[Netwerk]Portscan :-(

[Bogdan]

Ik heb sedert enige tijd last van portscans op UDP-poort 65535 van mijn computer. Heb mijn ipadres tot tweemaal toe verandert, het mocht echter niet baten. Men slaat weer aan het scannen, en volgens mij wordt het systeem er ietsje trager van, omdat McAfee Personal Firewall de scans tegenhoudt. Weet iemand misschien een andere manier om van deze scans af te komen?

[Viporizer]

Op je router die poort dicht gooien. En als je geen router hebt... Tja dan wordt het moeilijk. Dan blijft het werk voor je computer.

[Gimme more beer]

Ik zou me er niet druk om maken.

[M@rco]

Kan geen kwaad.

Ter inspiratie ging ik wat googlen:
Those running XP SP2 should still seriously consider an alternative personal firewall. Microsoft is relatively new to this market, and the Windows Firewall is not as full-featured as many other personal firewalls. For example:

* The Windows Firewall blocks unauthorized inbound connections; this can help evade detection by portscans and deny remote connections aimed at backdoor trojans.

* However, the Windows Firewall does not block the outbound connections so often initiated by spyware, worms, DoS zombies, and blended threats.

* It does not permit Internet use only by trusted programs, or verify the integrity of those programs to prevent application spoofing.

* While the Windows Firewall permits exceptions, they are not as granular as many other personal firewalls, making it harder to accomplish goals like selective filesharing in a mixed-trust network.

* Windows Firewall policies can be tampered with through Registry modification (see CVE-2005-2765) and programmatically disabled through WMI, enabling bypass by malware that exploits a privilege escalation bug.

[Bogdan]

Heb de router al dicht zitten. Het komt waarschijnlijk omdat ik ooit voor bittorrent de betreffende poort geforward heb. Maak me er ook niet echt druk om, maar ik wordt toch liever niet gescand als het even kan.

je zou kunnen tracen wie (welk ip) de portscan doet en zijn of haar provider een mailtje sturen.

[dafelix]

Citaat:

Bogdan schreef op 17-01-2006 @ 21:26 :
(...) maar ik wordt toch liever niet gescand als het even kan.

dat kun je niet tegengaan, maar 't kan echt geen kwaad (ook het feit dat 't je systeem trager zou maken, zal meevallen)

[M@rco]

Citaat:

Piloff schreef op 17-01-2006 @ 21:25 :
Ter inspiratie ging ik wat googlen:

En wat een heerlijk stukje onzin heb je gevonden

* The Windows Firewall blocks unauthorized inbound connections; this can help evade detection by portscans and deny remote connections aimed at backdoor trojans.

* However, the Windows Firewall does not block the outbound connections so often initiated by spyware, worms, DoS zombies, and blended threats.

Pfff... outbound protection is de meest nutteloze uitvinding ooit. Je hebt er geen hol aan (nee, echt niet) en het is alleen maar irritant. Op het moment dat je spyware/worms/virussen op je computer hebt die door je firewall moeten worden geblokkeerd, heb je al een probleem, want die dingen horen daar in de eerste plaats gewoon niet thuis. Outbound protection geeft mensen een vals gevoel van veiligheid.

* It does not permit Internet use only by trusted programs, or verify the integrity of those programs to prevent application spoofing.

Alsof de gemiddelde gebruiker weet welk programma "te vertrouwen" is?

* While the Windows Firewall permits exceptions, they are not as granular as many other personal firewalls, making it harder to accomplish goals like selective filesharing in a mixed-trust network.

In een beetje netwerk heb je dan ook geen software firewall nodig op een desktop.

* Windows Firewall policies can be tampered with through Registry modification (see CVE-2005-2765) and programmatically disabled through WMI, enabling bypass by malware that exploits a privilege escalation bug.

Bug, welke bug? Nu al jammeren over iets dat niet bestaat?

Het punt is, software firewalls zijn gewoon troep die de boel onnodig vertragen en weinig nuttigs bijdragen. Als je computer direct aan het modem hangt dan doe je er goed aan om de XP firewall aan te laten staan, maar als je een router hebt (met NAT) dan is het gewoon overbodig.

Citaat:

M@rco schreef op 17-01-2006 @ 23:17 :
En wat een heerlijk stukje onzin heb je gevonden

Blaim isp-planet. http://www.isp-planet.com/technology...indows_1b.html

[M@rco]

Aha, het is door een vrouw geschreven!

[Enlightenment]

Outbound application-level firewalls zijn een goede bescherming tegen trojans en backdoors, veel experts zijn het iig niet met je eens.

[M@rco]

Ik vind van niet. Een goede bescherming tegen trojans is een virusscanner, en een gebruiker die zijn Windows-computer up to date houdt en nadenkt bij wat hij of zij installeert.

En wie zijn die experts? Steve Gibson?

Citaat:

M@rco schreef op 18-01-2006 @ 12:34 :
Ik vind van niet. Een goede bescherming tegen trojans is een virusscanner, en een gebruiker die zijn Windows-computer up to date houdt en nadenkt bij wat hij of zij installeert.

Mwa. Een firewall houdt alle ongewenste uitgaande verkeer tegen, terwijl een virusscanner alleen datgene herkent wat in zijn database zit.

[Enlightenment]

Citaat:

M@rco schreef op 18-01-2006 @ 12:34 :
Ik vind van niet. Een goede bescherming tegen trojans is een virusscanner, en een gebruiker die zijn Windows-computer up to date houdt en nadenkt bij wat hij of zij installeert.

Een virusscanner beschermt je niet tegen custom built trojans; alleen tegen bekende en wijdversprijde virussen. Als ik een trojan schrijf en die aan een executable (of in een .jpg plaatje stop mbv een vulnerability in windows), doet je virusscanner daar niets tegen.

Je had meer krediet gekregen als je zei dat een virusscanner weinig echte bescherming biedt, omdat een virusscanner alleen bekende virussen herkent en een goed geschreven virus vrijwel onkraakbaar is. En eenmaal in je systeem kan het vanalles wijzigen wat 100% cleanen vrijwel onmogelijk maakt.

Gelukkig zijn de meeste virusschrijvers onervaren pubers, maar er zijn worden ook steeds meer custom virussen en trojans gemaakt met commerciëel oogmerk (zoals bedrijfsspionage en phreaking (de russische postbank-mafia is daar een voorbeeld van)).

Een application-level firewall zorgt ervoor dat geen enkel programma, virus, trojan of die nu bekend is of custom-built, contact met de buitenwereld kan maken. Dat biedt een stuk meer veiligheid dan een virusscanner in mijn ogen.

De windows firewall beschermt je computer door vulnerable listening ports te dichten, maar helpt niet tegen trojans en andere malware (spyware, spybots, ircbots). Daarom raad ik een application-level firewall zoals Kerio Personal Firewall 2.1.5 aan.

[M@rco]

Nou, ik weet niet hoe het met jouw computer zit, maar op die van mij komen geen trojans of andere malware. Misschien dat een onervaren gebruiker meer pech heeft, maar die zal een virus niet eens herkennen. Het is niet alsof je dan een melding krijgt "virus.exe wil verbinding maken met het internet" Vrijwel alle onervaren gebruikers klikken gewoon op "Yes" als ze een melding krijgen van hun firewall, gevolg -> firewall wordt nutteloos. Voor de meeste mensen heeft het gewoon geen nut.

Citaat:

En eenmaal in je systeem kan het vanalles wijzigen wat 100% cleanen vrijwel onmogelijk maakt.

Ja, en een software firewall gaat daar echt niet tegen helpen. Het punt is dat je moet zorgen dat die dingen überhaupt niet op je systeem komen, als ze er eenmaal zijn is het al te laat.

Citaat:

Een virusscanner beschermt je niet tegen custom built trojans; alleen tegen bekende en wijdversprijde virussen. Als ik een trojan schrijf en die aan een executable (of in een .jpg plaatje stop mbv een vulnerability in windows), doet je virusscanner daar niets tegen.

Zie mijn punt mbt Windows up to date houden, er is al sinds 5 januari een patch.

Ik waardeer overigens wel dat je Kerio aanraadt, en niet ZoneAlarm oid.

[Kawoutertje]

Citaat:

M@rco schreef op 18-01-2006 @ 14:15 :
Ik waardeer overigens wel dat je Kerio aanraadt, en niet ZoneAlarm oid.

Wat is er dan zo mis met ZoneAlarm?

Ik draai al een hele tijd ZoneAlarm Pro, en 'k heb er nog nooit problemen mee gehad hoor. En veel recourses vreet ie ook al niet. En hij controleert niet alleen uitgaande connecties maar ook veranderingen aan bv het register, wat ik toch wel een pluspunt vind hoor.

[Enlightenment]

Citaat:

M@rco schreef op 18-01-2006 @ 14:15 :
Nou, ik weet niet hoe het met jouw computer zit, maar op die van mij komen geen trojans of andere malware.

Bij mij ook niet, toch vind ik het een fijn gevoel dat ik weet welk programma toegang tot internet zoekt. Zo zijn er diverse spellen die een "phone home" plegen, iets wat ik minder op prijs stel en dus ook kan tegenhouden. Als ervaren gebruiken wil ik weten wat er op mijn computer gebeurt.

Citaat:

Misschien dat een onervaren gebruiker meer pech heeft, maar die zal een virus niet eens herkennen. Het is niet alsof je dan een melding krijgt "virus.exe wil verbinding maken met het internet" Vrijwel alle onervaren gebruikers klikken gewoon op "Yes" als ze een melding krijgen van hun firewall, gevolg -> firewall wordt nutteloos.

Niet helemaal mee eens. Ik heb de computers van mijn vriendinnen allemaal met kerio uitgerust en alle standaard dingen goed ingesteld, en gezegd dat als ze zomaar zo'n schermpje krijgen ze op deny moeten klikken. En dat doen ze dan ook, want het is makkelijk te onthouden en gelukkig zijn mijn vriendinnetjes niet helemaal clueless.

Citaat:

Het punt is dat je moet zorgen dat die dingen überhaupt niet op je systeem komen, als ze er eenmaal zijn is het al te laat.

Nou 'te laat' voor wat? Een trojan kan geen backdoor worden als er geen backdoor is.
Zodra je merkt dat een vage .exe (waarvan je dacht dat het een spelletje/applicatie/keygen/crack/whatever was) verbinding zoekt wat het niet zou mogen doen, kill je gelijk het proces. Voor de meeste simpele trojans doet dat de truuc, of anders in safe mode en daar het een en ander schoonmaken. In elk geval weet je dat er iets mis ging toen jij je geleende spel wilde kraken.

Citaat:

Zie mijn punt mbt Windows up to date houden, er is al sinds 5 januari een patch.

En een half jaar lang niet nee, heerlijke responstijd van Microsoft, dat een bedrijf een kritiek lek weet incl. exploit en pas een half jaar later een fix is. Wel eens gedacht dat dat bedrijf wel eens informatie kan doorverkopen, of anderzins die informatie in handen van kwaadwillenden komt? Dan is het hek van de dam, als je iemand met een trojan kunt besmetten door een .jpg in een topic te plaatsen.

Maar genoeg over dat.

Citaat:

Ik waardeer overigens wel dat je Kerio aanraadt, en niet ZoneAlarm oid.

ZoneAlarm heeft zelf regelmatig vulnerabilities, en bovendien vind ik het helemaal niet zo gebruiksvriendelijk. Kerio is een zeer licht nauwelijks vertragende application-level firewall. Zeker de moeite waard om eens te proberen. Het is freeware, googlen om het te downloaden want de fabrikant wil liever dat je een nieuwere betaalde versie neemt, die overigens alweer de norton-achtige kant uitgaat (slecht dus).

[Dennis27]

Citaat:

Enlightenment schreef op 19-01-2006 @ 08:16 :
... die overigens alweer de norton-achtige kant uitgaat (slecht dus).

Wat is er slecht aan de firewall van Norton dan volgens jou? Het is ook een application-level firewall die ook het uitgaande verkeer checkt.

Ik vraag dit, omdat veel mensen altijd een bepaalde virusscanner/firewall 'afkraken' zonder dat ze daar een beargumentie voor hebben. Dus kom maar op

[Bogdan]

Citaat:

Piloff schreef op 17-01-2006 @ 21:29 :
je zou kunnen tracen wie (welk ip) de portscan doet en zijn of haar provider een mailtje sturen.

Het vervelende is dat ik elke 5 seconden een portscan krijg van een ander ip, met een volstrekt andere hostnaam. Over randomizen gesproken