j.angstroem
Goto Top

War der Rechner online?

Unerwünschte Einwahl ins Internet

Hi,
es geht mal wieder um das Büronetz eines Freundes. Der will ausdrücklich keine Internetverbindung, weil er mit extrem sensiblen Daten umgeht. Sein IT-Supporter sollte ihm aber über eine ISDN-Karte eine Faxmöglichkeit einrichten, und zwar für alle 6 Rechner (Windows XP). Mit Hilfe von KEN! klappt das auch über eine ISDN-Leitung. Jetzt hat sich aber herausgestellt, dass ein PC (der, auf dem KEN! installiert ist) sehr wohl online gehen kann. Heraus kam das, als kürzlich das ServicePack 2 installiert wurde (weil eine andere Anwendersoftware ohne das SP2 nicht lief) und die Windows-Update-Funktion Vollzug meldete, also die aktuellen Updates eingespielt hatte.
Jetzt sieht es so aus, als sei zumindest dieser Rechner schon seit längerem online gewesen -und zwar ohne Patches, Antivirenprogramm und Firewall!! Mein Freund ist in heller Aufregung und ziemlich sauer auf seinen Supporter, weil dieser KEN! zwar erfolgreich als Fax-Software eingerichtet hat, jedoch zugelassen hat, dass zusätzlich eine Internet-Einwahl möglich ist.
Meine Frage: Kann ich feststellen, ob dieser PC tatsächlich online war? Vielleicht in der Registry? Wo genau?
Wenn eine unerwünschte Einwahl stattgefunden hat, besteht auch die Möglichkeit eines unerwünschten Eindringens von außen bzw. Malware kann sich im gesamten Netz ausgebreitet haben. Sehe ich das richtig?
Danke schön. Ich grüße euch.
J

Content-Key: 74166

Url: https://administrator.de/contentid/74166

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: brammer
brammer 22.11.2007 um 08:53:15 Uhr
Goto Top
Meine Frage: Kann ich feststellen, ob dieser
PC tatsächlich online war? Vielleicht in
der Registry? Wo genau?

Ganz einfach: Auf der Telefonrechnung!
Normalerweise werden heute die meisten Telefonrechnungen mit einem Einzelverbindungsnachweis ausgeliefert, und Rufnummern von Internetanbietern bzw. Sonderrufnummern werden eigenltich immer gesondert aufgelistet.

Wenn eine unerwünschte Einwahl
stattgefunden hat, besteht auch die
Möglichkeit eines unerwünschten
Eindringens von außen bzw. Malware kann
sich im gesamten Netz ausgebreitet haben.
Sehe ich das richtig?

die Möglichkeit besteht prinzipiell bei jedem Rechner der Bestandteil eines Netzes ist.
Das Eindringen von außen ist immer dann möglich wenn Kontakt nach außen besteht.
Was mich eigentlich wundert, das eine DFÜ Verbindung für die ISDN karte konfiguriert sein muss
damit der Rechner online gehen kann, und diese Verbindung muss irgend jemand eingestellt haben.
Insofern ist eigentlich der Verantwortlich der die DFÜ Verbindung konfiguriert hat. den KEN wählt die Faxnummern ja nicht als DFÜ Verbindung sondern als Telefonverbindung.

Danke schön. Ich grüße
euch.
J


brammer
Mitglied: compispezi
compispezi 22.11.2007 um 08:54:44 Uhr
Goto Top
Hi,

online gehen, kann ein Rechner mit ISDN Karte nur, wenn ein DFÜ Netzwerk Zugang eingerichtet wurde. Von einem Rechner der sich von selbst einen Internetzugang einrichtet hab ich noch nichts gehört. Teilweise werden Rechner zwar mit AOL oder anderen Bundle Angeboten vertrieben aber wenn dein Freund dem Supporter explizit mitgeteilt hat das er keinen Internetzugang wünscht sollte dieser kein solches Bundle einsetzen.

Also einfach mal ins DFÜ Netzwerk des betreffenden Rechners schauen dort findest Du die Einwahlparameter wenn dort ein Eintrag drinsteht sollte man erst mal feststellen wer denn den Zugang eingerichtet hat.

Wenn man verhindern will, das eine ISDN Karte ins Internet geht, muß man einfach der Karte das TCP/IP Protokoll entziehen.

Für eine reine Faxlösung würde ich jedoch ein Modem, evtl sogar ein Speichermodem verwenden. Wenn man dort die lautsprecher nicht abschaltet, hört man jeden Einwahlversuch.

Das Servicepack2, wie übrigens alle anderen Patches und Updates kann man sehr wohl auch ohne eine aktive Internetverbindung Installieren, gerade das SP2 mit 160Mbyt wäre es eine mühselige Angelegenheit dies über die ISDN Karte einzuspielen. Daher ist dieses einigen PC Zeitschriften beigelegt worden.

Gruß
Helmut
Mitglied: J.Angstroem
J.Angstroem 22.11.2007 um 09:09:37 Uhr
Goto Top
Ich vergaß etwas, bitte entschuldigt meine Schußlichkeit.
In KEN! wurde ein Benutzer namens Freenet angelegt, der sich über eine der Freenet-Nummern ins Internet einwählen kann. Geschützt ist das Ganze mit einem Kennwort, dass niemand kennt und das darum auch nicht verändert oder gelöscht werden kann, jede Änderung an dieser Konfiguration wird ohne Kennwort abgelehnt.
Für mich sieht es so aus, als habe der IT-Mann bei der Einrichtung der Fax-Funktion und KEN! probiert, ob eine Internet-Einwahl klappt und dann vergessen, die Einwahlmöglichkeit wieder zu deaktivieren.
So, jetzt wißt ihr alles. Was meint ihr dazu?
Mitglied: J.Angstroem
J.Angstroem 22.11.2007 um 09:16:35 Uhr
Goto Top
Danke übrigens für den Tipp mit der Telefonrechnung, Helmut. Im Moment kann ich da nicht reinschauen, weil ich nicht vor Ort bin. Aber gibt es nicht doch eine Kontrollmöglichkeit über die Registry?
Mitglied: brammer
brammer 22.11.2007 um 09:18:50 Uhr
Goto Top
Hallo,

wenn eine DFÜ Verbindung aufgebaut werden kann dann kann auch ein Kontakt nach Außen zustande kommen.
Allerdings ist mir keine Malware bekannt die in der Lage ist gleich noch das Passwort zu knacken.
Das heißt eigentlich sollte der Rechner nur dann online gehen könne wenn jemand das Passort eingibt!
sonst geht es nicht!
Aber wieso existiert eine DFÜ Verbindung wenn der Rechner nicht online gehen darf?

brammer
Mitglied: brammer
brammer 22.11.2007 um 09:19:58 Uhr
Goto Top
Helmut?

wer ist das?

brammer
Mitglied: KHP
KHP 22.11.2007 um 09:28:35 Uhr
Goto Top
Hallo,

ich denke die Gefahr eines Eindringens über KEN! ist ziemlich gering. Die Software verfügt über eine Firewall und einen Proxyserver, somit sind die Ken!Clients relativ gut abgesichert. Wenn kein Client-User wahrlos im Netz rumgesurft ist und sich was eingefangen hat, ist ein Befall des Systems recht unwahrscheinlich.

Die Internetverbindung wird über die Clientsoftware von KEN eingerichtet. Hierzu wird ein Proxyserver in den Verbindugseinstellungen des IE eingetragen. Somit funktioniert das Inet.

Mich wundert nur, dass der Supporter die Zugangsdaten bei KEN eingerichtet hat bzw. KEN lässt sich auch ganz einfach dauerhaft offline schalten...

Gruß, Tobias

p.s. Kontrollmöglichkeit: Im KEN (Server) gibts eine Statikstik über Onlineaktivitäten...schau mal rein!
Mitglied: compispezi
compispezi 22.11.2007 um 09:31:24 Uhr
Goto Top
Das mit der Telefonrechnung war Brammer face-wink

Bei KEN wurde ein Internetzugang bei Freenet eingerichtet?
Dieser Internetzugang wurde Konfiguriert und dann die Konfiguration mit einem Passwort geschützt? (Dies macht man so, damit keiner die Konfiguration verändern kann).
Ist die Verbindung möglich? Hast Du denn geprüft ob der Rechner ins Internet geht??

Ohne Passwort kann man den Freenet Zugang auch nicht mehr löschen. Also suche die Kommunikation. Ruft bei dem IT Supporter an und lasst euch das Passwort nennen.

Evtl. hat der Supporter bei der Installation ja nur einen Treiber benötigt und anschließend vergessen den Zugang wieder zu entfernen. Ist zwar dämlich aber auch menschlich. Also deshalb muß dein Freund den Supporter ja nicht gleich verdammen.

Wenn sensilble Daten im Netzwerk jongliert werden würde ich aber vorzugsweise eine Serverlösung bevorzugen.
Mitglied: J.Angstroem
J.Angstroem 22.11.2007 um 09:44:50 Uhr
Goto Top
Hi, compispezi,
die Verbindung ins Internet ist definitiv erfolgt, denn wie sonst sollen die aktuellen Windows-Updates in den Rechner gekommen sein?
Hi, Tobias,
mir ist klar, dass KEN! einen Proxy / Firewall hat, aber nenne mir eine Schutzvorrichtung, die sich nicht überwinden läßt. Mein Freund wollte nun mal ausdrücklich kein Internet in seinem Netz - diese Haltung ist zwar evtl. überängstlich, aber darauf hat er immer großen Wert gelegt. Und nun das! Ihm reicht schon die Möglichkeit, dass Malware eingedrungen sein könnte. Das ist schon die Katastrophe.
Mitglied: J.Angstroem
J.Angstroem 22.11.2007 um 10:52:02 Uhr
Goto Top
Hi, besonders an compispezi,
habe deinen Rat befolgt und telefoniert. Der IT-Mann hat das Passwort genannt, und dann wurde die Freenet-Nummer durch eine fiktive, nicht funktionierende Nummer ersetzt. Eine Internet-Einwahl ist jetzt nicht mehr möglich. So weit so gut.
Der Kollege sagte mir, er habe damls einen Patch von AVM/KEN gebraucht und sei daher online gegangen. Anschließend habe er die Einwahlmöglichkeit wieder deaktiviert (jedenfalls wollte er das), indem er angehakt hatte, dass es sich bei dieser ISDN-Leitung um eine Nebenstelle handelt --- Menü innerhalb KEN!: Internet - Internet - Einstellungen - ISDN - Betrieben an Nebenstelle.
Tatsächlich aber handelt es sich bei der ISDN-Leitung um eine Hauptleitung, was der Kollege nicht wußte, aber hätte wissen müssen, hätte er einen vernünftigen Netzplan gehabt. Und bei Hauptleitungen hat der Nebenstellen-Haken keinen Einfluß, dh. eine Internet-Einwahl ist jederzeit möglich. Und das hat er abschließend nicht kontrolliert, zumindest das muß er sich vorwerfen lassen.
Aber um das Ganze nicht zu hoch zu hängen: Wir gehen mal davon aus, dass nichts Sicherheitsrelevantes passiert ist und lassen es gut sein. Der Vorgang wird aber dokumentiert und abgeheftet, falls doch mal später ...
Gut so?
Mitglied: compispezi
compispezi 22.11.2007 um 15:24:39 Uhr
Goto Top
Hi,

wieso habt Ihr die Nummer entfernt. Schmeißt doch den ganzen Eintrag raus.

KEN ist eine Software, welche den Rechnern im Netz die keine ISDN Karte eingebaut haben eine solche vorgaukeln soll. Somit sind auf diesen Rechnern auch die vollen Möglichkeiten vorhanden als wenn eine ISDN Karte eingebaut ist.

Wenn hier den Rechnern lediglich das Faxen ermöglicht werden soll, würde ich KEN rausschmeissen und durch ein Groupware Faxprogramm wie z.B. DAVID verwenden.

Gruß
Helmut
Mitglied: J.Angstroem
J.Angstroem 22.11.2007 um 16:28:09 Uhr
Goto Top
Hab mir David gerade mal angesehen. Nicht schlecht. Danke für den Tipp, Helmut.
Euch anderen ebenfalls vielen Dank.
Gruß
J.