Smoothwall Sicherheitslücke ? oder bin ich zu Doof

#0
07.03.2007, 21:30
...neu hier

Beiträge: 2
#1 Hallo Gemeinde , Ich benutze eigentlich schon Jahrelang einen Smoothwall Router und hatte nie Probleme und war hoch zufrieden mit der Firewall. Zuerst Vers. 1.0 die gabs auch auf Deutsch was die einstellungen sehr erleichterte. Wegen des veralteten Paketfilter bin ich auf 2.0 Express umgestiegen . Leider giebts die nur in Englisch - aber mann beisst sich durch . Jetzt das Problem - seit ca. 3 Wochen schlägt mein IDS Alarm und das bis zu 20 x am Tag !

z.b. ein Eintrag im intrusion detection system Log viewer

Date: 02/07 16:59:32 Name: MS-SQL Worm propagation attempt
Priority: 2 Type: Misc Attack
IP info: 218.XXX.91.XX:1803 -> 88.XX.XXX.XX:1434
References: 1 2 3

Hab natürlich erst mal alle Rechner gescannt und einen neu aufgesetzt - Fehlanzeige. Dann alle register der Firewall gezogen. Zuletzt hab ich sogar Smoothwall neu Installiert - Immer noch !!
Alle ports sind dicht , Sicherheitseinstellungen auf MAXIMUM - oder hab ich was übersehen ?
Das witzige ist : selbst wenn alle Rechner Offline sind (bis auf Smoothwall natürlich ) schafft es der Wurm "Einzubrechen " - Ein MS Wurm ohne Ziel ??
Helft mir bitte auf die sprünge . Hat jemand Express 2.0 auf Deutsch -oder eine ausführliche Hilfe auf Deutsch ?

Thanks for Help
Seitenanfang Seitenende
07.03.2007, 23:41
Member
Avatar Xeper

Beiträge: 5291
#2 Wo steht das hier irgendjemand einbricht?

Zitat

Wegen des veralteten Paketfilter bin ich auf 2.0 Express umgestiegen .
Welcher Paketfilter?
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
08.03.2007, 23:57
...neu hier

Themenstarter

Beiträge: 2
#3

Zitat

Wo steht das hier irgendjemand einbricht?
Smoothwall hat einen Log viewer für die Firewall - jeder Versuch (ping etc.) wird geloggt. Zusätzlich noch ein IDS Viewer - der so wie ich es begriffen habe die "andere Seite" der Firewall scannt und ggf. das protokoliert.Auf welche art und weise ist mir nicht bekannt.

Zitat

IP info: 218.XXX.91.XX:1803 -> 88.XX.XXX.XX:1434
Soll heissen : XY Ip port 1803 an meine IP auf port 1434

Zitat

Priority: 2 Type: Misc Attack
So jetzt ist Englisch gefordert - bis gestern war ich der meinung das Misc für mischievous = schädlich,boshaft, etc. steht. Ein Freund meinte Misc steht für miscelaneous = vermischt, Verschiedenartig was ich aber nicht deuten kann.

Smothwall 1.0 lief noch mit ipchains bis kernel 2.0 glaub ich . Smoothwall 2.0 basiert auf Kernel 2.4 - wie der Filter heißt hab ich noch nicht in erfahrung gebracht ( oder bezieht sich das auf kernel ?) .

Weis nicht was ich noch machen soll.
Dieser Beitrag wurde am 09.03.2007 um 00:02 Uhr von J.R.Virus editiert.
Seitenanfang Seitenende
09.03.2007, 10:16
Member
Avatar Xeper

Beiträge: 5291
#4

Zitat

Smoothwall hat einen Log viewer für die Firewall - jeder Versuch (ping etc.) wird geloggt. Zusätzlich noch ein IDS Viewer - der so wie ich es begriffen habe die "andere Seite" der Firewall scannt und ggf. das protokoliert.Auf welche art und weise ist mir nicht bekannt.
Das hat doch nichts mit einem Einbruchzu tuen.
Ein IDS scannt auch nicht auf der "anderen Seite" sondern protokolliert auch nur das was passiert, IDS ist eher so ne Art Prävention.

Zitat

So jetzt ist Englisch gefordert - bis gestern war ich der meinung das Misc für mischievous = schädlich,boshaft, etc. steht. Ein Freund meinte Misc steht für miscelaneous = vermischt, Verschiedenartig was ich aber nicht deuten kann.
misc ist die Abkürzung für miscelaneous (das ist bestimmt falsch geschrieben *g*) das heißt verschieden(es) - dein Freund hat also recht.
Für alles nähere bezüglich deutsch <=> englisch gibt es http://dict.leo.org/

Zitat

Smothwall 1.0 lief noch mit ipchains bis kernel 2.0 glaub ich . Smoothwall 2.0 basiert auf Kernel 2.4 - wie der Filter heißt hab ich noch nicht in erfahrung gebracht ( oder bezieht sich das auf kernel ?) .
Das bezieht sich auf den Kernel und den Netfilter (der ja im Kernel ist).
ipchains ist uralt stimmt, iptables gibt es heute.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
09.03.2007, 19:24
Member
Avatar ischtar

Beiträge: 157
#5 Ich vermute es handelt sich um den SQL-Slammer der 2003 sein Unwesen trieb, aber natürlich heute noch durch die Netze irrt. Wenn du keinen MS SQL am Laufen hast, wird dir auch nichts passieren. Was sagen denn die Log Dateien?
__________
Zahme Vögel singen von Freiheit, wilde Vögel fliegen. ^y^
"Wer Sicherheit der Freiheit vorzieht ist zu Recht ein Sklave." - Aristoteles
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: