SKANOWANIE PORTÓW

[Gość: lutzek]

Witam po raz kolejny, tym razem z nowym problemem )))
No tak, firewalla sobie już postawiłem, nawet dwa razy, pierwszy raz Outposta, ale wydawał mi się mało przyjazny, a teraz Kerio.

Przeglądam sobie na wyniki logów z ataków na mojego kompa i widzę, że 10 dziennie to norma. Ktoś tu zresztą już pisał, że 10 ataków to średnia ważona)))

Ale w czym problem? Otóż w tym, że większośc tych ataków jest blokowana na poziomie firewalla, co mnie bardzo cieszy. Ale widze także, że nie umiem ochronić się przed skanowaniem portów i codziennie ktoś mi je sobie skanuje, po kilka razy. Myślałem, że jak zrobię "blokuj" dla Ping In, to będę happy i będę mógł się śmiać w twarz temu, kto będzie chciał mi porty przeskanować. Ale widzę, że wciąż jestem ignorantem jeśli chodzi o zabezpieczenie swojego kompa, bo Ping In jest na "blokuj" a ktoś próbuje wciąż sprawdzić gdzie są u mnie dziury w zabezpieczeniach.

Czy mogę liczyć na jakąś pomoc w przybliżeniu mi, jak powinienem ustawić firewalla, by nie dopuszczać do skanowania portów?

Z wdzięcznością
lutzek

[Gość: prot]

Niestety, Kerio nie ma dokładnych informacji o atakujących komputerach - chodzi
mi tu o adres IP, sposób ataku i częstotliwość prób pojedyńczego agresora.
Jeżeli jednak chcesz dać mu wyraźną odpowiedź na jego próby to zainstaluj
trochę lepszego firewalla - z tymi funkcjami: darmowy Agnitum Outpost Firewall
bądź stosunkowo drogi Norton Internet Security. Być może znajdziesz jeszcze
inną aplikację tego typu. Po zdobyciu wymienionych wyżej informacji (czyli IP i
częstotliwości ataku [dobrze by było również posiadać informację o sposobie
ataku]) wejdź na stronę www.ripe.net i w pole "whois db" wpisz numer IP drania
i wciśnij "Search". Wyświetlą Ci się informacje o dostawcy usług internetowych -
tam powinien być tzw. abuse@nazwa.usługodawcy - na ten adres możesz wysłać
skargę na tego użytkownika. Pamiętaj aby opisać dokładnie sposób ataku.
Prawdopodobnie jeżeli będzie więcej skarg na tego "pacjenta" to zostanie
upomniany albo i gorzej ale to kwestia humoru administratora...

Poszukaj oczywiście łatek na Windowsupdate.

[netsec]

Gość portalu: lutzek napisał(a):

> Witam po raz kolejny, tym razem z nowym problemem )))
> No tak, firewalla sobie już postawiłem, nawet dwa razy, pierwszy
> raz Outposta, ale wydawał mi się mało przyjazny, a teraz Kerio.
>
> Przeglądam sobie na wyniki logów z ataków na mojego kompa i widzę, że 10
> dzienn ie to norma. Ktoś tu zresztą już pisał, że 10 ataków to średnia
> ważona)))
>
> Ale w czym problem? Otóż w tym, że większośc tych ataków jest blokowana
> na pozi omie firewalla, co mnie bardzo cieszy. Ale widze także, że nie umiem > ochronić się przed skanowaniem portów i codziennie ktoś mi je sobie skanuje,
> po kilka razy. Myślałem, że jak zrobię "blokuj" dla Ping In, to będę happy i > będę mógł się śmiać w twarz temu, kto będzie chciał mi porty przeskanować.
> Ale widzę, że wciąż jestem ignorantem jeśli chodzi o zabezpieczenie swojego
> kompa, bo Ping In jest na "blokuj" a ktoś próbuje wciąż sprawdzić gdzie są u > mnie dziury w zabezpieczeniach.
>
> Czy mogę liczyć na jakąś pomoc w przybliżeniu mi, jak powinienem
> ustawić firewalla, by nie dopuszczać do skanowania portów?

Skanowanie portów jest w ilości jaką podałeś zupełnie naturalnym zjawiskiem.
Niezależnie czy włączysz odpowiedź na PING czy nie to skanowanie i tak będzie miało miejsce. Wystarczy że komputer z tej samej podsieci jest zainfekowany wirusem który poszukuje komputerów bez łaty ot chociażby ostatni Sasser.
Sprawie należy przyjrzeć się wtedy, jeśli skanowanie odbywa się z konkretnych i tych samych maszyn. Można wtedy przypuszczać, że ktoś szuka naszych słabych punktów.
Jeśli chodzi o Kerio to mogę przesłać instrukcje jak optymalnie skonfigurować ten firewall, zachowując przy tym maksimum komfortu użytkowania.
Jeśli będziesz zainteresowany to napisz na mój e-mail w gazecie.

[Gość: lutzek]

Pozwoliłem sobie wysłać do Ciebie na konto Gazety e-maila z dokładniejszym opisem problemu.

Z góry Ci dziękuję za pomoc

lutzek

[netsec]

Gość portalu: lutzek napisał(a):

> Pozwoliłem sobie wysłać do Ciebie na konto Gazety e-maila z
> dokładniejszym opisem problemu.

Przeczytaj pocztę :)

[Gość: /etc/anihilation]

> Przeglądam sobie na wyniki logów z ataków na mojego kompa i widzę, że 10 dzienn
> ie to norma. Ktoś tu zresztą już pisał, że 10 ataków to średnia ważona)))

To trochę za dużo. Jeśli masz stałe IP, to masz większy problem. Jeśli nie, to
lepiej - wtedy skanowanie możesz przypisać przypadkowi.
Druga sprawa to rodzaj skanowania - jakie pory są najczęściej skanowane ?

[Gość: lutzek]

To nie jest w Kerio wyszczególnione, pojawia się w logach ataków taka informacja:

"Port scan has been detected" - IP np. 69.90.63.65 - network scan - priorytet:portscan - akcja: permited (a więc dopuszczone)

No i mam takich ataków po kilka dziennie. O takich komunikatach, nie wspomnę:

"Scan UPnP service discover attempt" - tutaj IP - networkscan - priorytet: low - akcja: dropped (a więc zatrzymane)

Tego dziennie są dziesiątki.

Czy powinienem się w takim razie czegoś obawiać?

dzięki z góry za odpowiedź
lutzek

[Gość: ass]

Jezeli uzywasz jakis program p2p to normalne.

[Gość: M]

No cóż, u mnie to chyba co minutę alert.