Ungewöhnliche Firewall-Warnung

Internet Internet Sicherheit
1

Hallo Phreaks,

ich habe eine Firewall installiert, die mir heute
folgendes meldete:

Abgehendes UDP-Paket
Lokale Adresse, Dienst ist (Meine IP)
Remote-Adresse, Dienst ist (62.157.53.222,2942)
Prozeßname ist „C:\WINDOWS\SYSTEM\KRNL386.EXE“

Komisch ist bei der Remote-Adresse, dass sie
dieser Firma gehört:

inetnum: 62.157.0.0 - 62.157.86.159
netname: DTAG-RAR
descr: Deutsche Telekom AG
country: DE
admin-c: RH2086-RIPE
tech-c: PH2352-RIPE
tech-c: KK1550-RIPE
status: ASSIGNED PA
remarks: *****************************************************************
remarks: * ABUSE CONTACT: [email protected] IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: *****************************************************************
notify: [email protected]
notify: [email protected]
mnt-by: DTAG-NIC
changed: [email protected] 20000913
source: RIPE

Hat jemand von Euch schon mal sowas erlebt?
Was hat das zu bedeuten?
Und wieso versucht der Windows-Kernel eine Verbindung herzustellen?

Danke für Eure Hilfe

moritzbock

2

Hallo Moritz!

Abgehendes UDP-Paket
Lokale Adresse, Dienst ist (Meine IP)
Remote-Adresse, Dienst ist (62.157.53.222,2942)
Prozeßname ist „C:\WINDOWS\SYSTEM\KRNL386.EXE“

Das Wesentliche hast Du rausgelöscht: Welcher Dienst (Portnummer) wird lokal verwendet?
(IP,Port) in der obigen Notation, wobei IP unerheblich ist.

War der lokale Dienst zufällig 137, 138 oder 139, also NetBIOS für TCP/IP?

Komisch ist bei der Remote-Adresse, dass sie
dieser Firma gehört:

inetnum: 62.157.0.0 - 62.157.86.159
netname: DTAG-RAR
descr: Deutsche Telekom AG

Das ist nicht ungewöhnlich. Die Gegenstelle wird vermutlich irgendein anderer Surfer sein, der über das Telekom-Netz eingewählt ist.

Hat jemand von Euch schon mal sowas erlebt?
Was hat das zu bedeuten?
Und wieso versucht der Windows-Kernel eine Verbindung
herzustellen?

Kann es sein, daß Du NetBIOS für TCP/IP aktiviert hast? Datei- und Druckerfreigabe an TCP/IP für DFÜ-Netzwerk gebunden?
Damit exportierst Du Deine Freigaben ins Internet. Das solltest Du umgehend abstellen (Bindung entfernen, Warnung nach dem Entfernen ignorieren)!!!

CU
Markus

3

Hallo Markus,

danke erstmal für Deine Antwort.

Mit den ganzen Einzelheiten wollte ich mich eigentlich nicht rumschlagen - dafür habe ich ja die Firewall installiert.

Hier habe ich das Ergebnis eines Browsertests - ist der Test brauchbar? :

Resultate des Zugriffstests

========================================================================

  1. Die momentane IP-Adresse Ihres Rechners lautet:

1xx.2xx.1xx.7 (von mir jetztmal ge´xt!)

  1. Ihr Rechner ist unter folgenden Namen bekannt:

  2. Auf Ihrem Rechner scheinen keine Ressourcen (Laufwerke,
    Verzeichnisse, etc.) sichtbar zu sein.

  3. Es sind keine Verzeichnisse lesbar (lesen Sie die unten stehenden
    Hinweise).

  4. Es sind keine Verzeichnisse beschreibbar (lesen Sie die unten
    stehenden Hinweise).

Hinweise zum Test-Resultat:

  1. Stimmt die IP-Adresse nicht mit derjenigen Ihres Rechners überein,
    so haben Sie wahrscheinlich den Proxy nicht abgeschaltet. Sie haben
    also nicht Ihren eigenen Rechner getestet!

  2. Wenn Sie hier keine Einträge sehen, ist der Name Ihres Computer nicht
    ohne weiteres bekannt. Vielleicht haben Sie aber auch keinen Windows
    95/98/NT Rechner, oder sind über ein Schutzsystem (Firewall) mit
    dem Internet verbunden.

  3. Sehen Sie einen Eintrag ‚ACHTUNG: Auf folgende Ressourcen kann bei
    Ihnen zugegriffen werden‘, sollten Sie sich überlegen, ob diese
    Ressourcen vom Internet aus wirklich lesbar sein müssen!

  4. Sehen Sie einen Eintrag ‚ACHTUNG: Folgende Verzeichnisse könnten
    bei Ihnen sogar beschrieben werden‘ sollte dies ein Alarmzeichen
    sein! Es wäre möglich, dass jemand vom Internet aus Ihre Daten
    verändern oder löschen kann. Man könnte auf diesem Weg auch
    versteckte Programme (Viren, Trojanische Pferde) auf Ihren Rechner
    installieren!

Wenn Sie wirklich Ressourcen freigeben wollen, sollten Sie Passwörter
mit mindestens 7 oder besser 14 Zeichen inkl. Sonderzeichen verwenden,
damit sie für Crack-Programmen nur sehr schwer herauszufinden sind.

Die Resultate dieses Tests werden nicht statistisch ausgewertet. Falls
Sie uns dennoch ein Feedback geben wollen, so tun Sie das bitte über
das Formular bei:
http://www.ita.hsr.ch/dsb/

Wir danken Ihnen und hoffen, dass dieser Test einen Beitrag zur
Sicherheit beim Surfen im Internet leisten konnte.

Es sind einige Zusatzinformationen
http://www.ita.hsr.ch/dsb/zusatzinformationen.htm
zum Test verfügnar. Wenn Sie weitere Fragen zu diesem Test haben, so
senden Sie diese an:
mailto:[email protected]

Zur Hompage des Datenschutzbeauftragten des Kanton Zürich gelangen Sie
mit folgendem Link:
http://www.datenschutz.ch

:smile: ich bin’s wieder - gruss moritzbock

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

4

Abgehendes UDP-Paket
Lokale Adresse, Dienst ist (Meine IP)
Remote-Adresse, Dienst ist (62.157.53.222,2942)
Prozeßname ist „C:\WINDOWS\SYSTEM\KRNL386.EXE“

Das Wesentliche hast Du rausgelöscht: Welcher Dienst
(Portnummer) wird lokal verwendet?
(IP,Port) in der obigen Notation, wobei IP unerheblich ist.

War der lokale Dienst zufällig 137, 138 oder 139, also NetBIOS
für TCP/IP?

Mit den ganzen Einzelheiten wollte ich mich eigentlich nicht
rumschlagen - dafür habe ich ja die Firewall installiert.

Hier habe ich das Ergebnis eines Browsertests - ist der Test
brauchbar? :
3) Auf Ihrem Rechner scheinen keine Ressourcen (Laufwerke,
Verzeichnisse, etc.) sichtbar zu sein.

Hallo Moritz!

Das läßt zumindest darauf schließend, daß Deine Firewall Zugriffe auf den Ports 136,137 und 138 blockt. Dies ist jedoch Inbound-Traffic.
Was Dich gestört hatte, war Outbound-Traffic. Um die Meldungen im Logfile der Firewall zu unterbinden, solltest Du NetBIOS für TCP/IP an DFÜ-Netzwerk deinstallieren. Wenn Deine Firewall es blockt, verwendest Du es ohnehin nicht - also weg damit!

CU
Markus