3. portscan innerhalb einer Woche, Vorgehensweise?

Hallo Spezialisten,

diese Woche registrierte meine Firewall drei Port-Scans. Dabei hat sie IP, MAC und die gescannten Ports angezeigt. Die IP war jedesmal von einem anderen Provider, die MAC immer die gleiche.
Was kann ich in dem Fall tun? Die MAC in meinem Router sperren? Mich an meinen Provider wenden? Die FAQ hab ich auch schon bemüht und keine Informationen bzgl der Vorgehensweise entnehmen können.
Oder sollte man sich nicht beunruhigen, wenn die Firewall immer die Angriffe abwehrt und die Firewall nicht meldet, dass eine Datei Zugriff aufs Internet haben möchte?

Grüße
Florian

Port-Scans sind normales Hintergrundrauschen im Internet.
Port-Scans sind nicht illegal.

Deshalb: Ignorieren.

Gruß,

Malte

Oder sollte man sich nicht beunruhigen, wenn die Firewall
immer die Angriffe abwehrt und die Firewall nicht meldet, dass
eine Datei Zugriff aufs Internet haben möchte?

Die Firewall wehrt gar nichts ab. Du bietest doch auf dem Rechner ohnehin keine Dienste nach außen an. Welchen Angriff soll die Firewall demnach auf welchen Dienst abgeblockt haben?

Hallo Florian

diese Woche registrierte meine Firewall drei Port-Scans.

Boah ey. :o)

Im Ernst: Na und?

Was verwendest Du als ‚Firewall‘? Meinst Du so ein Teil im Stil von Zone Alarm?

Dabei hat sie IP, MAC und die gescannten Ports angezeigt. Die IP war
jedesmal von einem anderen Provider, die MAC immer die
gleiche.

Wenn Du direkt am Internet hängst und die IPs von extern sind, dann kannst Du die Angabe der MAC eh vergessen. Wird nicht wirklich weitergeleitet.

Was kann ich in dem Fall tun?

Du kannst Dich darüber informieren, was ein Portscan genau ist. Deine Anfrage hier ist dazu der erste Schritt. Ein Portscan ist per se völlig harmlos und legal. Wenn Dein System vernünftig konfiguriert ist, sind von aussen keine Dienste erreichbar. Bzw. nur die Dienste, von denen Du das wünschst (falls Du z.B. einen eigenen Webserver betreibst…).

Wenn das der Fall ist, brauchst Du Dich um Portscans nicht weiter zu kümmern. Stell also Deine Firewall so ein, dass sie diese Ereignisse nicht mehr meldet.

Die MAC in meinem Router sperren? Mich an meinen Provider wenden?

Wozu? Reg Dich doch nicht unnötig über sowas irrelevantes auf.

Oder sollte man sich nicht beunruhigen, wenn die Firewall
immer die Angriffe abwehrt und die Firewall nicht meldet, dass
eine Datei Zugriff aufs Internet haben möchte?

Ein Portscan ist kein Angriff. Leider neigen Personal Firewalls dazu, jeden ‚Furz‘ im Netz zu melden und als ‚pöhsen Angriff‘ zu bezeichnen. Das führt dazu, dass Leute wie Du, die sich nicht so gut mit der Materie auskennen, sich entweder in trügerischer Sicherheit wiegen (wurde ja ‚abgewehrt‘…) oder verunsichert werden (Boah, das ist ja böse…).

Wenn man eine PFW wirklich einsetzen will, tut man gut daran, sich mit der Materie zu befassen und sich Wissen anzueignen. Damit man dann Stück für Stück die Konfiguration anpassen kann, so dass harmlose Sachen nicht mehr gemeldet werden. Und dass man ggf. Dinge, die doch wichtig sind, anpackt und geeignete Schritte unternimmt, um das zu ändern.

CU
Peter

Achja, mir fällt grad noch einiges auf an deiner Geschichte…

Die IP war
jedesmal von einem anderen Provider, die MAC immer die
gleiche.

Die MAC Adresse ist übrigens immer diejenige des letzten Devices, in deinem Fall ist dies also die MAC-Adresse deines Routers.
Der Nutzen dieser Information tendiert also gegen Null.

Was kann ich in dem Fall tun? Die MAC in meinem Router
sperren?

a)
Dann würdest du dem Router sagen, dass er seine eigene MAC-Adresse sperren soll. Das wäre irgendwie ziemlich sinnbefreit.

b)
Sitzt du überhaupt hinter einem Router? Wie können denn dann bitte Portscans überhaupt bis zu deinem Rechner durchkommen? Leitest du etwa alle Ports an deinen Rechner weiter?

Danke Peter für deine Antwort.

Im Ernst: Na und?

Naja weil ich mich eben nicht auskenne mit der Materie, stell ich hier die Frage. Deswegen kann auch nicht wissen wie gefährlich ich einen Port-Scan einordnen soll. Ich weiß in etwa was ein Port ist, und warum sollte jemand oder etwas diese scannen, wenn er sie nicht benutzen will? Oder wozu sind die gut?

Aber trotzdem danke nochmal für die „Entwarnung“, auch an deconstruct.

mfg
Florian

Was kann ich in dem Fall tun?

Die ‚Firewall‘ so konfigurieren, dass sie dich nicht weiter mit sinnlosen Meldungen vollquatscht. Oder, weit sinnvoller, diese Blödware deinstallieren.

HTH
Schorsch

Naja weil ich mich eben nicht auskenne mit der Materie, stell
ich hier die Frage.

Wenn du dich mit der Materie nicht auskennst und somit weder die Notwendigkeit des Einsatzes eines solchen Produkts beurteilen kannst, noch in der Lage bist zu beurteilen, wie weit diese Software ihren Aufgaben nachkommt, wahrscheinlich nicht einmal beschreiben kannst, was eigentlich die Aufgabe dieses Produktes genau ist - warum hast du sowas dann überhaupt installiert?

Gruss
Schorsch

und somit weder
die Notwendigkeit des Einsatzes eines solchen Produkts
beurteilen kannst, noch in der Lage bist zu beurteilen, wie
weit diese Software ihren Aufgaben nachkommt, wahrscheinlich
nicht einmal beschreiben kannst, was eigentlich die Aufgabe
dieses Produktes genau ist - warum hast du sowas dann
überhaupt installiert?

Muss ich jetzt System-Admin und IT-Sicherheitsspezialist sein, um mir ein Anti-Viren Programm mit integrierter Firewall installieren zu dürfen? Ich bin mir sehr wohl über die Funktionen des Programmes bewusst, es ging lediglich um die Gefährlichkeit (oder Ungefährlichkeit) der Portscans, daher verstehe ich leider nicht, worauf deine Frage abzielt…

Muss ich jetzt System-Admin und IT-Sicherheitsspezialist sein,
um mir ein Anti-Viren Programm mit integrierter Firewall
installieren zu dürfen?

Nein, musst du nicht. Du darfst installieren, wie du lustig bist. Fachwissen musst du nur haben, eine Firewall sinnvoll aufzusetzen und so zu fahren, dass sie dir einen konkreten Nutzen bringt. Eine mangelhaft konfigurierte und gewartete Firewall bringt eine weit größere Systemgefährdung mit sich, als die sauber konfigurierte und gewartete an Nutzen haben kann.

Gruss
Schorsch

daher verstehe ich leider nicht, worauf deine Frage abzielt…

Ganz einfach:
Eine Firewall ist auf einem Privat-PC meist so überflüssig wie ein Raketenabwehrsystem in deinem Garten. Dieses würde dir gegen Einbrecher nämlich ebenfalls überhaupt nichts nutzen. Wenn du keine Dienste auf deinem Rechner laufen hast, die du nach außen anbietest, dann gibt es schlichtweg nichts, was die Firewall überhaupt schützen soll.

Der sicherheitstechnische Nutzen ist daher praktisch null. Im Gegenzug bringen viele Personal Firewalls sogar neue Risiken mit. Wenn du keinen Dienst auf einem Port anbietest, dann kann er auch nicht angegriffen werden. Hast du eine Personal Firewall installiert, dann untersucht diese das Paket, auch wenn dort gar kein Dienst läuft und somit kann die PFW selbst zum Ziel eines Angriffs werden.
Auf der anderen Seite versprechen PFWs dass sie z.B. den Verkehr von innen nach außen von unliebsamen Programmen unterbinden könnten. Leider ist das nicht wahr. Programme, die ein Interesse daran haben, die Firewall zu umgehen, werden dies auch trotz Firewall tun, da sie einfach ein „erlaubtes“ Programm wie z.B. den Browser benutzen, um ihre Daten nach außen zu senden.

Es gibt noch dutzende anderer Gründe, wieso PFWs einfach überflüssig sind und welche Sicherheitsrisiken durch ihren Betrieb erst entstehen können.

Hallo Fragewurm,

b)
Sitzt du überhaupt hinter einem Router? Wie können denn dann
bitte Portscans überhaupt bis zu deinem Rechner durchkommen?
Leitest du etwa alle Ports an deinen Rechner weiter?

Er wird wohl ein billiges, vom Provider gratis geliefertes, Modem haben.
Die MAC-Adresse ist dann diejenige des letzten Routers des Providers.

In diesem Fall würde eine Sperrung der MAC-Adresse die Sicherheit auf alle Fälle erhöhen, aber die Nebenwirkungen wird er nicht mögen

MfG Peter(TOO)

Er wird wohl ein billiges, vom Provider gratis geliefertes,
Modem haben. Die MAC-Adresse ist dann diejenige des letzten Routers des
Providers.

Nur kann er dann „auf seinem Router“ keine MAC Adresse sperren, wenn er sich direkt über das Modem einwählt. Das machte mich etwas stutzig…

In diesem Fall würde eine Sperrung der MAC-Adresse die
Sicherheit auf alle Fälle erhöhen, aber die Nebenwirkungen
wird er nicht mögen

Allerdings ^^

Hallo Fragewurm,

Nur kann er dann „auf seinem Router“ keine MAC Adresse
sperren, wenn er sich direkt über das Modem einwählt. Das
machte mich etwas stutzig…

Wenn sich die PF tief genug im System eingegraben hat kann diese die MAC-Adresse blockieren.

MfG Peter(TOO)

Hi,

Er wird wohl ein billiges, vom Provider gratis geliefertes,
Modem haben.
Die MAC-Adresse ist dann diejenige des letzten Routers des
Providers.

Es wird eher die MAC des Modems sein, welches ja quasi als Bridge fungiert.

Gruß,

Malte

Hallo Florian

Naja weil ich mich eben nicht auskenne mit der Materie, stell
ich hier die Frage.

Dagegen ist an und für sich nichts einzuwenden. Wenn Du wirklich bereit bist, Dein Wissen zu verbessern.

Ich weiß in etwa was ein Port ist, und warum sollte jemand oder etwas
diese scannen, wenn er sie nicht benutzen will? Oder wozu sind
die gut?

Ein Portscan kann durchaus eine Vorbereitung für gezielte Angriffe sein. Der Urheber scannt einen IP-Range nach offenen Ports und dann versucht er evt., sich über die gefundenen offenen Ports Zugang zu den jeweiligen Rechnern zu verschaffen. Kann sein. Muss aber nicht.

Wenn Dein System, wie schon erwähnt, vernünftig konfiguriert ist, so dass keine offenen Ports von aussen erreichbar sind, dann kann Dir ein Portscan völlig egal sein, da es dann ja nichts gibt, was der Urheber für ein Eindringen missbrauchen kann.

Falls Du einen oder mehrere Dienste mit Absicht nach aussen anbietest, dann ist es logisch, dass die von einem Portscan gefunden werden. Aber auch da braucht Dich der Portscan nicht unbedingt zu kümmern. Wenn Du z.B. einen Apache-Webserver betreibst, der vom Internet her zugänglich ist und dieser Apache auf dem aktuellen Stand ist und Du die Passwörter für die Konfiguration etc. vernünftig gewählt hast, dann ist die Gefahr, dass einer von aussen das Ding exploitet relativ gering.

Diese Ausführungen sollen Dir aufzeigen, dass es durchaus sinnvoll bzw. notwendig ist, sich ein gerüttelt Mass Wissen anzueignen, damit man das System vernünftig konfigurieren kann. Auch die Personal Firewall, so man so eine verwenden will.

Wenn es tatsächlich stimmt, dass Du hinter einem Router sitzt, dann stellt sich aber schon die Frage, welchen Sinn eine Personal Firewall macht. Denn wenn der Router einigermassen vernünftig konfiguriert ist, sollten Portscans gar nicht bis zu Deinem PC durchkommen. Wurden die Portscans vielleicht aus dem LAN durchgeführt?

CU
Peter

Hi,

ab 3 Portscans pro Minute wäre es vielleicht, und nur vielleicht einer Erwähnung wert!

Grüße
Kaj

Ich roll mich ab … owt

In diesem Fall würde eine Sperrung der MAC-Adresse die
Sicherheit auf alle Fälle erhöhen, aber die Nebenwirkungen
wird er nicht mögen

Aloha - digi (abgerollt)