ZoneAlarm

[t4.]

So, habe jetzt also endlich mal was für meine Sicherheit getan - nein, nicht die Vespen verkauft, sondern ZoneAlarm installiert. Jetzt wird mir ein bisschen bange, wenn ich sehe, dass innerhalb von 35 Minuten 29 mal versucht wurde, auf meinen Rechner zuzugreifen.

Meine Fragen:

- was sind die UDP-Ports 1025 bis 1036 (da wollen die Jungs drauf)?

- kann ich aufgrund der "feindlichen" IP sehen, wer sich dahinter verbirgt? Gibt's dafür ein laientaugliches Programm?

[karoo]

Unter Win2000 gibts dafür den Befehl "nslookup" in der Eingabeaufforderung (unter Win98 etc. möglicherweise auch, da kann ich aber grad nicht nachschauen). Einfach "nslookup xxx.xxx.xxx.xxx" mit der IP-Adresse eingeben, dann spuckt er dir den Namen dazu aus.

Ist aber in 99,9% der Fälle alles andere als aussagekräftig... Wenns von nem Dial-Up-Zugang (also Modem, ISDN, DSL etc..) kommt kriegst du kaum was raus, höchstens von welcher Stadt aus er sich eingewählt hat. Und das hilft schonmal gar nix Nützt erst was, wenn jemand wirklich versucht mit aller Anstrengung in deinen Rechner einzudringen, dann kannst du ne Anzeige an seinen Provider schicken.

Mit diesen Connect-Versuchen muss man heutzutage einfach leben...

Zu den UDP-Ports die du angeführt hast hab ich auf die Schnelle kein gängiges Protokoll gefunden, könnten höchstens irgendwelche Verbindungsversuche zu Würmern/Trojanern/etc. sein...

Zeigt ZoneAlarm an ob ein Programm/Prozess auf deinem Rechner diese Ports für Verbindungen von aussen offen hält? Kenn mich mit diesen Personal Firewalls nicht aus, geh nur über Gateways ins INet...

[t4.]

Jau, danke. Schon mal nicht schlecht, der Tipp. Unter 98 gibt's nslookup leider offensichtlich nicht. Und übers LAN komme ich von meiner XP-Kiste offensichtlich nicht mit nslookup ins Netz (Netzzugangsrechner ist der 98er (nur ISDN-Karte, ZoneAlarm und Betriebssystem); "Arbeitsplatz" ist die XP-Kiste, von wo aus ich übers LAN den Netzzugang des 98er nutze). Ist wohl doch für 'nen Netz-DAU wie mich zu hoch ...

Vielleicht kommen ja noch andere Tipps ...

[primavera]

Tja, das Problem liegt schon in der Konstellation.

Win9X ist nicht wirklich "Netzwerkfähig" - das Routen von IP-Paketen versteht Win9X eben nicht richtig!

Um einen großen Schritt in Richtung Sicherheit zu machen, würde ich es unterlassen mit der Win98 Kiste ins Netz zu gehen!

Da fallen mal eben fast alle Zugriffsversuche flach bzw. weg, da nur Win9X diese Scheunentore offen lässt!

primavera!

[Dokma]

Bei mir läuft seit zwei Jahren die "Tiny Personel Firewall".

Fragt mich wenn ein Programm erstmals nach draussen telefonieren will.

Dann kann man wunderschön Regel erstellen ob man das künftig immer oder nur dieses mal zulassen/blockieren möchte. Zone Alarm war nicht schlecht aber leider mag es mein WinME nicht.

Portlisten:

Erstens

Zweitens

Zonealarmhelp:

Hat mir damals auch ein wenig weitergeholfen.

[Lacknase]

Meine Fragen:

- was sind die UDP-Ports 1025 bis 1036 (da wollen die Jungs drauf)?

Das kann alles mögliche sein. Interessant wäre es, zu wissen, ob das die source- oder destination-Ports sein sollen. Solange da aber bei Dir kein service läuft, ist es total Banane. Wo nix ist, kann man nichts holen.

Das Problem ist aber, wie man sehen kann, ein psychologisches: Viele sogenannten Desktop-Firewalls melden jedes ankommende Paket erstmal als Angriff. Das verursacht Panik beim Nutzer und zugleich auch das wohlige Gefühl, sein Geld und/oder seine Zeit richtig investiert zu haben. Außerdem können die Bekannten ja auch nicht ohne diesen perfekten Schutz leben, also sofort anrufen ...

In den meisten Fällen sind die gemeldeten Pakete aber nur die Antworten auf Anfragen, die man selbst generiert hat, bspw. als man eine Webseite betrachten, seine Post lesen oder einfach nur rumdaddeln wollte.

Bei einer Einwahl mit dynamischer Adressvergabe (wie bei den meisten Providern üblich), ist es wahrscheinlich, daß man nach der Einwahl noch die Pakete von Verbindungen seines Vorgängers bekommt. Das ist nichts schlimmes und schon gar kein Angriff.

- kann ich aufgrund der "feindlichen" IP sehen, wer sich dahinter verbirgt? Gibt's dafür ein laientaugliches Programm?

Nein.

Wenn ich Dir einen Tip geben darf: deinstalliere den Mist und konfiguriere Deinen Rechner richtig. Der erste Weg zur Sicherheit lautet "Komplexitätsreduktion". Du baust Komplexität auf. Ein Paketfilter/Portfilter/$MAGICPROGGIER das im User-Space des _zu schützenden_ Rechners läuft, macht die Kiste im selben Maß sicherer, wie Ralleystreifen einen Roller beschleunigen.

Weitere Infos:

Zu Herrn Gibson ...

... und nur für Dich

Man beachte auch die weiterführenden Hinweise letztgenannten Links ...

---

Vom Fragenden ganz unbeabsichtigt liest sich der Beitrag eines "Laien" zum Thema "Sicherheit in TCP/IP-Netzwerken" aus der Sicht einer Fachperson leider nicht selten so: "Mein Haus steht an einer öffentlichen Straße. Ich möchte nicht, daß man das Haus von dort aus sehen kann. Ich habe gehört, daß man mit Hilfe von Taschenlampen auch bei ausgeschalter Sonne, Mond und Beleuchtung mein Haus sehen kann. Wie kann ich mich nun schützen?"

Die Antwort, die der Laie hören will, lautet: "Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm."