Jump to content

DOS-Angriff von innen verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Original geschrieben von DeathAndPain

 

Das gilt für alle mir bekannten Anti-Virus-Gateways. Wie willst Du es anders technisch realisieren, den gesamten Traffic (HTTP und SMTP), der in Dein Netz hineinfließt, nach Viren zu scannen? Bezüglich Email könnte man vielleicht noch was direkt auf dem Mail-Server machen. Aber wenn Du HTTP transparent scannen möchtest, ist doch ein Proxy-Server die naheliegendste Lösung. Insofern ist das, was ich hier geschildert habe (mit Viruswall in DMZ der Firewall), die branchenübliche Konfiguration.

 

 

Du könntest zum Beispiel eine Bridge nehmen? Wenn du weisst was ich meine.....

 

Original geschrieben von DeathAndPain

Der war schon immer offen. :) Du meinst sicherlich 8080.

 

 

Nix für ungut, Velius, ich weiß Deine Bemühungen wirklich zu schätzen, aber bitte erst mal genau lesen, worum es bei der Frage eigentlich geht.

 

 

1.: Ja den habe ich gemeint

2.: Im ersten Post hast du noch von geöffneten Verbindungen und später von Ports geredet...... :rolleyes: :rolleyes:

 

 

Nur 'mal was zum Veranschaulichen:

 

 

Proto Lokale Adresse Remoteadresse Status

TCP 10.81.81.33:1211 213.221.253.137:80 HERGESTELLT

TCP 10.81.81.33:1212 195.186.69.127:80 HERGESTELLT

 

 

Na? Fällt dir was auf??

 

...und 3.: Nicht frech werden ja, irgendwo beim lesen deiner Post hatte ich das komische Gefühl, dass du die Antwort auf deine Frage schon selber kennst, falls nicht, dann dein Pech!!

Link zu diesem Kommentar

Velius:

Du könntest zum Beispiel eine Bridge nehmen? Wenn du weisst was ich meine.....

 

Eine Bridge in der Netzwerktechnik ist ein Gerät zur Verlängerung von Netzwerksegmenten, das ähnlich einem Repeater die Pakete auf der jeweils anderen Anschlußseite wiederholt, wobei sie aber anders als ein Repeater die Pakete logisch interpretiert und neu erzeugt und überdies in der Lage ist, eine Segmenttrennung zur Verminderung von Netzlast und Kollisionen durchzuführen.

 

Wie Du damit Internet-Traffic scannen möchtest, ist mir unklar. Sicher ist, daß der dafür allgemein übliche Weg der eines Proxyservers ist, der zwischen den Benutzer und das Internet geschaltet wird.

 

Velius:

2.: Im ersten Post hast du noch von geöffneten Verbindungen und später von Ports geredet......

 

Offen bleibt, worauf Du Dich mit dieser Aussage beziehst. Völlig unklar für mich, wovon Du jetzt redest.

 

Velius:

Na? Fällt dir was auf??

 

Ein typisches Log einer NAT-Verbindung. Dabei werden naheliegenderweise Ports umgesetzt, damit der NAT-Router die Verbindungen auseinanderhalten kann. Nach außen kommt jedoch stets nur Port 80 zum Einsatz, also gewöhnliche HTTP-Verbindungen. Hat mit dem in diesem Thread diskutierten Problem überhaupt nichts zu tun.

 

Velius:

Nicht frech werden ja

 

Ist es schlimm, wenn ich jetzt keine Angst habe?

 

Velius:

irgendwo beim lesen deiner Post hatte ich das komische Gefühl, dass du die Antwort auf deine Frage schon selber kennst,

 

Ich kannte einen möglichen Lösungsansatz und habe diesen im letzten Absatz des Threadanfangstextes auch dargelegt. Ich hatte allerdings Zweifel, daß dieser Ansatz erstens der bestmögliche und zweitens sicherheitstechnisch vertretbar ist und suchte daher Rat.

 

Velius:

falls nicht, dann dein Pech!!

 

Solche Sprüche Ratsuchenden gegenüber sind immer sehr hilfreich.

 

Jetzt sage ich mal, was ich denke: Du machst auf mich nicht den Eindruck, als ob Du das Problem hier überhaupt verstanden hast und überdies Bescheid über die üblichen - weil bewährten - Methoden wüßtest, wie man ein Mehrbenutzernetzwerk transparent gegen Viren durch HTTP und SMTP abschottet. Zu deutsch: Du weißt nicht, wovon Du redest. Die anderen, die auf diesen Thread geantwortet haben, wirkten in diesem Zusammenhang bedeutend kompetenter auf mich. Die haben verstanden, worum es geht und haben mir nicht meinen eigenen Lösungsansatz aus dem Ursprungstext als ihren genialen Einfall präsentiert, auf den ich mit ihrer Hilfe zum Schluß ja auch gekommen sei.

Link zu diesem Kommentar

Nur 'mal so nebenbei, aber die Bridge, die ich meine, hat mit einer einer Virus Scan Appliance zu tun. Da du dich mit dieser Technologie scheinbar nicht auskennst, ist es nicht verwunderlich, dass du so'n stuss schreibst.

 

Auf den Rest gehe ich nicht ein, denn ich habe dir freundlich versucht zu helfen, und im Gegenzug nur beschränkte Sprüche bekommen.

Wenn du damit nicht zufrieden bist, dann verzichte zukünfig darauf, denn du bist der erste Kandidat, der auf meiner Ignore-Liste platz geniommen hat. Weitere statements mir gegenüber würde nur dein Bedürfnis, dich rechtfertigen zu müssen, enttarnen.....

 

Whatever, boring!

Link zu diesem Kommentar

tja, is schwierig dir zu helfen. Also , ich die Seite mal angesurft ohne VW und nur port80 ausgehend offen. Lässt sich einwandfrei benutzen. Ankommende geblockte port8080 seh ich auf meiner Fw leider nicht. Und deine VW kenne ich leider auch nicht, vermutlich gibt es keine Möglichkeit dies auf der VW zu sperren, oder??

Das einzige was mir einfällt, ist den support der VW anzutriggern und mal hören was die sagen, möglicherweise gibt es ja eine Chance die VW entsprechend zu konfigurieren.

Und den Webmaster der Seite würd ich auch ansprechen

Noch nicht mal da bin ich mir so sicher. 8080 für Web-Server nimmt man meistens dann, wenn man mehrere Webserver auf einer Maschine zu laufen hat. Den Port 80 gibt's halt nur einmal.

Die Seite läuft doch aber auf port80!!und wenn ich mehrere Website auf einem Server betreibe, dann habe ich jeweils einen eigenen Socket , also ip+ port(verschiedene IP's für websites und immer port 80, ausser du sagst explizit , das ein anderer Port benutzt werden soll und es gibt die Möglichkeit der Host Header, damit kann man ja mit immer derselben ip+ port mehrere Seiten betrteiben), sodaß sich mehrere gehostete Sites auch nicht in die Quere kommen, sonst bräuchteste ja für jede Site einen eigenen Server, dies ist nicht der Fall!! Man kann hunderte Sites auf einem Webserver laufen lassen unzwar alle auf Port80!!!

 

Deswegen verstehe ich auch ein mapping auf port8080 nicht!!

 

Also die 2 Schritte würd ich nun gehen:

support der VW antriggern

und dem webmaster mal eine Mail

 

und mal schauen was nun zurückkommt, sodaß man weiter agieren kann.

 

mit internettem Gruß

 

dongel

Link zu diesem Kommentar

Hallo DeathAndPain

 

ich fänds gut, wenn du uns mal auf dem Laufenden halten würdest, ich finds nämlich immer schade ,das interessante threads angefangen werden und kein , für alle interessantes Ergebnis dabei rauskommt

 

also, so long.....

 

mit internettem Gruß

 

dongel

 

edit:

die Frage bleibt ja : wo und an welcher Stelle findet warum das portmapping statt???

das interesiiert mich schon sehr!!

Wär Klasse , wenn eine Lösung hier rausspringen würde!!!

Link zu diesem Kommentar

dongel:

Und deine VW kenne ich leider auch nicht, vermutlich gibt es keine Möglichkeit dies auf der VW zu sperren, oder??

 

Nein, dafür ist die Firewall ja da. Was man vielleicht versuchen könnte, ist eine Regel in der Firewall, derzufolge sie mit VW-Paketen auf anderen Ports als 80 nicht "Drop", sondern "Reject" macht. Das heißt, daß sie die Pakete nicht kommentarlos verwerfen, sondern ein Verweigerungspaket als Antwort schicken würde. Dann wüßte die VW, daß ihre Pakete nicht verlorengegangen sind, sondern absichtlich geblockt wurden, und würde es möglicherweise nicht nochmal versuchen. Allerdings nur, wenn die VW und nicht der Client derjenige ist, der es immer wieder versucht. Außerdem wären derartige Webseiten dann natürlich nicht mehr nutzbar. Ein paar wenns und abers also, aber vielleicht probiere ich das mal aus.

 

dongel:

Die Seite läuft doch aber auf port80!!

 

Ich glaube, dieses Mißverständnis ist der springende Punkt. Richtig ist, daß eine Anfrage auf http://www.stadtplandienst.de eine Anfrage an den Server 62.50.40.190, Port 80 auslöst. Aber die Antwort, die man von dem Server erhält, enthält zunächst einmal einen Redirect auf 62.50.40.190, Port 8080. Dadurch wird der Browser auf dem Endanwender-PC veranlaßt, an diesen Port eine Anfrage rauszuschicken.

 

Zur Veranschaulichung hier ein Ausschnitt aus dem Trace der Firewall:

 

firewall.jpg

 

Mein Rechner ist hierbei "EDV2". Der Trace ist so gefiltert, daß nur Anfragen von meinem Rechner und der Firewall dargestellt werden. (Eingehende Antworten auf diese Anfragen sieht man im Trace leider nicht.) Man sieht im Trace sehr schön, wie ich initial die Stadtplandienst-Seite aufrufe: Source EDV2 and Destination viruswall mit Dienst HTTP (das ist in diesem Trace immer Port 80) (Zeilen 1 und 2). Danach reagiert die Viruswall sofort, indem sie selber HTTP-Anfragen an den Stadtplandienst-Server 62.50.40.190 rausschickt (Zeilen 3 und 4).

 

Der antwortet mit der Seite, die den Redirect auf Port 8080 befiehlt (diese Antwort sehen wir im Trace nicht). Also schickt mein Rechner sofort wieder Anfragen raus (Zeilen 5, 6, 7). Im Trace sieht man jedoch nicht, daß diese an Port 8080 gerichtet sind, weil die Proxy-Einstellungen des Browsers sie auf Viruswall, Port 80 umbiegen.

 

Die Viruswall hingegen schickt die Anfrage auf dem eigentlich gewünschten Port, nämlich 8080, weiter. Die Firewall verwirft diese Pakete (rote Einträge) (Zeilen 8, 9).

 

Velius:

Ich habe das 'mal so nachgestellt:

 

Mit IE, und mit Firefox http://www.mcseboard.de geöffnet (wahrscheinlich ginge es auch mit 2 IE Fenstern), und mir NETSTAT angeschaut.

 

Ja, aber Du greifst in Deinem Beispiel auf die gleiche Webseite zu, also nicht auf zwei verschiedene Webserver, die unter derselben IP und Portnummer segeln. Natürlich kann mehr als ein User gleichzeitig Verbindung mit einem Webserver aufnehmen (man überlege sich, was es bedeuten würde, wenn immer nur ein Mensch auf http://www.microsoft.com surfen könnte). Und natürlich verlangen alle Surfer, die einen Server ansprechen, dieselbe IP und Portnummer. Dein Rechner dividiert die beiden Verbindungen dann wieder auseinander und verteilt sie auf verschiedene Ports Deines Computers. Das entspricht dem, was erweitert auf mehrere PCs auch bei NAT passiert, hat aber mit dem Problem, um das es in diesem Thread geht, nichts zu tun. Denn hier geht es um verschiedene Ports auf dem Zielserver und Problemen mit Proxies und Firewalls dazwischen und nicht um verschiedene Ports auf dem Endanwender-PC, die auf denselben Port des Zielservers gemappt werden.

 

dongel:

ich fänds gut, wenn du uns mal auf dem Laufenden halten würdest

 

Man tut, was man kann. :)

 

dongel:

die Frage bleibt ja : wo und an welcher Stelle findet warum das portmapping statt???

 

Das dürfte nach obigem Trace nebst Erläuterung klar sein, oder?

Link zu diesem Kommentar

Hallo,

 

Einspruch

 

Hast Du Dir schon mal die Mühe gemacht, den Quellcode der Seite anzusehen:

 

<iframe id='a3722739' name='a3722739' src='http://ad.stadtplandienst.de:8080/adframe.php?n=a3722739&what=234x60,_home|234x60,_global&target=_blank' framespacing='0' frameborder='no' scrolling='no' width='234' height='60'><a href='http://ad.stadtplandienst.de:8080/adclick.php?n=a3722739' target='_blank'><img src='http://ad.stadtplandienst.de:8080/adview.php?what=234x60,_home|234x60,_global&n=a3722739' border='0' alt=''></a></iframe>

 

Alles klar??

 

Port 8080 kann man ruhig freischalten auf FWs, die meisten desktop-firewalls geben die in ihrer http-rule frei zB.

 

Ansonsten sperren und gut ist.

Link zu diesem Kommentar

@Lian

 

super!!!! Hät ich ja auch mal drauf kommen können. Die einfachsten Sachen liegen meist so nah und man kommt nicht drauf **gähn** :D

 

 

 

 

also , ich versteh dieses mapping trotzdem nich, warum wird das gemacht?? Zumal ich die Seite ja trotzdem nutzen kann nur mit ausgehend Port80. na gut man sieht es soll ein Image geladen werden und geht dabei auf den Rechner ad. Jetzt habe ich mal die URL in den browser eingetragen und was kommt: Seite kann nicht angezeigt werden. sieht eher so aus als stünde Müll im Code.

Also, ich weiß nicht, wegen sowas die FW aufmachen, hmmmm

Dann doch lieber mal ne mail an den webmaster das der Code so Probleme bereitet.

 

Aber eine Frage bleibt dennoch, wie ist es möglich das mit den Mitteln von DeathAndPain zu verhindern, denn sowas kann einem ja ständig über den Weg laufen unzwar auch mit ganz anderen Ports, und die dann alle aufmachen???? nee,nee

 

Verhält sich denn die VW tatsächlich anders, wenn du aus dem drop ein reject machst??

Berichte doch mal.

 

Und mich würde wirklich mal interessieren was der support der VW dazu sagt, kann doch irgendwie nich sein, das be******ener Quellcode die Verbindung kappt, oder??

 

 

mit internettem Gruß

 

dongel

Link zu diesem Kommentar

Lian hat in der Tat gut beobachtet. Letztlich macht es allerdings keinen Unterschied, ob die Zielseite auf Port 80 einen Redirect auf 8080 macht (wie von mir vermutet) oder nur einen automatisch zu ladenden Bildlink auf 8080 enthält. In beiden Fällen wird der Browser des Endanwenders versuchen, den Zielserver auf Port 8080 anzusprechen, und darum geht es ja hier.

 

also , ich versteh dieses mapping trotzdem nich, warum wird das gemacht??

 

Ich kann mich erinnern, das mal in einer Portnummernerläuterung gelesen zu haben. Man macht es wirklich dann, wenn man mehrere HTTP-Server auf einer Maschine betreiben möchte.

 

Schau mal, gesetzt den Fall, Du willst die Webseiten http://www.abc.com'>http://www.abc.com und http://www.xyz.com'>http://www.xyz.com hosten. Die beiden Webseiten haben miteinander gar nichts zu tun. Du willst sie aber auf ein- und demselben Server betreiben, der auch nur eine externe IP hat. Nehmen wir an, diese IP sei "1.2.3.4".

 

Nun läßt Du zunächst einmal bei Deinem Provider DNS-Einträge schalten, und zwar "www.abc.com" = "1.2.3.4" und "www.xyz.com" = "1.2.3.4". Anders kannst Du es nicht machen, sonst kommen die Anfragen gar nicht bei Deinem Server an (es sei denn, Du leistest Dir eine weitere externe IP).

 

Wenn nun ein Anwender in seinen Browser "http://www.abc.com" eintippt, dann ist das 100% äquivalent zu der Zeichenkette "http://1.2.3.4". In beiden Fällen landet er auf Deinem Server, Port 80. Das würde er aber auch, wenn er "http://www.xyz.com" eintippen würde. Möglicherweise kannst Du mit einer hinreichend intelligenten Serversoftware noch Headerinformationen auswerten, die vom Browser mitgeliefert werden (Referrer etc.). Damit könntest Du vielleicht eine Chance haben herauszufinden, welche Zeichenkette der Surfer tatsächlich in seinen Browser eingetippt hatte. Aber wenn wir von einem ganz primitiven Dateiserver ausgehen, auf dem einfach Dateien im HTML-Format liegen, dann hast Du so keine Chance, zwischen http://www.abc.com und http://www.xyz.com zu unterscheiden.

 

Um dies zu umgehen, sucht man sich für zusätzliche Webserver auf derselben Maschine Ports ab 8080. 8080 ist dabei willkürlich gewählt, soll aber durch die doppelte 80 die Beziehung zum Port 80 verdeutlichen und ist daher für solche Zwecke üblich.

 

sieht eher so aus als stünde Müll im Code.

 

Ne, in diesem Fall (Stadtplandienst) sind es die Werbebanner, also gut verzichtbar. Da hängt auch ein bischen PHP-Code dran, um etwaige Klicks auszuwerten, deswegen mag das nicht planmäßig funktionieren, wenn Du versuchst, die Links direkt aufzurufen. Aber es kann natürlich auch mal eine nützliche Seite hinter solch einem Link sein.

 

Verhält sich denn die VW tatsächlich anders, wenn du aus dem drop ein reject machst??

 

Ja! Ich habe es gerade mal ausprobiert. Oben im Netscape steht dann statt der Werbebanner nur groß "Error" (was ja den Tatsachen entspricht, denn die Banner konnten nicht geladen werden). Im Log sieht man ein paar Rejects, (mehrere Banner mal ein paar Versuche des Browsers), aber dann ist Ruhe. Das wäre also ein Weg, wenn man bereit ist, auf Seiten zu verzichten, die auf nonstandard-Ports laufen.

 

Und mich würde wirklich mal interessieren was der support der VW dazu sagt, kann doch irgendwie nich sein, das be******ener Quellcode die Verbindung kappt, oder??

 

Na ja, TrendMicro hat ein Support-Webformular, das man ausfüllen und abschicken kann. Dadurch erhält man sofort automatisiert folgende Antwort:

 

For all technical queries, please contact your Trend Micro Distributor / Reseller , who will answer your query. These partners have shown a knowledge and understanding of Trend Micro products, which should provide you with high quality advice and services.

 

Wenden Sie sich bitte bei technischen Fragen an den TREND MICRO Händler , von dem Sie Ihr Produkt bezogen haben. Dieser kennt sowohl Ihre Systemumgebung, als auch alle TREND Produkte genau und wird daher Ihre Fragen schnell und effizient beantworten.

 

Pour toutes les questions techniques, merci de contacter votre Distributeurs/Revendeur qui repondra à votre demande. Ces partenaires disposent d’une base de connaissance des produits Trend Micro qui devraient vous fournir un conseil et des services de haute qualité.

 

Per qualsiasi informazione tecnica, contattate uno dei Rivenditori TREND MICRO, che risponderà alle Vostre domande. Questi rivenditori hanno ottenuto la certificazione TREND MICRO, pertanto sono in grado di offrirVi consigli e servizi di qualità.

 

Trend Micro proporciona diversas vías de soporte del software. Consulte la vía de soporte adecuada dependiendo de su situación: Si usted es cliente final, pulse http://es.trendmicro-europe.com/enterprise/support/support_final.php. Si usted es un distribuidor, pulse http://es.trendmicro-europe.com/enterprise/support/support_dist.php.

 

Ob da noch eine richtige Antwort hinterherkommen wird, bleibt abzuwarten. Ich tendiere allerdings dazu, daß diese Antwort als "Leck uns" zu interpretieren ist.

 

Unser TrendMicro-Händler ist die IBM. Der zuständige Mitarbeiter - ein durchaus kompetenter Mann - hat mir gesagt, daß er der Viruswall alles zu erlauben pflegt. Ich wollte halt hier mal fragen, ob das allgemein so gesehen wird.

 

Eine Mail an den Webseitenbetreiber habe ich auch geschickt mit Verweis auf diesen Thread. Mal schauen, ob er sich meldet.

Link zu diesem Kommentar
Original geschrieben von DeathAndPain

 

 

Um dies zu umgehen, sucht man sich für zusätzliche Webserver auf derselben Maschine Ports ab 8080. 8080 ist dabei willkürlich gewählt, soll aber durch die doppelte 80 die Beziehung zum Port 80 verdeutlichen und ist daher für solche Zwecke üblich.

 

 

Hallo,

 

wenn dem so ist, wie wird dann herausgefunden, von welcher der Domains die Anfrage kommt? Wenn http://www.abc.com'>http://www.abc.com und http://www.xyz.com eingetippt wird, kommt das zu Deiner Maschine http://1.2.3.4. So. Es wird ja der Port 80 nicht mit übergeben...oder müßte man dann die Domain http://www.abc.com nach http://www.abc.com:8080 automatisch weiterleiten?

 

Danke

Link zu diesem Kommentar

also mit dem webserver und dem mapping hast du wohl recht,

denn wenn man mal eine hostabfrage auf ad.stadtplandienst.de macht, führt diese auf dieselbe IP wie stadtplandienst.de.

Ok, dann wär das mit dem mapping ja geklärt.

Versteh aber trotzdem nich, warum man dann solche banner oder images nicht von derselben Seite holt, und den ??Umweg?? geht , dies über einen weiteren Rechnernamen unter derselben Domain zu machen. Gibt es dafür eine sinnvolle Erklärung??

 

hat mir gesagt, daß er der Viruswall alles zu erlauben pflegt. Ich wollte halt hier mal fragen, ob das allgemein so gesehen wird.

 

Also, ich halte immer alles so dicht wie möglich und würde dies nicht so fahren, daß die VW alles darf, auch wenn du nur ausgehend alles erlaubtst. Würde ja bedeuten das der Server zur Datenschleuder wird , der alles nach draussen pumpt was geht. Bei dem Gedanken wär mir nich wohl, wenns mein Netz wäre.

 

Und bin sehr gespannt, was beim support und vom webmaster zurückkommt!!!

 

@zman

sorry, irgendwie versteh ich deine Frage nich so ganz, bzw, auf was du hinauswillst, kannste da nochmal genauer werden???

 

mit internettem Gruß

 

dongel

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...