Wie ist das zu deuten?

[wosinzky]

Hallo Leutz,

wie ist folgende Zeile aus meinem Logfile zu deuten?

DATUM UHRZEIT PowerBook ipfw: Stealth Mode connection attempt to TCP 192.168.178.20:49298 from xxx.xxx.xxx.xxx:443


Die x-en, DATUM und UHRZEIT habe ich natürlich dorthin geschrieben.


Thx
Wosinzky

 

[AmishBit]

jemand wollte einen portscan bei dir machen. nix schlimmes.

 

[KayHH]

Port 49298 ist laut IANA gar nicht vergeben. Deutet also auf tumbes Probieren hin.


Gruss KayHH

 

[Patrick]

Du hast scheinbar eine Fritzbox im Einsatz und bei einer von Dir initiierten Verbindung über SSL (also in dem Fall https://) versucht der angesprochene Server ein Paket zu Dir durchzuschmuggeln. Der Port 49298 ist der intern vergebene Port, um von innen initiierte Anfragen wieder auf den richtigen Rechner zurückzuschicken. Das Verfahren wird von allen NATenden Routern verwendet. Du startest von Deinem Rechner aus eine Anfrage an 17.1.2.3:443. Diese Anfrage geht an den Router. Dieser setzt diese Anfrage auf den virtuellen Port 192.168.178.20:49298 und verwaltet diese in der RIP-Table. Kommt jetzt von 17.1.2.3:443 eine Antwort an Deinen Router, so schaut der in der Tabelle nach und sieht, daß 192.168.178.20 diese Anfrage ursprünglich gestartet hat.

Du hast scheinbar die interne Firewall des PowerBooks auf Stealth Mode geschaltet, wobei sowohl Firewall wie auch Stealth Mode unsinnig sind, wenn Du hinter einem NATenden Router sitzt. Warum das Blödsinn ist, kannst Du hier nachlesen.

 

[Cyrics]

uff, woran erkennst du denn, dass es sich hier um eine Fritz!Box handelt?!
Verrat mir dein Geheimnis *g*

ähm und sonst ist das mit seinen Sicherheitseinstellungen doch ganz gut... er hat schliesslich ein Powerbook. Dazu noch ein WLAN. Der Angreifer kann auch im internen Netz sitzen und angreifen.
Genauso wechselt man mit dem PB auch Orte und Netze und hat so wieder Angreifer im eigenen Netz.

 

[Patrick]

uff, woran erkennst du denn, dass es sich hier um eine Fritz!Box handelt?!
Verrat mir dein Geheimnis *g*

Die Fritz!Boxen verwenden standardmässig immer 192.168.178.x. Daher ist die Vermutung naheliegend. Eine Firewall hinter einer Firewall (also dem NATendem Router) bedeutet immer Ärger, es sei denn, man hat ein offenes WLAN, wovon ich nicht ausgehe, da es einfach idiotisch ist. Innerhalb eines LANs macht eine FW einfach keinen Sinn und ist Ursache einer Vielfalt von Problemen.

 

[Cyrics]

ich weiss, ich kenne das allseits beliebte Problem
die Leute auf Arbeit hatten auch immer alle das Bedürfnis ZoneAlarm sich auf den Rechner zu installieren und sich zu wundern wieso nichts mehr geht...

aber die OSX-Firewall ist ja mehr als human die tut keiner Menschenseele was und lässt sich schnell und einfach konfigurieren. Daher seh ich da keine Probleme, außer, dass sie die SSL-Anfrage eben als Attacke ansah *g*

PS: das mit dem Adress-Bereich weiss ich noch gar nicht. Danke. Will mir wohl auch mal eine Fritz!Box holen.... dann änder ich da erstmal den Bereich *g*