Re: fremder auf meinem rechner
Hallo gerhard, habe deine mail mit sehr viel interesse gelesen und gebe dir in einigen punkten auch recht, aber einiges sehe ich etwas anders. ein firewall benötigt. du glaubst gar nicht was der 'einbrecher' bei mir für einen schaden angerichtet hat. ich kann nur empfehlen, rechner IMMER mit firewall. es gibt einfach zu viele böse buben. Wie ist der Eindringling in deinen Rechner gekommen? Er ist warscheinlich über den port 137 gekommen. der Samba Server war da das schlupfloch. Was hattest du alles an Diensten am laufen? Wieso hattest du diese am laufen, hast gewußt das sie laufen? Es laufen so einige dienste. Samba, nfs, apache, dhcp, dns... Ich kann die diesnste aber auch nicht abschalten. ist halt ein server. Versuche diese Fragen zu beantworten, und du wirst der Ursache für dein Problem nahe kommen. Es läßt sich vermutlich auf mangelnde Sorgfalt bei der Konfiguration der Dienste zurückführen. Sorgfältig konfiguriert sind alle dienste. Jedoch hatte/habe ich schlupflöcher in meiner konfiguration. Nicht aus 'böswilliger absicht', ehr aus unwissenheit. Bspl. Samba läuft nur auf meinem internen Netz (interface = 192.168.1.1/255.255.255.0), hatte es jedoch nicht aktiviert (bind interface only = yes). ich wusste es einfach nicht. Jetzt verwendest du eine Firewall (eigentlich ist es ein Paketfilter) um dieses Problem zu lösen. Du übersiehst aber das ein Paketfilter nicht dazu da ist, schlecht konfigurierte Systeme zu kaschieren. das ist wohl richtig. Um diesem Problem beizukommen sollte man zuerst nachdenken, welche Dienste man im anbieten will. Dann denkt man darüber nach, ob diese Dienste nur im lokalen Netz angeboten werden sollen, oder auch im Internet. meine dienste werden alle nur lokal angeboten. deshalb kann ich die firewall ja auch sehr dicht machen. Wenn man diese Fragen beantwortet hat, schaltet man alle nicht benötigten Dienste ab (indem man zB die dazugehörigen Programme deinstalliert). Die anderen werden gemäß der Vorgaben konfiguriert, also man sorgt zB dafür das Dienste die nicht im Internet angeboten werden sollen, nicht am entsprechenden Interface lauschen. Zusätzlich konfiguriert man die Zugangsberechtigung zu diesem Dienst möglichst restriktiv. Letzteres gilt selbstverständlich für Dienste die im Internet angeboten werden sollen. da gebe ich dir auch recht. ist bei mir auch so geschehen. alles (fast alles) was nicht benötigt wird ist überhaupt nicht auf meinem server vorhanden. Das gleiche gilt auch für die workstation. Wenn eine Software die Beschränkung auf einzelne Interfaces nicht anbietet, sollte man sich zuerst nach Alternativen umsehen, die dieses Feature anbieten. Sollte man keine finden könnte ein Paketfilter zum Einsatz kommen. Allerdings sollte man den Dienst so konfigurieren, daß er auch ohne Paketfilter kein Scheunentor darstellt. auch richtig. ein scheunentor habe und hatte ich auch nicht. den 'einbrechter' hat auch ein schlupfloch genügt. Wenn man Dienste im Internet anbietet empfiehlt es sich *dringendstens* eine der einschlägigen Security Mailinglisten zu abonnieren. Im Fall von Debian sollte es mindestens debian-security sein. ok. aber ich biete nix im internet an. Wie du siehst, wenn jemand keinerlei Dienste anbieten will, und dies auch nicht tut, braucht er eine Firewall genau so nötig wie ein Hühnerauge am Fuß (der X-Server kann auch mit dem Parameter -nolisten tcp aufgerufen werden, damit er nicht am Netz lauscht). da muß ich dir auf das schärfst widersprechen. wenn dienste laufen, und ich rede hier nicht von stand allone workstations sonder von servern, sind immer löcher möglich. wenn meine firewall/paketfilter alle unnötigen ports sperrt und das system noch vernünfig konfiguriert ist ist die sicherheit einfach größer. es schadet ja nicht. warum wird sonst soviel entwicklungsenergie in iptables gesetzt? Wenn jemand Dienste im Internet anbieten will, hat er bestimmt kein Interesse diese via Firewall zu sperren. das ist schon klar. Im wesentlichen kann man sagen, daß auf einer Workstation keine Firewall (oder Paketfilter) benötigt werden. solange diese nicht im internet ist - ja. Denn merke: Eine Firewall ist ein Konzept zur Trennung von Netzwerken und eine Workstation ist kein Netz. jaja. s.o. bye Gerhard cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Am 03.12.2002 11:27:51, Roland Kruggel schrieb: Wie ist der Eindringling in deinen Rechner gekommen? Er ist warscheinlich über den port 137 gekommen. der Samba Server war da das schlupfloch. Wahrscheinlich? Hast Du Anhaltspunkte dafuer? Mich wuerde interessieren, ob das wirklich moeglich ist. Allein die Tatsache, dass ein Interface auch nach draussen lauscht, ist noch kein Grund, hier das Einfallstor zu sehen. Daher die Anfrage, ob Du genauere Anhaltspunkte hast, _wie_ der Weg von draussen nach drinnen erfolgte. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht... -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Wahrscheinlich? Hast Du Anhaltspunkte dafuer? Mich wuerde interessieren, ob das wirklich moeglich ist. Allein die Tatsache, dass ein Interface auch nach draussen lauscht, ist noch kein Grund, hier das Einfallstor zu sehen. Daher die Anfrage, ob Du genauere Anhaltspunkte hast, _wie_ der Weg von draussen nach drinnen erfolgte. jain. im logfile sind in unregelmäßigen abständen (1-4 minuten) einträge aufgetreten. weis nicht mehr genau den text. es ging um einen service c und port 137. da ich den rechner komplett neu aufgesetzt habe, ist der log natürlich weg. jedenfalls schaltetet der 'einbrecher' meine festplatte ab. die fuhr plotzlich runter. dann ging nix mehr. seit der aktiven firewall ist ruhe. was der böse bube/mädel jedoch wirklich angestellt hat weiß ich nicht. werde ich wohl auch nicht mehr rausfinden. ehrlich gesagt habe ich auch da nicht so tiefgreifende kenntnisse. cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
On Mon, 2 Dec 2002, Roland Kruggel outgrape: Das habe ich in einer früheren Mail auch so ähnlich gesagt. Ich wollte lediglich sagen, daß ein Paketfilter bei einem sicheren System kein Muß ist. Das habe ich auch mal gedacht. ich wollte mit meiner äußerung nur sagen, daß jeder rechner der irgenwie mit einem zweiten, nicht vertrauenswürdigen, verbunden ist (z.b. internet) auf jeden fall ein firewall benötigt. du glaubst gar nicht was der 'einbrecher' bei mir für einen schaden angerichtet hat. ich kann nur empfehlen, rechner IMMER mit firewall. es gibt einfach zu viele böse buben. Wie ist der Eindringling in deinen Rechner gekommen? Was hattest du alles an Diensten am laufen? Wieso hattest du diese am laufen, hast gewußt das sie laufen? Versuche diese Fragen zu beantworten, und du wirst der Ursache für dein Problem nahe kommen. Es läßt sich vermutlich auf mangelnde Sorgfalt bei der Konfiguration der Dienste zurückführen. Jetzt verwendest du eine Firewall (eigentlich ist es ein Paketfilter) um dieses Problem zu lösen. Du übersiehst aber das ein Paketfilter nicht dazu da ist, schlecht konfigurierte Systeme zu kaschieren. Um diesem Problem beizukommen sollte man zuerst nachdenken, welche Dienste man im anbieten will. Dann denkt man darüber nach, ob diese Dienste nur im lokalen Netz angeboten werden sollen, oder auch im Internet. Wenn man diese Fragen beantwortet hat, schaltet man alle nicht benötigten Dienste ab (indem man zB die dazugehörigen Programme deinstalliert). Die anderen werden gemäß der Vorgaben konfiguriert, also man sorgt zB dafür das Dienste die nicht im Internet angeboten werden sollen, nicht am entsprechenden Interface lauschen. Zusätzlich konfiguriert man die Zugangsberechtigung zu diesem Dienst möglichst restriktiv. Letzteres gilt selbstverständlich für Dienste die im Internet angeboten werden sollen. Wenn eine Software die Beschränkung auf einzelne Interfaces nicht anbietet, sollte man sich zuerst nach Alternativen umsehen, die dieses Feature anbieten. Sollte man keine finden könnte ein Paketfilter zum Einsatz kommen. Allerdings sollte man den Dienst so konfigurieren, daß er auch ohne Paketfilter kein Scheunentor darstellt. Wenn man Dienste im Internet anbietet empfiehlt es sich *dringendstens* eine der einschlägigen Security Mailinglisten zu abonnieren. Im Fall von Debian sollte es mindestens debian-security sein. Wie du siehst, wenn jemand keinerlei Dienste anbieten will, und dies auch nicht tut, braucht er eine Firewall genau so nötig wie ein Hühnerauge am Fuß (der X-Server kann auch mit dem Parameter -nolisten tcp aufgerufen werden, damit er nicht am Netz lauscht). Wenn jemand Dienste im Internet anbieten will, hat er bestimmt kein Interesse diese via Firewall zu sperren. Im wesentlichen kann man sagen, daß auf einer Workstation keine Firewall (oder Paketfilter) benötigt werden. Denn merke: Eine Firewall ist ein Konzept zur Trennung von Netzwerken und eine Workstation ist kein Netz. bye Gerhard -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
On Fri, 29 Nov 2002, Dirk Hartmann verbalised: --Am Friday, November 29, 2002 18:59:36 +0100 schrieb Gerhard Schromm [EMAIL PROTECTED] : Man kann auch an einem Rechner ohne laufende Dienste arbeiten. So ein Gerät kann man zum Beispiel Workstation nennen. Ja, aber eine Workstation ohne X ist irgendwie subobtimal :-) und X ist ein Server. Ok, allerdings gibt es Leute die das Arbeiten ohne X als Optimum empfinden. Anderes Beispiel einen einfachen DSL-Router der nur routet und nat macht. Alternativ kann man auch viele Dienste nur an bestimmte Interfaces binden. Dann ist nach Außen auch keine Tür vorhanden. Das habe ich in einer früheren Mail auch so ähnlich gesagt. Ich wollte lediglich sagen, daß ein Paketfilter bei einem sicheren System kein Muß ist. bye Gerhard -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
kann. Es mag hinter'm Hindukusch im koreanischen Sumpf anders zugehen. Aber hierzulande benutzen die Leute Türen und schliessen ab. Ein Paketfilter ist absolut überflüssig, wenn man keinerlei Dienste laufen hat. Es gibt schlicht und ergreifend keine Löcher in der Mauer, in die man Türen zum abschließen einbauen muß. du kannst ja auch den rechner ausschalten wenn du keinerlei dienste laufen hast. cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Am Die, 2002-11-26 um 15.45 schrieb Roland Kruggel: kann. Es mag hinter'm Hindukusch im koreanischen Sumpf anders zugehen. Aber hierzulande benutzen die Leute Türen und schliessen ab. Ein Paketfilter ist absolut überflüssig, wenn man keinerlei Dienste laufen hat. Es gibt schlicht und ergreifend keine Löcher in der Mauer, in die man Türen zum abschließen einbauen muß. du kannst ja auch den rechner ausschalten wenn du keinerlei dienste laufen hast. Es soll Leute geben, die ihren Rechner als Workstation verwenden. Die brauchen dann in der Regel auch keine Serverdienste. -- Matthias Hentges [www.hentges.net] - PGP + HTML are welcome ICQ: 97 26 97 4 - No files, no URLs My OS: Debian Woody: Geek by Nature, Linux by Choice -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
On Tue, 26 Nov 2002, Roland Kruggel spake thusly: kann. Es mag hinter'm Hindukusch im koreanischen Sumpf anders zugehen. Aber hierzulande benutzen die Leute Türen und schliessen ab. Ein Paketfilter ist absolut überflüssig, wenn man keinerlei Dienste laufen hat. Es gibt schlicht und ergreifend keine Löcher in der Mauer, in die man Türen zum abschließen einbauen muß. du kannst ja auch den rechner ausschalten wenn du keinerlei dienste laufen hast. Man kann auch an einem Rechner ohne laufende Dienste arbeiten. So ein Gerät kann man zum Beispiel Workstation nennen. Das mit den (Internet)-Diensten nennt man Server. Um so etwas im öffentlichen Netz zu betreiben, sollte man ein Mindestmaß von Grundlagenwissen haben. Gerhard -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
--Am Friday, November 29, 2002 18:59:36 +0100 schrieb Gerhard Schromm [EMAIL PROTECTED] : On Tue, 26 Nov 2002, Roland Kruggel spake thusly: Ein Paketfilter ist absolut überflüssig, wenn man keinerlei Dienste laufen hat. Es gibt schlicht und ergreifend keine Löcher in der Mauer, in die man Türen zum abschließen einbauen muß. du kannst ja auch den rechner ausschalten wenn du keinerlei dienste laufen hast. Man kann auch an einem Rechner ohne laufende Dienste arbeiten. So ein Gerät kann man zum Beispiel Workstation nennen. Ja, aber eine Workstation ohne X ist irgendwie subobtimal :-) und X ist ein Server. Anderes Beispiel einen einfachen DSL-Router der nur routet und nat macht. Alternativ kann man auch viele Dienste nur an bestimmte Interfaces binden. Dann ist nach Außen auch keine Tür vorhanden. -- Dirk Hartmann [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Hallo Roland, Am 13:28 2002-11-21 +0100 hat Roland Kruggel geschrieben: Hast Du in der smb.conf auch: bind interfaces only = Yes AFAIK ist das noetig, damit samba auch wirklich nur auf den lokalen Interfaces lauscht. nein. habe ich nicht. werde ich sofort eintragen. Habe heute einen neuen samba-Server aufgesetzt und bin nahezu verzweifelt !!! Wenn Du 'bind interfaces only = Yes' in die smb.conf eintraegst, darfst Du NICH mit swat auf die Datei zugreifen !!! Hatte alles Manuell eingerichtet und war der Meinung, das der BUG seit SLINK mittlerweile behoben ist... Von wegen. Der Developper von swat ist die groeste Pfeife die es gibt. Anstatt Settings, die das Programm nicht handhaben kan ungeändert zu uebernehmen, KILLT das Teil alles raus. Habe heute rund 6 Stunden damit verbracht, bis mir dieser BUG wieder eingefallen ist... Michelle P.S.: Webmin ist auch nicht besser... -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Michelle Konzack schrieb am Samstag, 23. November 2002 um 11:13:05 +0200: Am 13:28 2002-11-21 +0100 hat Roland Kruggel geschrieben: bind interfaces only = Yes AFAIK ist das noetig, damit samba auch wirklich nur auf den lokalen Interfaces lauscht. nein. habe ich nicht. werde ich sofort eintragen. Habe heute einen neuen samba-Server aufgesetzt und bin nahezu verzweifelt !!! [...] Habe heute rund 6 Stunden damit verbracht, bis mir dieser BUG wieder eingefallen ist... Da ist es schön wenn man ein Backup seiner Konfigurationsdateien hat ... :-) -- Heute ist nicht alle Tage, ich komm' wieder, keine Frage!!! Joerg Linux poses a real challenge for those with a taste for late-night hacking (and/or conversations with God). -- Matt Welsh -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
On Sat, 23 Nov 2002 the mental interface of Michelle Konzack told: Hallo Roland, Am 13:28 2002-11-21 +0100 hat Roland Kruggel geschrieben: Hast Du in der smb.conf auch: bind interfaces only = Yes AFAIK ist das noetig, damit samba auch wirklich nur auf den lokalen Interfaces lauscht. nein. habe ich nicht. werde ich sofort eintragen. Habe heute einen neuen samba-Server aufgesetzt und bin nahezu verzweifelt !!! Wenn Du 'bind interfaces only = Yes' in die smb.conf eintraegst, darfst Du NICH mit swat auf die Datei zugreifen !!! Hatte alles Manuell eingerichtet und war der Meinung, das der BUG seit SLINK mittlerweile behoben ist... Von wegen. Der Developper von swat ist die groeste Pfeife die es gibt. Hack den source ! HAND -- The way to source is always uphill! -unknown- msg26612/pgp0.pgp Description: PGP signature
Re: fremder auf meinem rechner
On Sun, 24 Nov 2002, Rainer Ellinger verbalised: Gerhard Schromm schrieb: Stacheldraht, Überwachungskamera, usw. - ein Paketfilter ist wie ein ganz simples Türschloss, an der Wohnungtür, der Autotür, der Allerdings kann man auch die Software so konfigurieren, das Zugriffe vom äußeren Interface nichts anrichten können. *Das* wäre das von dir postulierte Türschloß. Der Paketfilter ist eher ein Wächter vor der Tür. Ein Paketfilter ist *kein* Wächter. Unter einem Wächter verstehe ich etwas, was auch situativ reagieren kann. Ein Paketfilter macht stupide das, was eingestellt wurde. Wie bei einem Schloss. Wer den Schlüssel hat, kommt rein. Egal ob als Person berechtigt oder nicht. Im Normalen Leben läßt ein Wächter meistens auch jeden rein, der einen passenden Ausweis vorzeigen kann. Darüber hinaus ging es mehr um das Bild (hier Stil genannt) von Sicherheit. Paketfilter ist etwas worauf man quasi nicht verzichten kann. Es mag hinter'm Hindukusch im koreanischen Sumpf anders zugehen. Aber hierzulande benutzen die Leute Türen und schliessen ab. Ein Paketfilter ist absolut überflüssig, wenn man keinerlei Dienste laufen hat. Es gibt schlicht und ergreifend keine Löcher in der Mauer, in die man Türen zum abschließen einbauen muß. bye Gerhard -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Gerhard Schromm schrieb: Stacheldraht, Überwachungskamera, usw. - ein Paketfilter ist wie ein ganz simples Türschloss, an der Wohnungtür, der Autotür, der Allerdings kann man auch die Software so konfigurieren, das Zugriffe vom äußeren Interface nichts anrichten können. *Das* wäre das von dir postulierte Türschloß. Der Paketfilter ist eher ein Wächter vor der Tür. Nein, bitte nicht schon wieder so eine Diskussion mit mangelnder Trennschärfe. Drücke ich mich so schwer verständlich aus? Ein Paketfilter ist *kein* Wächter. Unter einem Wächter verstehe ich etwas, was auch situativ reagieren kann. Ein Paketfilter macht stupide das, was eingestellt wurde. Wie bei einem Schloss. Wer den Schlüssel hat, kommt rein. Egal ob als Person berechtigt oder nicht. Darüber hinaus ging es mehr um das Bild (hier Stil genannt) von Sicherheit. Paketfilter ist etwas worauf man quasi nicht verzichten kann. Es mag hinter'm Hindukusch im koreanischen Sumpf anders zugehen. Aber hierzulande benutzen die Leute Türen und schliessen ab. Wer sein Auto abstellt ohne abzuschliessen und es wird geklaut, dem zeigt man den Vogel. Seine Versicherung ist dann auch direkt weg. Nun wissen wir alle aus Funk u. Fernsehen, dass es bei den meisten Modellen keine grosse Kunst ist, auch Schloss und Wegfahrsperre zu überwinden. So ein Paketfilter ist also keine wundersame Hochsicherheits-Firewall. Die meisten Leute brauchen, das auch nicht. Es reicht eine Tür mit einem Schloss. Und wenn diese Sicherheitseinrichtung überwunden wurde, liegt ein klarer Verstoss vor - kein Zufall oder Versehen. -- [EMAIL PROTECTED] -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
On Fri, 22 Nov 2002, Rainer Ellinger outgrape: Kai Weber schrieb: PS: Ich meine das wirklich ernst: ich suche *das* Argument für einen Paketfilter. Es geht dabei nicht um Sicherheit im Stil von Tresor, Bunker, Nato- Stacheldraht, Überwachungskamera, usw. - ein Paketfilter ist wie ein ganz simples Türschloss, an der Wohnungtür, der Autotür, der Klotür. Erst einmal sollte man sich die Frage stellen, ob man überhaupt eine Tür haben muß. Wenn man diese Frage bejaht, weil man beispielsweise Serversoftware verwenden muß, die sich nicht auf das interne Interface beschränken läßt, stellt sich überhaupt die Frage nach einem Paketfilter. Allerdings kann man auch die Software so konfigurieren, das Zugriffe vom äußeren Interface nichts anrichten können. *Das* wäre das von dir postulierte Türschloß. Der Paketfilter ist eher ein Wächter vor der Tür. Zusätzlich sollte man die einschlägigen Mailinglisten, in denen sicherheitsrelevanten Bugs gemeldet werden, lesen. Also hier (im Kontext einer Debianmailingliste) sollte man mindesten debian-security lesen. bye Gerhard -- GPG-Key: 0x7880E14A -- Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread! -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Naja, zumindest ist dein samba von aussen erreichbar und dort gibt es eine Resource mit dem Namen 'C'. Das hat wohl irgendjemand entdeckt und versucht darauf zuzugreifen, Du solltest Deinem samba sagen, dass er nur auf dem Internen Interface horchen soll oder einen Paketfilter einrichten, es sei denn Du brauchst den Zugriff von aussen, dann wirst Du wohl damit leben muessen. ich habe samba so konfiguriert das er nur auf das lokale interface hört. (auch vor dem angriff schon) Habe mir da, fälschlicher weise, in sicherheit gewiegt. habe jetzt als erste maßnahme den samba-server mal abgeschaltet. momentan ist ruhe. ich habe in einem fenster permanen eine ausgabe von syslog mitlaufen. ich hatte in den letzten 3-4 tagen immer mal wieder probleme mit meiner festplatte. die schaltete einfach ab. rechner steht. reboot war erforderlich. kurioser weise war in syslog und in messages gar nichts zu sehen. plattenfehler werden ja hier dokumentiert. seit heute morgen ist ruhe. keine 'plattenfehler' mehr. da hat der einbrecher wohl richtig mist gemacht. bin am überlegen ob ich das system neu aufsetzen soll. cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
ov 20 16:11:19 wisper smbd[4269]: localhost (158.152.115.109) couldn't find service c Nov 20 16:11:29 wisper smbd[4272]: alevrius_ (80.117.3.243) couldn't find service c Nov 20 16:11:52 wisper smbd[4278]: 50163099sp (194.30.253.131) couldn't find service c [...] Auf welchem Wert in Deiner smb.conf steht interfaces? 192.168.1.0/255.255.255.0 also nur was lokales Wieso soll man von draussen auf Deinen Rechner kommen? Laeuft da kein Paketfilter? jetzt hast du mich kalt erwischt. es läuft zwar ein paketfilter, jedoch möchte ich DAS nicht als firewall titulieren. (siehe vielleicht auch meinen neuen thread zu IPCOP' Seit Tagen/Wochen wird der Port 137 mit neugierigster Heftigkeit von aussen aufgesucht. Du administrierst doch Deinen Rechner verantwortungsbewusst. Oder? was kann der aungreifer über diesen port machen? wie kann er mir da schaden? ich werde mich jetzt erstmal um eine Firewall kümmern! Gruss Peter Blancke cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Moin Roland! Nov 20 16:11:29 wisper smbd[4272]: alevrius_ (80.117.3.243) couldn't find service c Sieht nach Opaserv aus, der vermutlich auch fuer die ausufernden Port 137 Scans verantwortlich ist (mein iptables-logfile ist voll davon). Vgl. hierzu: http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.html Abhilfe: Blocke die NetBIOS-Ports (137 bis 139, TCP und UDP) nach aussen und konfiguriere Samba so, dass es nur am internen Interface lauscht. HTH, Gruss, Marco -- PGP Key ID: 0xF426567D PGP Fingerprint: 61C2 500E 69F9 3B02 EC20 D600 85F7 316C F426 567D http://blackhole.pca.dfn.de:11371/pks/lookup?op=getsearch=0xF426567D -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
On Thu, 21 Nov 2002 09:24:58 +0100 Roland Kruggel [EMAIL PROTECTED] wrote: ich habe samba so konfiguriert das er nur auf das lokale interface hört. (auch vor dem angriff schon) Habe mir da, fälschlicher weise, in sicherheit gewiegt. Hast Du in der smb.conf auch: bind interfaces only = Yes AFAIK ist das noetig, damit samba auch wirklich nur auf den lokalen Interfaces lauscht. Gruss Jens -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Hast Du in der smb.conf auch: bind interfaces only = Yes AFAIK ist das noetig, damit samba auch wirklich nur auf den lokalen Interfaces lauscht. nein. habe ich nicht. werde ich sofort eintragen. cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Roland Kruggel schrieb am Donnerstag, 21. November 2002 um 09:33:05 +0100: ov 20 16:11:19 wisper smbd[4269]: localhost (158.152.115.109) couldn't find service c Nov 20 16:11:29 wisper smbd[4272]: alevrius_ (80.117.3.243) couldn't find service c Nov 20 16:11:52 wisper smbd[4278]: 50163099sp (194.30.253.131) couldn't find service c [...] Auf welchem Wert in Deiner smb.conf steht interfaces? 192.168.1.0/255.255.255.0 also nur was lokales und steht auch ein 'bind interfaces only = yes' in der GLOBALS-Sektion? -- Heute ist nicht alle Tage, ich komm' wieder, keine Frage!!! Joerg You never learn anything by doing it right. -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Am 21.11.2002 02:10:44, Kai Weber schrieb: + Peter Blancke [EMAIL PROTECTED]: Wieso soll man von draussen auf Deinen Rechner kommen? Laeuft da kein Paketfilter? Yeah. Endlich jmd. der scheinbar weiss, warum man unbedingt einen Paketfilter braucht. Bitte erklären. Ich vermisse eine konkrete Fragestellung. PS: Ich meine das wirklich ernst: ich suche *das* Argument für einen Paketfilter. Ich verstehe immer noch nicht richtig. Der Ursprungsfragende sucht seinen Home-PC gegen Angriffe aus dem Internet zu schuetzen. Womit laeuft denn bei Dir die Abschottung gegen die boese Aussenwelt? Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht... -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Am 21.11.2002 09:33:05, Roland Kruggel schrieb: Wieso soll man von draussen auf Deinen Rechner kommen? Laeuft da kein Paketfilter? jetzt hast du mich kalt erwischt. es läuft zwar ein paketfilter, jedoch möchte ich DAS nicht als firewall titulieren. (siehe vielleicht auch meinen neuen thread zu IPCOP' Seit Tagen/Wochen wird der Port 137 mit neugierigster Heftigkeit von aussen aufgesucht. Du administrierst doch Deinen Rechner verantwortungsbewusst. Oder? was kann der aungreifer über diesen port machen? wie kann er mir da schaden? Das kann ich auch nicht so genau sagen. Dein Rechner sollte jedenfalls keine Freigaben fuer Fremde zur Verfuegung stehen und Freigaben obendrein nur passwortgeschuetzt bevorraten. Bei mir ist nicht nur das Interface auf die lokale Schnittstelle eingestellt, sondern sind auch die Ports 137-139 nach Aussen voellig abgeschottet. Wuensche nach Einbetten von Windows-Freigaben auf Fernrechner werden ueber den Secure-Shell-Umweg mittels Portforwarding erfuellt. ich werde mich jetzt erstmal um eine Firewall kümmern! Tu das. Ist IPTABLES eine Firewall? Oder doch ein Paketfilter? Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht... -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
fremder auf meinem rechner
hallo liste, ich bekomme im syslog folgende einträge --snip ov 20 16:11:19 wisper smbd[4269]: localhost (158.152.115.109) couldn't find service c Nov 20 16:11:29 wisper smbd[4272]: alevrius_ (80.117.3.243) couldn't find service c Nov 20 16:11:52 wisper smbd[4278]: 50163099sp (194.30.253.131) couldn't find service c Nov 20 16:12:22 wisper smbd[4284]: 50163099sp (80.142.211.234) couldn't find service c Nov 20 16:12:28 wisper smbd[4287]: gustavo (210.96.220.9) couldn't find service c Nov 20 16:12:34 wisper smbd[4289]: 50163099sp (200.82.34.177) couldn't find service c Nov 20 16:12:50 wisper smbd[4293]: gustavo (200.182.190.6) couldn't find service c Nov 20 16:12:57 wisper smbd[4296]: localhost (200.171.18.76) couldn't find service c Nov 20 16:13:56 wisper smbd[4312]: 50163099sp (217.131.13.83) couldn't find service c Nov 20 16:14:17 wisper smbd[4321]: localhost (216.212.64.192) couldn't find service c --snap die haufigkeit wird immer größer. jetzt ist mir aufgefallen das die ip-adressen überhaupt nicht in mein netzt passen. diese kommen nicht von intern sondern von aussen. ist da jemend von aussen auf meinem samba-serrver? mir kommt das etwas spanisch vor. hat da jemand hilfe? cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Am Mittwoch November 20 2002 16:25 schrieb Roland Kruggel: hallo liste, ich bekomme im syslog folgende einträge --snip ov 20 16:11:19 wisper smbd[4269]: localhost (158.152.115.109) couldn't find service c Nov 20 16:11:29 wisper smbd[4272]: alevrius_ (80.117.3.243) couldn't find service c Nov 20 16:11:52 wisper smbd[4278]: 50163099sp (194.30.253.131) couldn't find service c Nov 20 16:12:22 wisper smbd[4284]: 50163099sp (80.142.211.234) couldn't find service c Nov 20 16:12:28 wisper smbd[4287]: gustavo (210.96.220.9) couldn't find service c Nov 20 16:12:34 wisper smbd[4289]: 50163099sp (200.82.34.177) couldn't find service c Nov 20 16:12:50 wisper smbd[4293]: gustavo (200.182.190.6) couldn't find service c Nov 20 16:12:57 wisper smbd[4296]: localhost (200.171.18.76) couldn't find service c Nov 20 16:13:56 wisper smbd[4312]: 50163099sp (217.131.13.83) couldn't find service c Nov 20 16:14:17 wisper smbd[4321]: localhost (216.212.64.192) couldn't find service c --snap die haufigkeit wird immer größer. jetzt ist mir aufgefallen das die ip-adressen überhaupt nicht in mein netzt passen. diese kommen nicht von intern sondern von aussen. ist da jemend von aussen auf meinem samba-serrver? mir kommt das etwas spanisch vor. hat da jemand hilfe? cu cu -- Roland Kruggel mailto: [EMAIL PROTECTED] System: AMD 1200Mhz, Debian 3.0 testing, 2.4.19, KDE 3.0.4 -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Am Mittwoch, 20. November 2002 16:25 schrieb Roland Kruggel: hallo liste, ich bekomme im syslog folgende einträge --snip ov 20 16:11:19 wisper smbd[4269]: localhost (158.152.115.109) couldn't find service c Nov 20 16:11:29 wisper smbd[4272]: alevrius_ (80.117.3.243) couldn't find service c Nov 20 16:11:52 wisper smbd[4278]: 50163099sp (194.30.253.131) couldn't find service c Nov 20 16:12:22 wisper smbd[4284]: 50163099sp (80.142.211.234) couldn't find service c Nov 20 16:12:28 wisper smbd[4287]: gustavo (210.96.220.9) couldn't find service c Nov 20 16:12:34 wisper smbd[4289]: 50163099sp (200.82.34.177) couldn't find service c Nov 20 16:12:50 wisper smbd[4293]: gustavo (200.182.190.6) couldn't find service c Nov 20 16:12:57 wisper smbd[4296]: localhost (200.171.18.76) couldn't find service c Nov 20 16:13:56 wisper smbd[4312]: 50163099sp (217.131.13.83) couldn't find service c Nov 20 16:14:17 wisper smbd[4321]: localhost (216.212.64.192) couldn't find service c --snap die haufigkeit wird immer größer. jetzt ist mir aufgefallen das die ip-adressen überhaupt nicht in mein netzt passen. diese kommen nicht von intern sondern von aussen. ist da jemend von aussen auf meinem samba-serrver? mir kommt das etwas spanisch vor. hat da jemand hilfe? cu hi! das mag gut sein das da von aussen jemand drauf zugreift! du solltest entweder samba so einrichten das keiner von draussen zugreifen kann oder halt ne firewall haben! cu -- Frank Habermann -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Am 20.11.2002 16:25:50, Roland Kruggel schrieb: ich bekomme im syslog folgende einträge ov 20 16:11:19 wisper smbd[4269]: localhost (158.152.115.109) couldn't find service c Nov 20 16:11:29 wisper smbd[4272]: alevrius_ (80.117.3.243) couldn't find service c Nov 20 16:11:52 wisper smbd[4278]: 50163099sp (194.30.253.131) couldn't find service c [...] Auf welchem Wert in Deiner smb.conf steht interfaces? Wieso soll man von draussen auf Deinen Rechner kommen? Laeuft da kein Paketfilter? die haufigkeit wird immer größer. Seit Tagen/Wochen wird der Port 137 mit neugierigster Heftigkeit von aussen aufgesucht. Du administrierst doch Deinen Rechner verantwortungsbewusst. Oder? Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht... -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
Hallo Roland, On Wed, 20 Nov 2002 16:25:50 +0100 Roland Kruggel [EMAIL PROTECTED] wrote: ist da jemend von aussen auf meinem samba-serrver? mir kommt das etwas spanisch vor. Naja, zumindest ist dein samba von aussen erreichbar und dort gibt es eine Resource mit dem Namen 'C'. Das hat wohl irgendjemand entdeckt und versucht darauf zuzugreifen, Du solltest Deinem samba sagen, dass er nur auf dem Internen Interface horchen soll oder einen Paketfilter einrichten, es sei denn Du brauchst den Zugriff von aussen, dann wirst Du wohl damit leben muessen. Gruss Jens PS: Die Zunahme kann auch daran liegen, dass jeder jetzt ueber diese Liste weiss, dass an Deiner IP-Adresse ein Sambaserver haengt, der von aussen erreichbar ist :-o -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: fremder auf meinem rechner
+ Peter Blancke [EMAIL PROTECTED]: Wieso soll man von draussen auf Deinen Rechner kommen? Laeuft da kein Paketfilter? Yeah. Endlich jmd. der scheinbar weiss, warum man unbedingt einen Paketfilter braucht. Bitte erklären. kai* PS: Ich meine das wirklich ernst: ich suche *das* Argument für einen Paketfilter. -- Häufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
