Microby

Würd ich Dir ja gerne schicken, aber in nem Board immer nur über PN und dat hast Du aus, will schließlich nicht zugemüllt werden, also, mach PN in Deinem Profil frei.

Du hast genau DIE Ports zugemacht die Du brauchst. Die Eintragungen in dieser Tabelle werden benutzt, um bestimmte Arten von Datenpaketen von Ihrem lokalen Netz zum Internet einzuschränken. Der Gebrauch solcher Filter kann nützlich sein, wenn Sie Ihr lokales Netz sichern oder einschränken wollen. Es muss da noch ne Möglichkeit geben die Ports vom Internet (WAN) zum Netz (LAN) zuzumachen. Also, die Ports da wieder raus.

Na jetzt kommt doch auch drauf an, Ist sie standartmäßig zu oder auf. Sowas sagt sich sowieso schwer aus der Ferne, jeder Router ist anders. Und wenn Du sie jetzt eingeschaltet hast, vielleicht filterst Du jetzt ja Macs und IPs.

zu1. Ja kann sein, braucht aber nicht. Ich weiß nicht genau wie er raus ist, aber da hätte eben der Anti-Trojaner besser drauf reagiert. Wenn er nähmlich über ICQ auch zurückgegangen ist, (vermute ich) hätt Dir NIS nix genutzt. Outlook Express ist nun mal so, will immermal nen connect haben. Ist auch ein Problemfall, man sollte lieber auf ein anderes Mailprogramm umsteigen, und wenn nur Outlook, aber eben nach Möglichkeit kein Express. zu2. Genau, kann es zwar aber ist eben halt mehr auf Viren getrimmt zu3. Ich kichere mal ein wenig vor mich hin... Wenn Du auf die Absicherung des OS Win98 vertraust... Es soll wohl so ein paar Krücken geben mit dem man auch aus nem 98 System nix rausholen kann, glaub ich aber nicht so recht. Ich kam bisher immer wieder an die Daten ran (gechrashter Rechner mit Passwortvergabe usw.) Das liegt doch am Dateisystem, das kann FAT eigentlich nicht. Deshalb nutzen ja auch Firmen NTFS-Dateisysteme, bzw. natürlich Linuxsysteme. zu4. Hm, port-filtering ist das wichtigste. Ip-filtering und mac-filtering kenn ich mich nicht ganz so gut aus, aber das ist schon problematischer, wenn Du IPs filterst kannst Du auch nur noch bestimmte Websites öffnen, eigentlich ein wenig schwachsinnig, höchtens was für Leute die nur ne bestimmte Datenleitung haben, oder eben als Kinderschutz...hi,hi... Macs filtern ist ja noch besser, da lässt Du ja nur noch ganz bestimmte Rechner bei Dir ran (1Rechner-1einmalige Adresse Hardware, MAC-Adresse halt) Ich weiß nicht vielleicht hat da ja jemand noch mehr Erfahrungen mit aber ich sehe als sinnvollste Massnahme bei Dir das port-filtern an. Jeder Router ist halt eben anders. Ach und denk dran, erwarte nicht von irgendjemanden hier eine Komplettanleitung für den Router, wie sagte doch mein Dozent so schön? "Eine Firewall ist kein Gegenstand, sie ist ein Konzept. Eine Idee die im Kopfe des Admins gedeiht... Und jede Firewall ist anders..."

Das mit der Hintertür könnte was dran sein. Wenn ich mir hier so meine Logfiles ansehe... Klar, früher hat man nie groß drauf geachtet. Aber ständig: Tue Nov 18 15:27:08 2003 - teardrop attack - any [wan,217.230.25.240,217.85.35.192:0] - [discard] Tue Nov 18 15:28:16 2003 - stop blocking - ids Tue Nov 18 15:28:23 2003 - syn flood attack - tcp [wan,217.230.117.84,xxx.xxx.x.x:2291] - [discard] Tue Nov 18 15:28:23 2003 - block attack - ids Tue Nov 18 15:33:25 2003 - stop blocking - ids Sieht doch nett aus, oder? Und das ist nur ein kleiner Auszug... Scheint so als suche da jemand nach Rückruf. Aber wonach kann ich suchen?

Nimm w2k und daddel auf nem anderen Rechner.

Zitat: nehmen wir mal an, ein trojaner oder ähnliches schafft es durch die router-firewall... dann kann er doch ungehindert remoten, denn ich bekomme ja immerhin keine warnmeldung, dass etwas versucht, sich nach "draußen" zu verbinden, oder?! Dazu: Hör bloß auf, gerade das Problem hatte ich gerade. Aber geh immer davon aus, das bei mir ist der absolute Crash, der sonst so ganz selten ist. Mein Router samt Firewall hat mich bisher jahrelang zuverlässig geschützt. Und man muss wissen woher und wie er durch kommt. Also ungehindert remoten kann er erstmal nicht wenn man die Ports nicht Ausversehen öffnet. Und das ein Trojaner wütet kann man mit diversen Anti-Trojanern verhindern (so schlau bin ich jetzt auch). Was man verhindern muss ist sicherheitsproblematische Tools laufen lassen. Ich hatte bei mir aufm Server ICQ immer am Laufen, darüber kam er rein. Da hätt auch nicht Dein NIS geschützt, da es ja von Dir autorisiert gewesen wäre. Hätt ich schon ein Anti-Trojaner gehabt, hätte der dies aufgedeckt. Zitat: wenn es jemand durch die firewall schafft, hat er dann automatisch auch zgriff auf mein netzwerk oder nur auf den rechner, der gerade online ist? Auf den Rechner der online ist und auf Deine Netzwerkfreigaben, natürlich nur auf die die für jeden da sind. Und da kommt das OS ins Spiel. Mit W98 hast Du nicht viel Möglichkeiten Rechte zu vergeben und somit ist Dein ganze Netzwerk offen. Zitat: wie sieht es zum thema filesharing und sicherheit mit router-firewall aus? ist da ein nachteil gegenüber der norton firewall??? d.h. können die mir dann ungehindert durch en freigeschaltenen port der router.firewall trojaner, viren oder ähnliches schicken??? Nein. Es sei denn Du lädst einen Vir/Troj runter der sich als irgendwas tarnt,- alles schon gewesen... Zitat: Und wichtig natürlich von der WAN-Seite her standartmäßig zumachen" was meinst du genau damit? Ist eine Option der Routerfirewall.

An Deiner Stelle würde ich die Security lassen. Du hast nen Router, muss man sich zwar mal ranmachen aber dann lüppt er. Und das was Du meinst, bei der NIS ist die Programmsteuerung, das macht ja so in der Art ein Router nicht. Da kannst Du ja erstmal die Standartkonfiguration des Routers nutzen. Dann googelst Du Dich mal ein wenig über Ports durch und siehe da man erfährt welche man denn wirklich braucht. Auch gibt es für die meisten Router z.B. bei den Herstellern in Foren Anleitungen zur Konfiguration (Longshine, sehr empfehlenswert). Schau Dir das mal genauer an, im Endeffekt einfacher als Dein NIS. Man muss nur wissen was man will. Standartports sind z.B. 21 für FTP 25, 110 für Mail 53 für DNS 80 für Html also Internet Naja und was man dann noch so braucht. Und wichtig natürlich von der WAN-Seite her standartmäßig zumachen. Gute Port-Übersicht findest Du hier: http://home.t-online.de/home/TschiTschi/well_known_ports.htm

Hi, hmm, naja also die Hosts konnte ich ja überprüfen. Die sind sauber, also nur der local auf den Clients und beim Server der local und von Hand eingetragen die Addy der Servernetzwerkkarte in Verbindung der eigenen Domäne. Also, die Art des Angriffs war ja wohl noch nicht so bekannt. Aber da sich das Teil rasend schnell über meine und wer weiß noch welche Websites inklusive ICQ-Clients verbreitet hat, denke ich mal das die bei Symantec usw. was davon mitbekommen haben, ich habe zumindest die letzten Tage fast täglich nen Update bekommen, sonst ist es eins in der Woche. Und mein Virenscanner und diverse Anti Trojaner finden aber nichts. Zumal ich alle Rechner komplett neu aufgesetzt habe.Aber selbst diverse Komplettscans brachten nix zu Tage. Hast Du vielleicht ne Idee wonach ich in der Reg. suchen könnte? Es ist auch so, wenn ich den Explorer per Task kille, beendet er zwar auf dem Desktop, im Manager hängt er aber noch fest. Wenn man ihn dann mittels neuem Task startet bekommt man Zugriff auf das Netzlaufwerk. Wenn man sich so (killen, reanimieren) durch alle Laufwerke durchgehangelt hat, hat man Zugriff auf alle Laufwerke. Da man wie schon gesagt, z.B. mit dem Mailproggi aber immer Zugriff auf den Postordner der auch im Netz liegt hat, ist ja an sich nicht der Netzverkehr behindert. Aber Deine Gedanken sind gut, nur wie weiter...?

Hi, hat keiner mehr ne Idee? Habe inzwischen den Server nochmals komplett gekillt und nun kein DNS mehr zu laufen. Trotzdessen hab ich aber immer noch diese Probleme.

Den DNS hab ich durchs AD konfigurieren lassen bei der Heraufsetzung zum DC. Den DHCP lass ich übern Router laufen für den Fall das der Server mal aus ist.

Dankeschön, toll für die schnelle Reaktion. 2003, und der Server selber. 2003 erzeugt meines Wissens nach diesen ominösen "."-Eintrag nicht mehr. zumindest hab ich ihn nicht mehr gefunden. Beim 2000er Server geb ich Dir allerdings recht.

:D Hi Leute, :D Ich bin nun ganz neu hier bei Euch obwohl ich schon oft mir Hilfe hier geholt habe. Ich muss dazu sagen, unbeleckt bin ich nicht , eher beruflich hauptsächlich in Netzwerkfragen vorbelastet (Ihr versteht hoffentlich wie ich das meine). Nun habe ich aber wirklich mal ein Problem bei dem ich an meine Grenzen komme und ich hier bei Euch auch nichts gefunden habe. Aber in Teamwork kommen doch imer die besten Lösungen zu Stande. Also es geht um eine Serverdomäne. Bis letzte Woche lief alles ganz prima hier bei mir, nur hab ich einem fiesen Trojaner (trotz AntiVir) der per ICQ-Nachricht über die Router-Firewall drüber kam aufgesessen. Der Typ hat sich meine Config-Datei vom TotalCommander (dummerweise mit Passwörtern, man lernt nie aus...) gegriffen und dann auf meinen Websites einen Virenscript eingebaut. Nachdem Passwörter geändert wurden setzte ich sämtliche Rechner im Netz neu auf, man weiß ja nie. Seitdem bekomme ich kein stabiles Netz mehr hin. Also, die Einrichtung klappte ohne Problem, alles mit AD verwaltet, alle richtige Netzwerkadressen, DHCP vom Router, Server hat ne feste wegen DNS-Server, alles keine Probleme. Und dann, wenn der Server ne Weile läuft und ich mit den Clients mit dem Explorer auf die Serverlaufwerke (Dateiserver) zugreifen will, bleibt auf dem Client der Explorer hängen. Wenn ich dann mit dem Taskmanager den Explorer kille und neu reanimiere kann ich auf das Laufwer zugreifen. Dies passiert ohne Regelmäßigkeit Der Server hängt dann aber nicht. Ob ich dabei der Domäne angeschlossen bin oder ob nicht, das spielt keine Rolle. Ich hab ja auch schon an die Netzwerkkartentreiber gedacht, aber es ist auf beiden Clients, 1 Rechner, 1 Laptop, ... und es lief ja früher auch... Ich weiß nicht mehr..., Leute fangt an zu fragen... Ach ja noch kurz: Reines XP-Netzwerk...