Port scan von Albanischen IP

[steelrat]

Hallo Leute,



Mein Bitdefender hat gerade gemeldet, dass ein Portscan geblockt wurde. Interessant hierbei ist die Tatsache, dass hier meine interne IP als Ziel genannt wurde. Muss ich jetzt davon ausgehen, dass die Firewall vom Router bereits umgangen wurde? Und welche Maßnahmen sollte ich noch setzen?

Da es bei einer einfachen Warnung der Firewall geblieben ist, denke ich mal hat das Script Kiddie wohl aufgegeben. Ein scan meines Systems hat keine Auffälligkeiten zu Tage gebracht nach diesem "Angriff".

[Dillinger]

mit "interne" meinst du eine private IP (zb 10...., 192.168...) ?
solche IP werden von routern ignoriert und können daher nicht von aussen angegriffen werden!
ev. hat der defender (auch) die umgerechnete (NAT) adresse mitgeloggt - oder der angriff kam aus deinem netz/rechner (was aber bei albanischer source-id) kurios wäre.
war es direkt die private rechner-IP oder die des routers?

[steelrat]

War die private IP des Rechners.

Und die Source IP war laut whois Abfrage von einem Albanischen Mobilfunk Anbieter.

Denke mal, dass das die eine unregistrierte PrePaid Karte war. Ein Burnphone eben.

[--pM]

Diese sogenannten Desktop-Firewalls machen Hauptsächlich eines, und zwar den Anwender irritieren, fälschlich in Sicherheit wiegen und durch solche Meldungen erschrecken. Okay, das waren drei Sachen, also hat sich der Kauf ja durchaus gelohnt. Wenn man keine Dienste auf dem Rechner laufen hat UND der Router korrekt konfiguriert ist UND korrekt funktioniert, kann man sich so einen Schmarn sparen.

[steelrat]

naja BitDefender hat bis jetzt aber NIE einen Alarm ausgegeben! bis gestern! war der Erste und bis dato einzigste gemeldete Versuch. Und die SPI am Router davor ist auch noch aktiv.

Und was den Rechner Angeht, sauberers System, keine "kopierte Software drauf" Alle Updates und einen aktuellen Virenscanner. (Bitdefender eben, 2013er)

Denke also, dass allein durch die Updates nicht allzu viele bekannte Lücken noch offen sind auf dem Rechner..

[--pM]

Das lässt sich ja einfach durch einen Scan mit nmap heraus finden ob irgendwie nach außen offen ist.

[steelrat]

OK! das Tool hab ich noch nie eingesetzt!

aber auf meine WAN IP angefragt ergibt sich hier gar nix! da bringt mir das Programm nur die Rückmeldung HOST DOWN.... das sollte soweit auch passen, da ich dem Router ja verboten habe mit aussen zu sprechen oder auf ICMP Requests von aussen zu antworten...

[steelrat]

und noch mal ein SCAN... diesmal von einer Vietnamesischen IP--


langsam nervt es.

[Dillinger]

mach mal den shieldsup-test auf www.grc.com - klick auf: shieldsup!! , shieldsup! , proceed, all service ports
meldet bitdefender dann auch etwas?

[steelrat]

also wenn ich die FW am Router aktiviere hab ich dieses Ergebnis:

GRC Port Authority Report created on UTC: 2013-09-25 at 13:10:23

Results from scan of ports: 0-1055

0 Ports Open
7 Ports Closed
1049 Ports Stealth
---------------------
1056 Ports Tested

NO PORTS were found to be OPEN.

Ports found to be CLOSED were: 25, 53, 88, 135, 139, 445, 593

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.