E-tech router/switch en firewall niet veilig genoeg? - Netwerken

vrijdag 31 januari 2003 11:37

Acties:

0 Henk 'm!

Veritas logica est

Topicstarter

Ik heb hier zo'n blauwe E-tech router/switch 24/7 aan mijn ADSL-lijntje hangen en daarachter een apart PC'tje met Win2k en Wingate. De E-tech hangt aan NIC1 van dit PC'tje en de rest van mijn netwerk aan NIC2.

Op de E-Tech heb ik beslist géén poorten gemapt (ook geen DMZ) en ook Wingate zit aan de NIC1-kant potdicht.

TOCH meldt Wingate dagelijks zo'n 60 "connection attempts" op NIC1 en dat die door Wingate geblocked zijn. Het gaat om meldingen als:

"The Firewall has blocked a connection attempt made to 10.0.0.1:4945 from 24.101.249.96:3386, protocol: TCP. "

Ik dacht het m'n netwerk op deze manier redelijk beveiligd te hebben tegen het gajes van het Internet. Maar ik wordt wat ongerust. Hoe kunnen ze nou door die NAT/firewall in de E-Tech heen komen? Ik begin we inmiddels af te vragen of ik misschien nog een derde

firewall moet installeren om te zien wie ook nog door m'n Wingate heenkomt... Maak ik me onnodig ongerust?

AS/400, Linux, Novell, Windows, DOS, OS/2...luck has nothing to do with it.
*** Ignorance and nonchalance will lead us happily into slavery of evil ***

vrijdag 31 januari 2003 11:47

Acties:

0 Henk 'm!

jep

Ja, je maakt je onnodig ongerust. Het best kun je de fire-wall op die client gewoon verwijderen. Als je achter NAT zit zonder mapped-ports kunnen ze je machientje niet bereiken (Ja, tenzij jou router vage lekken bevat.. dat zal wel niet zo zijn).

vrijdag 31 januari 2003 11:49

Acties:

0 Henk 'm!

Anoniem: 65683

10.0.0.1 is een Private-ip, dus is waarschijnlijk je modem, klopt dit?
nslookup 24.101.249.96= xxxxxxxxx.cpe.net.cable.rogers.com

Registrant:
Rogers Communications Inc. (ROGERS-DOM)
45 ESNA PARK DR.
null

Domain Name: ROGERS.COM

Administrative Contact:
Rogers Shared Services - IT (AD2981-ORG) domadmin@RCI.ROGERS.COM
Rogers Shared Services - IT
45 Esna Park Drive
Markham, ON L3R 1C9
CA
(905)513-5047 fax: - (905)513-5012
Technical Contact:
Technical, Domain (TD299-ORG) abuse@ROGERS.COM
Rogers Shared Services - IT
45 Esna Park Drive
Markham, ON L3R 1C9
CANADA
(905)513-5047
Fax- - - (905)513-5012

Record expires on 16-May-2006.
Record created on 15-May-1992.
Database last updated on 31-Jan-2003 05:47:26 EST.

Domain servers in listed order:

NS1.WLFDLE.RNC.NET.CABLE.ROGERS.COM 24.153.22.13
NS2.WLFDLE.RNC.NET.CABLE.ROGERS.COM 24.153.22.14
NS1.YM.RNC.NET.CABLE.ROGERS.COM 24.153.22.141
NS2.YM.RNC.NET.CABLE.ROGERS.COM 24.153.22.142

Hier heb je al de gegevens, had je zelf ook kunnen doen!

vrijdag 31 januari 2003 11:52

Acties:

0 Henk 'm!

JHMvP

Veritas logica est

Topicstarter

Huh?
Ik zei "Het gaat om meldingen ALS" dus het was maar een voorbeeldje.

AS/400, Linux, Novell, Windows, DOS, OS/2...luck has nothing to do with it.
*** Ignorance and nonchalance will lead us happily into slavery of evil ***

vrijdag 31 januari 2003 12:02

Acties:

0 Henk 'm!

arikkert

ik begrijp de antwoorden van jep en ruphoff niet.
de topic starter meldt "The Firewall has blocked a connection attempt made to 10.0.0.1:4945 from 24.101.249.96:3386, protocol: TCP. " dus kennelijk was die wingate firewall WEL nodig. de richting is van een extern adres naar 10.0.0.1 (ik neem aan het adres van NIC2, of toch NIC1?).
misschien moet je een gele router nemen :-). ik bedoel wat voor type router heb je en hoe heb je die geconfigd ?

[ Voor 4% gewijzigd door arikkert op 31-01-2003 12:10 ]

vrijdag 31 januari 2003 12:12

Acties:

0 Henk 'm!

JHMvP

Veritas logica est

Topicstarter

Het is zo'n blauwe (spuitbus met gele lak staat klaar; wordt de eerste *functionele* router-mod) E-Tech router/Switch met ingebouwd ADSL-modem aka Amigo AMX-CA64E, zie ook http://www.amigo.com.tw/Products2.htm#adsl

- 10.0.0.1 is inderdaad NIC1 van de Wingate-PC en daar hangt de E-Tech aan
- De E-Tech heeft de nieuwste firmware
- De E-Tech heeft géén gemapte ports
- De Wingate-PC draait op volledig ge-update Win2k
- Wingate heeft géén open ports op NIC1

AS/400, Linux, Novell, Windows, DOS, OS/2...luck has nothing to do with it.
*** Ignorance and nonchalance will lead us happily into slavery of evil ***

vrijdag 31 januari 2003 12:39

Acties:

0 Henk 'm!

I_stealth_I

Tweak It OR leave it!

Waarom gebruik je wingate? Als je router dat zelf ook kan via napt. 2x napt is wel een beetje te veel van het goeie

Ik denk dat je 'm op bridge-mode heb staan

Ik heb exact hetzelfde apparaat, en gewoon de LAN poort op een HUB gehangen. Als je op grc.com even een testje laat uitvoeren of je door iemand ffies laat poortscannen, dan zal je zien dat alles netjes closed staat, mits je hem op 'bridge' hebt staan natuurlijk! De router krijgt dan ook netjes het WAN IP toegewezen?

Btw, die poorten zijn volgens mij van ICQ ofzo

Heb je cambrium/TweakDSL?

[ Voor 79% gewijzigd door I_stealth_I op 31-01-2003 12:51 ]

/dev/null

vrijdag 31 januari 2003 12:49

Acties:

0 Henk 'm!

JHMvP

Veritas logica est

Topicstarter

Ik gebruik Wingate omdat dat blijkbaar nodig is. Men is in staat om bij de NIC1 te komen!

- De E-Tech staat niet in bridge-modus
- De E-Tech krijgt alles netjes toegewezen gekregen
- GRC.COM geeft aan dat de gescande poorten dicht zijn

AS/400, Linux, Novell, Windows, DOS, OS/2...luck has nothing to do with it.
*** Ignorance and nonchalance will lead us happily into slavery of evil ***

vrijdag 31 januari 2003 14:16

Acties:

0 Henk 'm!

arikkert

geen idee hoe het kan. probeer eens
different portscanners
vanaf je wingate pc

[ Voor 8% gewijzigd door arikkert op 31-01-2003 14:18 ]

vrijdag 31 januari 2003 14:48

Acties:

0 Henk 'm!

JHMvP

Veritas logica est

Topicstarter

Okay,

Ik heb GRC.com en AuditMyPC.com gedaan en:
- beide audits geven géén gaten aan
- zelfs Wingate heeft geen portscans gedetecteerd van deze IP-adressen

Je zou dus zeggen dat de E-Tech deze portscans netjes heeft tegengehouden MAAR...in de tussentijd heb ik van wél van ANDERE ip-adressen weer geblockte attempts gekregen!

Paniek?

AS/400, Linux, Novell, Windows, DOS, OS/2...luck has nothing to do with it.
*** Ignorance and nonchalance will lead us happily into slavery of evil ***

vrijdag 31 januari 2003 14:51

Acties:

0 Henk 'm!

JHMvP

Veritas logica est

Topicstarter

...enneh...voordat een bijdehandje het gaat vragen:

>> NEE, het zijn GEEN interne ip-adressen <<

AS/400, Linux, Novell, Windows, DOS, OS/2...luck has nothing to do with it.
*** Ignorance and nonchalance will lead us happily into slavery of evil ***

zaterdag 1 februari 2003 05:21

Acties:

0 Henk 'm!

Anoniem: 52990

intrusion detection:
www.snort.org
hoe op te zetten :
www.synaxis.org/around/sansug/snort-w2k.pdf

[ Voor 47% gewijzigd door Anoniem: 52990 op 01-02-2003 05:24 ]

maandag 3 februari 2003 17:10

Acties:

0 Henk 'm!

JHMvP

Veritas logica est

Topicstarter

Eh..."Intrusion detection"...?
Dat doet mijn Wingate firewall al...en ja, ik wordt geintruded...zie initiële posting!

AS/400, Linux, Novell, Windows, DOS, OS/2...luck has nothing to do with it.
*** Ignorance and nonchalance will lead us happily into slavery of evil ***

Pagina: 1

Reageer