Firewall- ZoneAlarm

Internet Internet Sicherheit
1

Hallo,

ich hab seit einiger Zeit die Firewall von Zonelabs drauf.
Hab mir gerade mal die Alerts durchgelesen. Dort steht folgendes:

  1. The firewall has blocked Internet access to your computer (ICMP Echo Request (‚Ping‘)) from 212.144.78.242.

und 2) The firewall has blocked Internet access to your computer (FTP) from 24.1.201.72 (FTP) [TCP Flags: S].

und 3) The firewall has blocked Internet access to your computer (TCP Port 10793) from 217.0.199.254 (TCP Port 1205) [TCP Flags: S].

Zu Punkt 3) Innerhalb von 8 Minuten kamen 9 weitere Alerts von dieser Adresse 217.0.199.254 ( bis TCP Port 1413) dazu.

Als ich dann mal unter http://www.ripe.net/perl/whois nachschaute,wer hinter 217.0.199.254 steckt,staunte ich nicht schlecht: Deutsche Telekom AG-ABUSE CONTACT IN CASE OF HACK ATTACKS,ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.
Deutsche Telekom AG, Internet service provider,Reinhard Hausdorf -Deutsche Telekom AG,Security Team-Deutsche Telekom AG.

Was hat das zu bedeuten? Warum versucht die DTAG auf meinen PC zuzugreifen?
Was soll das mit den „Pings“ und was ist „TCP Flags: S“

2

ich hab seit einiger Zeit die Firewall von Zonelabs drauf.

ein schwerer fehler, sie wird dich mit ihrem dauernden generve in den wahnsinn treiben und ist dennoch nicht gerade sicher (wie auch alle anderen personal firewalls…)

Hab mir gerade mal die Alerts durchgelesen. Dort steht
folgendes:

  1. The firewall has blocked Internet access to your computer
    (ICMP Echo Request (‚Ping‘)) from 212.144.78.242.

huch, er hat mich angepingt, na und? dient meist im vorfeld eines portscans dazu festzustellen, ob der betreffende rechner ueberhaupt an (oder die einwahl-adresse vergeben) ist.

und 2) The firewall has blocked Internet access to your
computer (FTP) from 24.1.201.72 (FTP) [TCP Flags: S].

jemand versuchte per ftp auf deine dose zuzugreifen, bzw. der portscanner hat port 21 probiert. das flag s steht fuer syn, also den versuch eine verbindung aufzubauen.

und 3) The firewall has blocked Internet access to your
computer (TCP Port 10793) from 217.0.199.254 (TCP Port 1205)
[TCP Flags: S].

keine ahnung, die ports sind merkwuerdig. wuestes protscannen offenbar

Zu Punkt 3) Innerhalb von 8 Minuten kamen 9 weitere Alerts von
dieser Adresse 217.0.199.254 ( bis TCP Port 1413) dazu.

das gleiche, portscans sind gang und gaebe, za wird dich noch in den wahnsinn treiben…

Als ich dann mal unter http://www.ripe.net/perl/whois
nachschaute,wer hinter 217.0.199.254 steckt,staunte ich nicht
schlecht: Deutsche Telekom AG-ABUSE CONTACT IN CASE OF HACK
ATTACKS,ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.
Deutsche Telekom AG, Internet service provider,Reinhard
Hausdorf -Deutsche Telekom AG,Security Team-Deutsche Telekom
AG.

das heisst, das der boese scanner ueber sich ueber t-offline oder diverse dtag reseller einwaehlt, also gar nix.
und der abuse hinweis heisst, dass du dich im falle einer schaedigung an diese adresse wenden kannst, im falle eines portscans machst du dich da allerdings eher laecherlich, insbesondere, da man solche groesseren scans auch gern von einem vorher geknackten rechner aus faehrt…

Was hat das zu bedeuten? Warum versucht die DTAG auf meinen PC
zuzugreifen?

tut sie nicht

Was soll das mit den „Pings“ und was ist „TCP Flags: S“

siehe oben, oder halt mal nen vernuenftiges buch zu netzwerkprotokollen lesen, stichworte hier icmp und three way handshake…

joachim

3

Hallo Carsten,

Als ich dann mal unter http://www.ripe.net/perl/whois
nachschaute,wer hinter 217.0.199.254 steckt,staunte ich nicht
schlecht: Deutsche Telekom AG-ABUSE CONTACT IN CASE OF HACK
ATTACKS,ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC.
Deutsche Telekom AG, Internet service provider,Reinhard
Hausdorf -Deutsche Telekom AG,Security Team-Deutsche Telekom
AG.

Was hat das zu bedeuten? Warum versucht die DTAG auf meinen PC
zuzugreifen?

Die DTAG möchte nicht auf deinen Rechner zugreifen, sondern ein Kunde von denen.

Was soll das mit den „Pings“ und was ist „TCP Flags: S“

Ein Ping ist ein echorequest. Dein Rechner wurde also vom Rechner mit IP 212.144.78.242 gebeten ein Lebenszeichen zu senden.
Das TCP Flag S steht für „synchronize“ und deutet auf eine Verbindungsanfrage hin siehe RFC 763.

Grüße
Martin

4

Was hat das zu bedeuten? Warum versucht die DTAG auf meinen PC
zuzugreifen?

UMM…

Die DTAG möchte nicht auf deinen Rechner zugreifen, sondern
ein Kunde von denen.

Und der Voirgänger (also derkenige, der Deine IP vorher genutzt hat), hat warscheinlich morpheus oder Napster gedaddelt.

Gut, daß ZoneAlarm die kriminellen Absichten von Ronny Summer audeckt!

Sebastian

5

Hallo Carsten,

wenn du ein bisschen mehr erfahren willst über die Meldungen von Zonealarm, dann kannst du hier

http://www.visualizesoftware.com/

ein tool runterladen, dass dir mehr infos gibt.

Allerdings telefoniert das auch nachhause, ist Geschmackssache, ob du das willst :smile:

Gruss

Mike

6

Hallo Carsten!

Da das Thema „Firewall“ sehr komplex ist, würde ich Dir vorschlagen, u.a. folgende Seiten mal anzuschauen, um sich die Grundlagen anzueignen.

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://faq.at/firewalls
http://it-secure-x.net/sites/faq/faq_fir.htm
http://it-secure-x.net/sites/faq/faq_por.htm

speziell für Zonealarm:
http://www.home.pages.at/heaven/sec0092.htm
http://www.zonealarm.de/

Mit freundlichen Grüßen
Beowolf