Firewall Problem

Matthias Dürholt

Frisch registriert
Hi ihr,
ich habe den Norton Firewall. Aber wenn der aktiv ist kommt immer jeden Tag nach einer bestimmten Zeit die Meldung das er einen Hacker-Angriff geblockt hat. So viele Hacker ? Das kann doch gar nicht sein oder ? Oder hab ich den falsch konfiguriert ? Alle Einstellungen habe ich mal auf Medium gestellt.

Habt ihr einen Tipp ?



Gruß Matthias
 
Hi,

also, Hackerangriff heißt nicht gleich "ein Hacker hat es auf mich abgesehen". Es reicht schon aus, wenn ein Portscan im Internet durchgeführt wird. Die Firewall meldet dann einen Hackerangriff, insbesondere dann, wenn es sich bei dem angepeilten Port um einen typischen Trojanerport (z.B. SubSeven) handelt.

Grundsätzlich ist dies mittlerweile kein Anzeichen mehr, dass jemand explizit versucht, einen Hack auf dem Rechner durchzuführen. Eher ist es so, dass wieder mal jemand ohne Verstand mittels einer downgeloadeten Scansoftware auf der Suche nach einem Opfer ist, welche sich evtl. einen Trojaner eingefangen hat. Mehr nicht.

Um es positiv ausdrücken: Jeder geloggte Angriff ist ein verhinderter Angriff :D

Hier mal ein kleiner Auszug aus meinem Firewalllogfile:

28.05.2002 18:58:12 Port gescannt IPXXXXXXXX TCP(80)
28.05.2002 18:58:12 Verbindungsversuch IPXXXXXXXX TCP(80)
28.05.2002 18:48:51 Verbindungsversuch IPXXXXXXXX TCP(2161)
28.05.2002 18:47:35 Port gescannt IPXXXXXXXX TCP(80)
28.05.2002 18:47:35 Verbindungsversuch IPXXXXXXXX TCP(80)
28.05.2002 18:36:15 Verbindungsversuch IPXXXXXXXX TCP(1520)
28.05.2002 18:28:33 Port gescannt IPXXXXXXXX TCP(80)
28.05.2002 18:28:33 Verbindungsversuch IPXXXXXXXX TCP(80)
28.05.2002 18:14:33 Verbindungsversuch IPXXXXXXXX TCP(1392)
28.05.2002 18:07:42 Verbindungsversuch IPXXXXXXXX TCP(4662)

In einer Stunde 10 Versuche ;)

Mehr zum Thema gibts unter http://www.computerbetrug.de/firewall/allgemein.php?p=0|17|
 
Fast vergessen: Die Einstellung "Medium" sollte grundsätzlich schon korrekt sein.

Aber: Eine PFW ist kein Allheilmittel.

Es gibt nichts schlimmers als trügerische Sicherheit! Deshalb sollte man sich auf alle Fälle über das Thema genau informieren.
 
Danke für die Erklärung Freeman76.
Ich hatte mir echt schon kleine Gedanken gemacht. Weil der Report auf Englisch hatte immer auf einen Trojaner oder Backdoor hingedeutet. Das das auch Portscanner sein können hatte ich nicht gewusst. Es gibt zwar dutzende Hacker aber so schlimm ist es glaub ich doch nicht.
 
Hi Heiko,
werde ich machen.

Ich habe dir eine Mail geschickt mit einer Rückantwort wegen meiner HP und der blacksite. Ist die bei dir angekommen ? Ich hatte 2 mal eine Rückantwort bekommen mit Datum und irgendwas mit wrot. Hoffentlich ist das keine Fehlermeldung. Weil du hast mir doch eine Mail geschickt.


Gruß Matthias
 
@Matthias:
Die NPF ist eine ziemlich gute Firewall. Sie muß richtig konfiguriert sein und die Meldungen, die sie bringt müssen dann auch richtig verstanden werden. Hierzu gibt es erstens die recht umfangreiche Hilfefunktion in dem Programm und zweitens zusätzliche Texte im Installationsverzeichnis, die Dir weiterhelfen. Diese txt.-Dateien lauten:

Hinweise zum Release.txt
nissess.txt
README.txt
Technical Info.txt


Gruss Frank
 
Der Nachteil der NPF ist, daß es keinen Weg zu geben scheint, eine Zusammenfassung des gesamten Regelwerks übersichtlich präsentiert zu bekommen.
 
---------------------
Sorry Leute das ich immer so spät antworten kann. Ich bin Heizungsbauer und wir haben eine Baustelle in Nürnberg :)
---------------------

Ok muss ich mal nachsehen ob ich da mehr rausbekomme in den Dateien. So soll er ja nicht schlecht sein.

Also die Hacker-Angriffe müssen keine Angriffe sein ? Können auch Portscanner sein ? Aber wieso kommt dann bei jeden Ding eine Meldung ? Machen die Scanner dir auch wohl was aus oder ist das ein oberflächlicher Angriff so das der NPF meint das da was gespielt wird ?


@Heiko
Ich hatte von dir eine E-Mail bekommen aber wie gesagt irgendwie nur ein Datum und irgendwas mit wrot oder so. Hat so ausgesehen als wenn das vielleicht eine Bestätigung ist das du die Mail bekommen hast. Naja. Jedenfalls hoffe ich das meine Entschuldigung angekommen ist. Ich hoffe doch das wir uns die nächste Zeit gut verstehen werden oder ? Wir hat dir eigentlich meine HP sonst gefallen ?


Gruß Matthias
 
Hi,

Also die Hacker-Angriffe müssen keine Angriffe sein ? Können auch Portscanner sein ?

:D , entweder ist es ein Angriff oder keiner - wenn es keiner ist wird er auch nicht gemeldet :p

Es sieht so aus: Die Firewall hat ein Intrusion Detection System (IDS), welches sich je nach eingestelltem Überwachungsgrad (Normal, Mittel, Hoch, gar nicht - von FW zu FW verschiedenene Bezeichnungen) beim User meldet. Als Beispiel soll hier wieder der sehr oft vorkommenden Portscan dienen. Wenn Dein Rechner nun mit einem Portscan konfrontiert wird, erkennt das IDS "Aha, das ist nicht normal". Entweder, weil viele Ports, mehrere Standardports (HTTP, FTP, SMTP, POP etc.) oder explizit Trojaner Ports (SubSeven usw.) gescannt werden. Das IDS reagiert also auf Abweichungen vom "normalen" Netzwerkverkehr. Zusätzlich reagiert das IDS je nach Einstellung auch auf Verbindungsversuche, Freigabeanforderungen, Benutzeranmeldungen usw.

Diese erkannten Abweichungen werden dann als Meldung ausgegeben, je höher die Sicherheitseinstellung desto mehr Meldungen wird man erhalten, da das IDS z.B. schon auf den Scan eines Ports reagiert anstatt bei dem Scan von multiplen Ports usw.

Es gibt verschiedene Ansätze bei den IDS (Angriffserkennung), die guten reagieren sowohl auf unbekannte Angriffe als auch auf vorgegebene Muster. Einige halten ein IDS für genial, andere wiederum bezweifeln die Wirksamkeit.

Das IDS bildet bei vielen PFW das Herzstück, grundsätzlich ist aber für die Sicherheit einer FW nicht das IDS sondern das verwendete Ruleset ausschlaggebend. Das IDS jedoch kann auf Angriffe je nach Einstellung und verwendeter Software reagieren, z.B. mit Portsperre, Dienstdeaktivierung usw. Es sei jedoch angemerkt, dass ein IDS nicht auf alles reagiert und reagieren kann. Nur die eingehende Analyse von Logfiles bringt Aufschluss über evtl. erfolgreiche Angriffe. Dies macht aber imho nur bei Firmen mit hohem Sicherheitsanspruch Sinn, denn eine Analyse von Logfiles ist nicht nur mühsam sondern man muss auch Wissen, was man analysiert :D . Trotzdem sollte man auch zu Hause ab und zu die Logfiles überprüfen und auf Unregelmäßigkeiten schauen.

Ich hoffe, damit ein bisschen mehr Klarheit verschafft zu haben.
 
Ja also mit der Erklärung kann ich mir das jetzt auch vorstellen wie das Programm abläuft. Ich hab mich nur noch nicht so oft mit den Firewalls befasst. Ich hatte nie einen gebraucht. Aber vor einen halben Jahr währe es doch besser wenn ich sowas gehabt hätte. Weil ich hab mich aus gaudihalber mal bei AOL angemeldet wegen den 50 Stunden gratis. Und gleich in der ersten Woche hats mich erwischt. :D So blöd wie es auch klingt aber das war in der ersten Woche. Da ist bei mir ein Chatfenster aufgegangen. So eins wie bei SubSeven. Und der hat mir zum Glück nichts gemacht. Ausser einmal in den Ordner Eigene Dateien reingeschaut und hatte Passwörter entdeckt. Aber da lach ich nur drüber. Weil diese Passwörter waren mal für etwas gedacht. Die waren nur schonmal im voraus ausgesucht. Aber ich habe sowieso eigentlich keine Privaten Sachen auf dem Computer unten in meiner Disco und Computerwerkstatt. Ist zwar ein 1,8GHz Computer mit 20GB Festplatte aber ich habe nur wenig drauf. Ist mehr ein Ausstellungscomputer. Naja und wenn die Leute dann immer dran spielen oder ins Internet gehen dann schalten wir am abend dazu noch die Disco-Effekts an und dann ist was geboten. Nur der Mist ist immer wenn die Lampen-Lebezeit aus ist dann kostet mich eine 300Watt Birne wieder bis 40,-DM also 20,-€. Das ist dann wieder weniger lustig.


Oh mann, immer diese lustigen Erfahrungen. Ich hoffe jetzt erstmal das ich beim Hartmann in Neustadt/Aisch meinen Traumberuf anfangen kann. Als Computerfachmann. Im Moment habe ich einen kleinen Service nebenbei am laufen. Ist aber halt nur für unser Dorf gedacht. Ist aber auch bis jetzt jeden Tag eine motz Gaudi. :)
Ich habe seit meinem 6 .Lebensjahr einen Computer. Und jetzt bin ich 19 Jahre. Das ist eine verdammt lange Zeit schon. Neben mir sind ca. 300 CD-ROMs im Regal mit lauter Demos, Treiber und so. Unten drunter sind mittlerweile 25 Computerspiele als Vollversionen. Das macht scho Spaß. Aber manchmal muss ich halt auch nochmal nachfragen. Und jetzt mussich mal wieder weiter surfen. Kostet mich ja nix mehr seit 2 Wochen. 25,-€ und das wars.


Ich hoffe ich habe euch nicht zu lange aufgehalten mit der Story. Wenn ja Sorry :) Ist immer wieder lustig sowas.



Gruß Matthias
 
Ok danke euch allen nochmal für eure Hilfe. :)

In eurem Forum bekommt man super schnelle Hilfe. Dafür würde ich euch die Note 1 geben. Aber ich schätze ihr müsst auch dauernd Online sein oder ?
 
Matthias Dürholt schrieb:
@Heiko
Ich hatte von dir eine E-Mail bekommen aber wie gesagt irgendwie nur ein Datum und irgendwas mit wrot oder so. Hat so ausgesehen als wenn das vielleicht eine Bestätigung ist das du die Mail bekommen hast. Naja. Jedenfalls hoffe ich das meine Entschuldigung angekommen ist. Ich hoffe doch das wir uns die nächste Zeit gut verstehen werden oder ? Wir hat dir eigentlich meine HP sonst gefallen ?
Jo, paßt schon. Wenn Du Deine Lektion gelernt hast.

Homepage: recht nett, falls der Rest wirklich von Dir stammt.
 
Ja eigentlich schon. Naja nicht alles. Ich habe ja mehrere Freunde die ihren Text reinsetzen. Aber die neuen Seiten mit Hilfe mein Computer streikt sind von mir. Ich habe eigentlich vor das ich irgendwas für Interneteinsteiger mache. Aber das dauert noch. Erstmall müssen die 16 Kapitel fertig werden.

Bei manchen Java Scripten habe ich gefragt ob ich die haben darf. Von Beepworld-Hilfe. Naja ich werde jetz mal dann ab ins Bett gehen. Ich habe morgen wieder Gaudi mit meinen Leuten. Bei schönen Wetter sind wir drausen im Garten mit den Computern und machen Internet-Party. Ich habe mir jetzt ein 20Meter langes Netzwerkkabel gekauft. Das langt auf jedenfall bis raus. :) Das kann noch ein Spaß werden. Vor allem der Surround Sound ist stark gemacht. Ich habe mir die 6 Boxen vom Atelco geholt. Die HomeTheater Boxen mit Subwoofer. Also die action bei Medal of Honor oder bei Musik das geht dir schon ziemlich rein. Du meinst wirklich du bist mitten drin. :)

Also gut. Vielleicht bis morgen wenn ich Zeit hab.

Ciao.
 
"An Intrusion Detection System ('IDS') is a system that tries to detect and alert on attempted intrusions into a system or network, where an intrusion is considered to be any unauthorised or unwanted activity on that system or network."
Ich muß also irgendwann und irgendwo festgelegt haben, was ich gerne als "wanted" und "authorised" definiere, damit mein IDS den davon abweichenden Traffic feststellen kann.

Oder - falls Dir ein Text vom BSI lieber ist ;) :
Um solche Abweichungen vom Normalverhalten festzustellen, ist es zunächst notwendig, innerhalb des zu schützenden Systems festzulegen, was ”normales Verhalten” ist. Das Wissen um das normale Verhalten leitet sich aus dem bisherigen Benutzerverhalten ab.
 
:D - Geb ich Dir ja Recht (und dem BSI :lol: ). Aber wir schreiben hier über IDS von PFW-Systemen, welche sich i.d.R. nicht beeinflussen lassen und nach einem vorgegebenen Schema laufen. Bis dato habe ich auch keine PFW installiert, welche mir die IDS-Regeln auf das kleineste Regeln lies. Ist aber nicht der Sinn einer PFW, oder?
 
Zurück
Oben