öffentliche IP-Adressen

Hi,

Du kannst ein whois absetzen:

http://ws.arin.net/cgi-bin/whois.pl

Wenn der entsprechende Range nicht von ARIN selbst verwaltet wird, dann wird der zugehörige Registrar angegeben (zB RIPE o.a.), der dann widerum auf seinen ISP verweist, der dann evtl. seinem Kunden mal ans Bein pinkeln kann.

Bevor Du den entsprechenden ISP dann ansprichst, prüfe bitte erst einmal, ob es sich überhaupt um eine richtige Attacke handelt. Oft zeigen solche Firewall-logs nämlich ziemlichen Müll an, da wird dann aus einem Portscan eine gefährliche Attacke oder aus einem Broadcast wegen eines falsch konfigurierten Gerätes direkt ein dDos.

Wahrscheinlich erhältst Du im Zweifelsfall noch nicht mal eine Antwort. Es lohnt eigentlich meist die Mühe nicht und in der Regel ist das was Du siehst auch nicht wirklich gefährlich. Was siehst Du denn im Log?

Grüße,
fritzo

Du kannst damit meistens nur den Provider herausfinden, mehr nicht. Ist in der Symantec Firewall integriert. Da die meisten IP Adressen nur dynamisch genutzt werden bringt es nur damm was wenn man zur Polizei gehen muß, weil eine riesen Attacke gestartet wurde. Diese können dann den User ermitteln.

tzippi

Hi,


Was denn sonst noch? Leider sind Dialin-Hostnamen idR nicht nach dem Muster hans.hacker@terrorkom.tel aufgebaut, das wär ja auch man zu einfach. Anders als über den ISP kommt man eh nicht an irgendwelche Daten; es sei denn, man scannt seinerseits - aber dann ist man eigentlich schon auf der selben Stufe wie der potentielle Angreifer bzw das Scriptkid, das gerade mit roten Bäckchen und einem freudigen Grinsen im Gesicht seinen ersten Portscanner bedient und darauf wartet daß es einen offenen Port findet *moo!*.


Na wenigstens ein nützliches Feature hat das Tool ;-D


Genau; exakt das, was ich bereits zum Ausdruck gebracht zu haben gehofft hatte. Ein ISP gibt nur dann Daten heraus, wenn eine Straftat vorliegt und er explizit von den netten kleinen grünbraun gekleideten Mützentrollen darum gebeten wird. Ein portscan oder aber auch ein erfolgloser kleiner ddos über Das Große Böse Internet (tm) reicht da meist nicht aus. Man kann sich aber zum Beispiel Charakeristika des entsprechenden Angreifers merken für später (zB für eine Auswertung mit Snort oder zum Googlen nach Attacken im Zusammenhang aus den entsprechenden Ranges). Aber das ist eigentlich alles viel zu aufwendig für einen kleinen Scan. Wenn ich jedem Scan in meinen Logs nachgehen wollte, hätte ich überhaupt keinen Nachtschlaf mehr

Grüße,
fritzo

Es ist bekannt, dass die durch solche Firewalls (ob in Routern eingebaut oder in Softwareform existent) ausgegebenen Fehlermeldungen und Warnungen bezüglich Attacken absolut unnötig und nur verunsichernd sind.

Wenn du wirklich vernünftige Warnungen erhalten willst, so wäre ein ausgefeiltes Intrusion Detection System fällig, was aber für den Hausgebrauch viel zu teuer und aufwendig ist.

Aber der Hausanwender will ja von einer Firewall mit supertollen Meldungen genervt werden, schließlich will er ein warmes Gefühl im Bauch haben: "das Ding hat mich gerade wieder vor dem Weltuntergang gerettet"...

In meinen Augen sind solche Tools in den Händen einer Person, die absolut nicht weiss, was die Dinger leisten können, absolut unnütze und garnichts wert!

Mupfel

Najaaa,

sagen wir mal, daß die Millionen von Windowskisten jetzt wenigstens nicht mehr ganz so einfach zur Datenschleuder für Würmer wie Sasser etc. werden ist doch schon mal was.

IDS - Snort reicht für den Hausgebrauch aus. Aber am besten ist es, einfach alle Dienste zu beenden, die man nicht braucht, schont Ressourcen und Nerven.

Firewall - kann mich noch an meine erste erinnern, da hab ich auch bei jedem Frickel-Vanilla-Portscan direkt nslookup angeschmissen und wollte rausfinden wer mich denn da nun wieder scannt ;) Mann, was für ne unnütze Arbeit das war und wieviel Zeit da drauf ging... am besten ist einfach, nix zu tun außer vielleicht zusehen, daß alles schön dicht ist und bleibt.

Grüße,
fritzo

Ich wollte ja nicht sagen, dass ich was gegen Firewalls (ob desktop oder andere) habe, sondern ich bin der Meinung, dass die, die sowas einsetzen, sich wirklich über deren Funktionsweise und Fähigkeiten klar sind! Das bedeutet jetzt nicht, dass man dem Marketinggeschwätz auf der Schachtel oder Webseite glaubt und dies auswendig kennt, sondern dass man sich wirklich mal vorher mit der Materie auseinandersetzt, sich mal anschaut, welche Dinge überhaupt beim TCP/IP und den anderen Protokollen (die häufig als Angriff gemeldet werden) passieren!

Ich erläutere jedem meiner Kunden, denen ich sowas einrichte, was genau das Ding kann und was nicht.

Firewalls schützen ja nicht nur vor Angriffen, wenn sie richtig konfiguriert sind, sie können auch massiv den normalen Betrieb empfindlich stören.

Wir arbeiten z.B. sehr viel mit VPN-Verbindungen (Cisco-VPN-Clients). Hier haben schon ettliche Nutzer mit Zonealarm etc. die dumme Erfahrung sammeln müssen, dass ihre VPN-Verbindung nach 5 Minuten (egal, ob idle oder nicht) abbrechen und sie sich nochmal neu anmelden müssen, bei anderen Nutzern bleibt die Verbindung 8h und länger stehen!

Das Ganze passiert nur, weil so eine dämliche Firewall auf dem Rechner falsch konfiguriert wurde. Und das sogar noch, wo wir in unserem Netz für normale Arbeitsplatzrechner garkeine Firewalls empfehlen, weil wir an den Routern der Subnetze schon entsprechend filtern und die Subnetze recht klein sind (32 Hosts z.B.).

Desktop-Firewalls sind in meinen Augen in erster Linie ein wunderbares Mittel zum Geldverdienen - einmal für den Hersteller und zum anderen für Supportdienstleister!

Mupfel