2
Unkontrollierter Internet-Call in einem Win 2K-Netzwerk via ISDN-Router ?
Welche Möglichkeiten zur Überprüfung gibt es?
Hallo und guten Tag an die gesammte Gemeinde,
dies ist mein erster Kontakt in diesem Board. Somit also schon einmal vorne weg, einen herzlichen Dank an alle, die mir hier helfen werden.
Nun zur Situation.
Ich betreibe in meinem kleinen Ein-Mann-Unternhemen ein kleines Win 2000-Netzwerk in der folgenden Konstellation:
Ein Win 2K Professional-Server als Domänencontroller,
ein Win 2K Professional-Server als File-Server,
2 WIN 2K Professional Clients (Desktop)
1 win XP Professional Client (Desktop)
1 win XP Prof Client (Laptop)
1 LanCOM Wireless IL-2 ISDN-Router (Kanalbündelung) mit Firewall (Hardware) und IP-Routing für den Zugang aller Arbeitsplätze ins I-Net.
Die Einwahl erfolgt, Last- bzw. Anforderungsabhängig on-demand.
Soweit, so gut.
Seit einiger Zeit ist festzustellen, dass ein Client (W2K Prof) eine nahezu permanente Verbindung zum I-Net fordert. Diese Tatsache ist verifiziert, da nur beim Betrieb dieses Clients, selbst bei erzwungenem Verbindungsabbruch, diese sofort wieder initialisiert wird.
Messbar sind für mich, mit den derzeitigen Mitteln nur die Anzal von ca. 1500 bis 2500 TCP/IP-Pakete in einer Stunde.
Meine Frage lautet: Gibt es eine Möglichkeit herauszufinden, welcher Hintergrundprozess dies verursacht?
Ich vermute irgend einen versteckten Prozess, der versucht Informationen mit welcher I_Net-Stelle auch immer auszutauschen. Diese Situation hat sich erst kürzlich eingestellt. Ich betreibe diese Konstellation schon mehrere Jahre. Eine Massivität dieser Art habe ich jedoch noch nicht gehabt.
By the Way: Mir ist sehr wohl bewusst, dass man sich "Trojaner" "einfangen" kann. Hatte ich dank AdAware bisher jedoch nicht, bzw. nicht lange. E.mail-System ist ebenfalls nicht als Ursache zu indentifizieren, da der gesammte Verkehr extern geführt wird. (Viruserkennung, Spam, Pishing etc.)
Ich vermute, dass irgend eine kürzlich installierte Software involviert ist. Jedoch habe ich bisher keine Möglichkeit gefunden den Verursacher zu indentifizieren.
Ich wäre für jede Hilfestellung dankbar, auch wenn es nur der freundliche Hinweis auf einen der Millionen Threads innerhalb des Forums wäre. (Ich habe versucht zu finden, leider fehlt mir aber ein klein wenig die Zeit)
Deshalb schon im Voraus herzlichen Dank.
Gruß aus dem Siebengbirge
Michael G.
dies ist mein erster Kontakt in diesem Board. Somit also schon einmal vorne weg, einen herzlichen Dank an alle, die mir hier helfen werden.
Nun zur Situation.
Ich betreibe in meinem kleinen Ein-Mann-Unternhemen ein kleines Win 2000-Netzwerk in der folgenden Konstellation:
Ein Win 2K Professional-Server als Domänencontroller,
ein Win 2K Professional-Server als File-Server,
2 WIN 2K Professional Clients (Desktop)
1 win XP Professional Client (Desktop)
1 win XP Prof Client (Laptop)
1 LanCOM Wireless IL-2 ISDN-Router (Kanalbündelung) mit Firewall (Hardware) und IP-Routing für den Zugang aller Arbeitsplätze ins I-Net.
Die Einwahl erfolgt, Last- bzw. Anforderungsabhängig on-demand.
Soweit, so gut.
Seit einiger Zeit ist festzustellen, dass ein Client (W2K Prof) eine nahezu permanente Verbindung zum I-Net fordert. Diese Tatsache ist verifiziert, da nur beim Betrieb dieses Clients, selbst bei erzwungenem Verbindungsabbruch, diese sofort wieder initialisiert wird.
Messbar sind für mich, mit den derzeitigen Mitteln nur die Anzal von ca. 1500 bis 2500 TCP/IP-Pakete in einer Stunde.
Meine Frage lautet: Gibt es eine Möglichkeit herauszufinden, welcher Hintergrundprozess dies verursacht?
Ich vermute irgend einen versteckten Prozess, der versucht Informationen mit welcher I_Net-Stelle auch immer auszutauschen. Diese Situation hat sich erst kürzlich eingestellt. Ich betreibe diese Konstellation schon mehrere Jahre. Eine Massivität dieser Art habe ich jedoch noch nicht gehabt.
By the Way: Mir ist sehr wohl bewusst, dass man sich "Trojaner" "einfangen" kann. Hatte ich dank AdAware bisher jedoch nicht, bzw. nicht lange. E.mail-System ist ebenfalls nicht als Ursache zu indentifizieren, da der gesammte Verkehr extern geführt wird. (Viruserkennung, Spam, Pishing etc.)
Ich vermute, dass irgend eine kürzlich installierte Software involviert ist. Jedoch habe ich bisher keine Möglichkeit gefunden den Verursacher zu indentifizieren.
Ich wäre für jede Hilfestellung dankbar, auch wenn es nur der freundliche Hinweis auf einen der Millionen Threads innerhalb des Forums wäre. (Ich habe versucht zu finden, leider fehlt mir aber ein klein wenig die Zeit)
Deshalb schon im Voraus herzlichen Dank.
Gruß aus dem Siebengbirge
Michael G.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 53652
Url: https://administrator.de/contentid/53652
Printed on: April 25, 2024 at 00:04 o'clock
2 Comments
Latest comment
Den Verursacher zu finden ist recht einfach:
Du nimmst dir einen kleinen Hub und steckst dort den Router und eine Packet Sniffer auf. So einen Sniffer bekommst du als freien Download bei www.wireshark.org !
Wichtig ist das es ein Hub ist denn ein Switch verhindert das Mitsniffern.
Du suchtst dir dann eine Zeit nach Feierabend aus und snifferst dann mal den Taffic zum Router. Das kannst du sogar sukzessive machen in dem du nur einen Client Rechner pro Zeit einschaltest und siehst wer diese Packete verschickt.
Anhand der mitgesnifferten Packete kannst du meist auch sofort genau sehen welche Applikation das verursacht und dann Gegenmaßnahmen ergreifen.
Wenn du Glück hast biete dir dein Router auch eine Debug Möglichkeit die dir alle Packete anzeigt die den Dial Prozess am Router triggern...auch damit grenzd du den Bösewicht ein !
Allerdings solltest du dir im klaren sein das fast alle heutigen Betriebssysteme (Windows remote Update) und auch so gut wie alle Programme nach Updates im Internet suchen oder Userverhalten irgendwohin reporten.
Niemand macht sich meist die Mühe im Customizing vom Adobe Reade, vom Media Player und und und... dieses zu unterbinden. Wer kümmert sich auch drum das die Windows Uhr permanent versucht sich im Internet die Zeit zu holen ....??
Oder hats du schonmal die Uhrzeit in der Taskleiste geklickt und den Haken bei Internetzeit entfernt....
Du siehst..um das zu pflegen in einem Netz musst du wie Don Quichotte kämpfen und wirst nie siegen.... Bei einer ISDN Verbindung ohne Flatrate ist das natürlich auch essentiell wichtig willst du nicht immer zu viel Geld verbrennen....
Du musst das Pferd anders aufzäumen !!!
Als erstes gehst du an deinen ISDN Router und machst dort mit der Trigger Accessliste für den Dialer oder eine incomming Access Liste auf dem Ethernet Interface scharf.
Hier lässt du generell nur die Dienste (Ports) zu die du unbedingt benötigst.
Also z.B. Port 80 und 443 zum Surfen, Port 25 und 110 zum Emailen und das wars erstmal.
Alle anderen die Spielen oder ander böse Dinge machen sind geblockt und müssen dann bei dir betteln.. (Kontrolle !)
Wichtig ist hier die Windows NetBios Dienste über TCP unbedingt zu blocken !!!
Damit hast du schon mal 70% an Gefahren unterbunden. Diejenigen die per HTTP nach Updates fragen greifst du damit nicht..das ist klar aber das ist dann bei ISDN Finetuning am Rechner...was dir dann keiner abnehmen kann !!!
Du nimmst dir einen kleinen Hub und steckst dort den Router und eine Packet Sniffer auf. So einen Sniffer bekommst du als freien Download bei www.wireshark.org !
Wichtig ist das es ein Hub ist denn ein Switch verhindert das Mitsniffern.
Du suchtst dir dann eine Zeit nach Feierabend aus und snifferst dann mal den Taffic zum Router. Das kannst du sogar sukzessive machen in dem du nur einen Client Rechner pro Zeit einschaltest und siehst wer diese Packete verschickt.
Anhand der mitgesnifferten Packete kannst du meist auch sofort genau sehen welche Applikation das verursacht und dann Gegenmaßnahmen ergreifen.
Wenn du Glück hast biete dir dein Router auch eine Debug Möglichkeit die dir alle Packete anzeigt die den Dial Prozess am Router triggern...auch damit grenzd du den Bösewicht ein !
Allerdings solltest du dir im klaren sein das fast alle heutigen Betriebssysteme (Windows remote Update) und auch so gut wie alle Programme nach Updates im Internet suchen oder Userverhalten irgendwohin reporten.
Niemand macht sich meist die Mühe im Customizing vom Adobe Reade, vom Media Player und und und... dieses zu unterbinden. Wer kümmert sich auch drum das die Windows Uhr permanent versucht sich im Internet die Zeit zu holen ....??
Oder hats du schonmal die Uhrzeit in der Taskleiste geklickt und den Haken bei Internetzeit entfernt....
Du siehst..um das zu pflegen in einem Netz musst du wie Don Quichotte kämpfen und wirst nie siegen.... Bei einer ISDN Verbindung ohne Flatrate ist das natürlich auch essentiell wichtig willst du nicht immer zu viel Geld verbrennen....
Du musst das Pferd anders aufzäumen !!!
Als erstes gehst du an deinen ISDN Router und machst dort mit der Trigger Accessliste für den Dialer oder eine incomming Access Liste auf dem Ethernet Interface scharf.
Hier lässt du generell nur die Dienste (Ports) zu die du unbedingt benötigst.
Also z.B. Port 80 und 443 zum Surfen, Port 25 und 110 zum Emailen und das wars erstmal.
Alle anderen die Spielen oder ander böse Dinge machen sind geblockt und müssen dann bei dir betteln.. (Kontrolle !)
Wichtig ist hier die Windows NetBios Dienste über TCP unbedingt zu blocken !!!
Damit hast du schon mal 70% an Gefahren unterbunden. Diejenigen die per HTTP nach Updates fragen greifst du damit nicht..das ist klar aber das ist dann bei ISDN Finetuning am Rechner...was dir dann keiner abnehmen kann !!!
Hallo aqui,
schon einmal herzlichen Dank für die umfassende Antwort. Werde also mal sniffern gehen.
Im Übrigen
, ja Du hast vollkommen Recht, da gibt's mitlerweile fast nichts mehr, was nicht versucht sich mit dem I-Net zu verbinden. Bisher war ich aber immer ganz glücklich, dass ich's gut eingrenzen konnte. (Also, danke, ... die meisten Dinge kannte ich wirklich bereits). Nur nun wollte nichts, was bisher geholfen hat, mehr funktionieren. Danke also für jetzt. Mal sehn was dabei herauskommt. Werde berichten... auch für "Zukünftige".
Gruß aus dem Siebengebirge
Michael G.
schon einmal herzlichen Dank für die umfassende Antwort. Werde also mal sniffern gehen.
Im Übrigen
, ja Du hast vollkommen Recht, da gibt's mitlerweile fast nichts mehr, was nicht versucht sich mit dem I-Net zu verbinden. Bisher war ich aber immer ganz glücklich, dass ich's gut eingrenzen konnte. (Also, danke, ... die meisten Dinge kannte ich wirklich bereits). Nur nun wollte nichts, was bisher geholfen hat, mehr funktionieren. Danke also für jetzt. Mal sehn was dabei herauskommt. Werde berichten... auch für "Zukünftige".Gruß aus dem Siebengebirge
Michael G.
