Outpost Pro meldet Portscans von versch. IPs

#1 Hallo Leute,

habe jetzt schon einiges über den Sinn und Unsinn von Firewalls gelesen und weiß auch, dass ich mich nicht zu beunruhigen brauche, dass Portscans alltäglich und legal sind usw. usf.

Meine Frage entspringt eher technischem Interesse und vielleicht gibt es ja hier einige Leute, die mir darauf Antwort geben können:
Habe vor kurzer Zeit Outpost 1.0 (freeware) deinstalliert und mir die Pro 2.1-Version installiert. Viele Grundeinstellungen habe ich zunächst belassen, auch dass die Warnmeldung regelmäßig angezeigt werden. Dabei fällt mir auf, sobald ich über die DFÜ(DSL-)Verbindung ins Internet gehe, meldet mir Outpost sofort massive Portscans, immer aus dem Adressbereich 217.231.xxx.xxx kommend, die IP-Adresse bei den beiden letzten Zahlenblöcken aber minütlich variierend! Das ist der gleiche Adressbereich, den ich beim Einloggen auch zugeteilt bekomme. Im selben Augenblick des Portscans kann ich bei den Netzwerkaktivitäten beobachten, dass der NetBIOS-Dienst (via TCP) genau an diese Adresse möchte, ebenso wie der Microsoft-DS-Dienst (über RPC) an unterschiedlichen Ports (Range 1000 - 5000). Dieser Traffic wird von Outpost blockiert, es handelt sich um Windows-Netzwerkfreigabe- und Namensauflösungsdienste.

Wenn ich übrigens über die Fritz!-Software ins Netz gehe, werden diese Scans nicht angezeigt. Habe schon soviel erfahren, dass Fritz! mit virtuellen Netzwerkadaptern und IP-Adressen arbeitet und somit eine Art von "Software"-NAT emuliert. Wird meine IP-Adresse also kaschiert, kommen auch keine Portscans mehr, nur über die DFÜ-Verbindung.

Nun meine Fragen:
1. Macht NAT ein Portscanning unmöglich?
2. Wer oder was scannt mich da, sobald ich über DFÜ ins Netz gehe? Und warum so massiv von minütlich wechselnden IPs?
3. Wenn mich jemand "auf dem Kieker" hat, so müsste er doch meine IP-Adresse kennen, die aber bei jedem neuen Einloggen beim ISP wechselt. Wäre das trotzdem technisch möglich?

Thx

UselessUser

#2 Hallo UU!

Zitat

1. Macht NAT ein Portscanning unmöglich?

Nein, nichts macht einen Portscan unmöglich. Es obliegt nicht dir, ob du gescannt wirst oder nicht.
In bezug auf NAT und Sicherheit greift, simpel ausgedrückt, folgendes: Eingehender Traffic wird nur weitergeleitet,
wenn dies vom User ausdrücklich erlaubt und konfiguriert ist. Konkret zur Fritz! Software: AFAIR hat diese tatsächlich
einen Paketfilter installiert, den man optional an- oder ausschalten kann. Wenn dieser bei dir aktiv ist, blockt dieser
anscheinend die Portscans ab, bevor diese die AO erreichen. Deshalb keine Hinweise seitens der AO.

Zitat

2. Wer oder was scannt mich da, sobald ich über DFÜ ins Netz gehe? Und warum so massiv von minütlich wechselnden IPs?

Wahrscheinlich Viren/Wurm/RAT verseuchte Maschinen, die auf der Suche nach neuen Opfern sind und/oder
irgendwelche P2P Clients, weil du eine IP geerbt hast, die vorher Mitglied irgendeiner Tauschbörsen Community
war und/oder übliche, manuell angestossene Scans von Privat.

Zitat

3. Wenn mich jemand "auf dem Kieker" hat, so müsste er doch meine IP-Adresse kennen, die aber bei jedem neuen Einloggen beim ISP wechselt. Wäre das trotzdem technisch möglich?

Nur, wenn du dafür sorgst. Entweder durch einen kompromittierten Rechner, der regelmässig die WAN-IP an den 'Feind'
versendet oder durch gewollte Kommunikation mit selbigen. Beispiel: 'Er' fordert dich auf, eine Email an 'ihn' zu
schreiben oder ihr trefft euch auf einem IRC Server oder du besuchst 'seine' Homepage usw.
Einfacher wäre es natürlich, wenn du einen DDNS Account bei den üblichen Verdächtigen hast und 'er' dies weiss.
NUR: Sofern du keine Angriffsfläche bietest, kannst du deine IP auch öffentlich im Werbefernsehen bekanntgeben, da
passiert nichts.


Gruß,

Sepia

#3 Danke für die Info! Bin wieder ein bisschen schlauer ...

Das mit dem Werbefernsehen überlege ich mir aber noch! :-)

MfG

UselessUser