von der Briefbombe mit den Nummern auf der Tafel verglichen und zwangsläufig keine Übereinstimmung gefunden. Nun ist unsere Poststelle aber ein Computer und Computer sind doof. Die Poststelle wird also niemals auf die Idee kommen und alle Abteilungen abtingeln, um zu fragen , wer denn eine Briefbombe bestellt hat. Stattdessen wird nach Schema F verfahren, Computer lieben Schema F, das können sie am besten und die Briefbombe landet im Papierkrob der Poststelle (Datennirvana des Routers), der atombombenfest ist.
Anderes Szenario. Firma B war doch keine so nette und hat uns anstelle des gewünschten Prospektes das neuste Produkt von Wau-TV (NDR2 läßt grüßen)geschickt, selbstinstallierende Hintertür im Briefumschlag. Dieses geniale Produkt findet natürlich, Dank der Poststelle (Router), seinen Weg in Abt. A. Von nun an erfreuen sich die Kollegen in Abt. B an der schönen Aussicht durch "Hintertür" auf die in Abt. A arbeitenden Kolleginnen. Während nachts die Firma B ums Haus schleicht und vergebens nach der Wau-TV-Tür sucht.

ersma, ylf

[ - Antworten - Zitieren - Direktlink - ]


-1- [ - Beitrag schreiben - ]


amiga-news.de Forum > Amiga, AmigaOS 4 > Externe Zugriffe überwachen... ??? [ - Suche - Neue Beiträge - Registrieren - Login - ]


.
Impressum | Datenschutzerklärung | Netiquette | Werbung | Kontakt
Copyright © 1998-2024 by amiga-news.de - alle Rechte vorbehalten.
.