1. Bitte immer die Rechnerkonfiguration komplett posten!
    Vollständige Angaben zur Konfiguration erleichtern die Hilfestellung und machen eine zügige Problemlösung wahrscheinlicher. Wie es geht steht hier: Klick.
    Information ausblenden

Router / Verbindungsversuche,Portscan

Dieses Thema im Forum "Heimnetz und WLAN" wurde erstellt von Carsten G., 10. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Carsten G.

    Carsten G. Kbyte

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    180
    Hallo,

    seitdem ich einen Router mit Nat habe haben sich die Zugriffsversuche aus dem Internet (Portscans etc) natürlich erheblich reduziert. Reduziert! Hin und wieder kommt es trotzdem vor, das ich Zugriffsversuche in der Log Datei in der Firewall entdecke.

    Bislang dachte ich immer das wäre unmöglich mit einem Nat Router?!
    Welcher Art sind diese Zugriffe und wie funktioniert das trotz Hardware Firewall?

    Viele Grüße!

     
  2. Toby

    Toby Halbes Megabyte

    Registriert seit:
    20. Juni 2000
    Beiträge:
    559
    Hallo,

    also zunächst einmal ist es aufgrund des NAT-Konzeptes schon mal nicht möglich, auf das hinter dem Router liegende Netzwerk zuzugreifen, solange kein Port-Forwarding eingestellt ist.

    Die NAT-Funktion speichert einfach unter anderem den Ausgangsport und das Ziel der Anfrage in einer intern verwalteten NAT-Table. Das ankommende Datenpaket als Antwort auf die Anfrage enthält Quell- und Ziel-IP und die verwendeten Ports. Passen diese Informationen zur intern gespeicherten NAT-Table, kann das Datenpaket an den Rechner im privaten Subnetz weitergeleitet werden. Passen diese Informationen nicht überein, weil sie fehler- oder lückenhaft, wird das Datenpaket verworfen.

    Es stellen sich deshalb zunächst einmal folgende Fragen:
    - Welche Art von Zugriffsversuchen finden sich in Deinem Logfile?
    - Wer zeichnet das Logfile auf (lokale PFW oder der Router)?
    - Hast Du Port Forwarding aktiviert?

    Zudem sind nicht alle Verbindungen gleich auf böhse Onkelz zurückzuführen. Häufig kommt es vor, dass direkt nach der Einwahl ins Internet Zugriffsversuche auf die typischen P2P-Ports stattfinden, weil kurz zuvor ein User diese IP hatte und mit einem FileSharing-Tool gearbeitet hat. Weiter lassen sich Zugriffsversuche leicht durch den für ein IP-Netzwerk typischen Statusverkehr erklären.

    Wenn Du nun Verbindungen feststellst, die Du keinem Programm zuordnen kannst und die "von innen" stammen, muss man sich fragen, welches Programm dafür verantworltich ist. Gerade bei unbekannten Verbindungen dürften wohl Würmer/Trojaner und Spyware die üblichen Verdächtigen sein. Neben einem anständigen Virenscanner würde ich mal AdAware oder Spyware Search and Destroy laufen lassen.

    Das Problem ist zudem, dass die Logfiles, abhängig vom jeweiligen Routermodell, stark in ihrer Qualität wechseln. Entweder ist der Router gar nicht in der Lage, ein vernünftiges Logfie zu erstellen, das Logfile enthält zu wenige Informationen oder es gibt keine Möglichkeiten, den Umfang der Logfileerstellung zu steuern und man bekommt jeden uninteressanten Mist mit.

    Ich importiere mir solche Files ganz gerne nach Access (weil das im Gegensatz zu Excel keine Größenbeschränkung für die Tabelle kennt). Wenn das File gleich noch mit Tablulatoren getrennte Werte enthält, bekommst Du so eine sehr übersichtliche Tabelle, die Du dann nach Lust und Laune filtern kannst

    Viele Grüße,
    Toby
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen