scanari de porturi...

Am instalat ZoneAlarm pe XP si de vreo 10 zile imi tot raporteaza tot felul de alerte care vin de la diferite IP din LAN,inclusiv de la gateway, si mai nou care sunt trimise spre IP din LAN..(vreo 2000 pina acum...)Am inteles ca scanarile de porturi sunt ilegale...Chestia asta m-a cam speriat si am anuntat admin de retea care ..fiti atenti ce mi-a raspuns :confused: "In prinpiu..sic..fiecare e dator sa-si protejeze calculatorul... :rolleyes: ) si bineinteles ca nimic nu s-a schimbat..
Precizez ca nu sunt singurul care se plange de asta ba unii au patit-o mai rau ..Ce credeti ca ar trebui sa fac..?
precizez ca NAV nu raporteaza nimic suspect..
Am auzit ca ar exista ceva softulete care ar putea detecta sursa...Si inca ceva pot sa-mi skimb IP (asa ca chestie.. )si nu-i nici o problema..iarasi lucru care mi se pare cel putin ciudat...
Si daca imi dati si niste linkuri spre ceva documentatie care sa ma mai lumineze un pic ..va raman recunoscator...
Multam Fain
Mengele :help:

Salutare !
Cam ambiguu ceea ce ne povestesti tu ... Sa vedem :
- Scanarea de porturi este ilegala ... in conformitate cu ce legi ?
- ZoneAlarm iti da alarme ... de ce gen ? Cum adica "sunt trimise spre IP din LAN" ? Cine ? Alarmele ?!!!
- Nu inteleg foarte bine ce fel de LAN ai tu acolo ... e un LAN al unei institutii, cu IP private, iar adminul iti spune ca de securitate sa se ocupe fiecare ? Pai atunci el pentru ce iar salar ? Pentru suava-i figura ?
- Eu intelesesem ca alertele respective iti dau si IP-ul celui care te-a "atacat" ... cel putin asa se intelege din mesajul tau ... acum ... ce-ti mai trebuie ca sa-i identifici pe "inamici" ?
- Ca poti sa-ti schimbi IP-ul ... depinde de configurarea retelei, de clasa de adrese, de politica de alocare a acestora ... de prea multe ... nu pot sa-ti spun nimic aici, nici ca e suspect nici ca nu e ....
Iar link-uri la documentatie ... te intereseaza exact ce anume ? Firewall, asa, in general, TCP/IP, porturi, servicii, ce anume ?

..sa fiu mai explicit..
1.asta e o retea studenteasca la inceputuri facuta cu sprijinul
facultatii si cu ceva bani de la noi .Cum ne ingrijim noi de ea e
problema noastra...iar administratorul e un ins care se zice ca stie mai multe despre retele (oricum el are acces la server desi nu sunt sigur ca e singurul..).E cam voluntariat si mi se pare ca e putin neprofesionist ..asta urmeaza sa-mi confirmati voi..
2.IP -urile in LAN sunt de genul 10.x.y.z. (x=camin, y= etaj,
z=camera...)dar nimeni nu ma impiedica sa-mi stabilesc un IP aiurea pentru ca probabil nu exista o lista de ip care sa ma impiedice sa fac asta..) de aia zic ca oricine se poate da oricine..
3.Alarmele astea de care ziceam arata cam asa
Rating Medium protocol UDP source 10.4.0.77: 1700(care n-ar trebui sa existe...)destination 255.255.255.255:816 incoming blocked 1 altele cam tot de genul asta care pleaca de la mine spre alte IP din LAN ...Sincer nu stiu ce si cum se intampla...
4.Vreau si eu sa inteleg care-i treaba si niste linkuri catre ceva
documentatie cu explicatii  asa ca pentru prosti(porturi,protocoale
folosite in retele)
5.Parca asa am auzit dupa panarama cu armaghedonul ca s-ar fi interzis
scanarea porturilor..
Oricum multumesc pentru rabdare si intelegere si poate ma voi revansa si
eu...Mengele

Mda ....
1&2. Retea studenteasca ... dar adminu' la ce'i student ?  :drac:
Dupa ceea ce mi-ai zis, cu IP-urile acelea, inteleg ca ati alocat o intreaga clasa A (si privata, ceea ce-i OK), dar cam greu de administrat o retea cu o astfel de adrese ... ma rog, gusturile nu se dicuta ...
3. Alarmele acelea, in mare parte, par a fi false .... ceea ce vezi tu acolo, de fapt sint pachete de broadcast. Ca vin pe un port sau altul, este in functie de cine le-a generat. Ca si de pe calculatorul tau pleaca astfel de pachete, nu-i greu de explicat ... ce SO ai, ce servicii ai instalate, ce servicii sint disponibile, s.a.m.d. ... Ca exemplu, orice serviciu oferit de masina ta are nevoie de niste porturi pentru a comunica cu eventualii clienti. Ca exemplu de serviciu ... un simplu share din Windows .... se anunta prin SMB sau SAP (doar in anumite configuratii) iar serviciile de nume prin NetBIOS, si daca din acest punct de vedere esti un nod 0xD (adica se realizeaza publicarea inf. prin broadcast) ... e gata !
Exista si alte posibilitati, cum ar fi o frumusete de virus de care tu poate nu stii si care sta frumos pa calculatorul tau "si-si face de cap" (a se vedea Nimda ...) dar dupa mesajul tau, nu pare a fi un virus ... oricum, doar log-urile ZA pot sa zica mai multe ....
4. Da-mi pe PM o adresa de mail unde sa-ti pot trimite cca. 4 MB informatie si ... o vei avea.
5. Brrrrr...... Daca Dan Nica a facut ceva kestii bunisoare pina acum (oricum, mai e MULT loc ...), chiar crezi ca cineva de acolo, de la Guv. intelege cum sta treaba cu scanarea porturilor si etc ?
Pentru ei o fi o kestie similara cu radiografia ... NU, din cite stiu eu, nu s-a facut asa ceva si nici nu stiu cine ar putea controla asa ceva .... si apoi ... de spoofing ei n-au auzit ?

Quote

AHEM !
In a thousand years.

--
ipchains -A forward -s JAPAN&KOREEA -j DENY :D

La reteaua aceea din Regie nu se pot aloca IP-uri aleatoare pentru ca sunt asignate MAC-ului placii de retea corespunzatoare user-ului.

Greets,
Speedo

Quote

Fa si tu pe dragutzu, rogu-te, baga intr-un Briefcase cei 4Mb de documentatzie, ca altfel ne iei tot traficul pe mail pe luna asta :)
Fara mishto, chiar sint curios , mai invat si eu ceva. :cya:

Speedo >> vrei sa spui ca acolo este un DHCP ? si ca IP-urile sint "batute in cuie" pentru MAC-uri ? Ar fi fain sa fie asa, pentru ca este o solutie buna, dar din ceea ce spune Mengele, pare sa fie un DHCP prost configurat sau un proxy necorelat cu DHCP-ul ...
Ei ... fie ce-o fi, e bucataria altuia, ideea este ca doc. in sine nu pot s-o arunc pe Net, din varii motive ... So, singura solutie ramine mail-ul.
Mengele >> a plecat. Si am redus-o destul de mult (cca. 450 K)
Relofan >> Eu o trimit spre Mengele, ia legatura cu el sau da si tu un PM cu adresa ta.

Baietii au acolo IP-uri asignate MAC-ului placii lor de retea, ei isi scriu IP in networking acolo, impreuna cu subnet mask si gateway, dar pentru a iesi din reteaua unui camin trebuie sa se autentifice la serverul DHCP pe camin, care daca da acelasi IP dupa MAC-ul pe care il citeste permite PC-ul iesirea spre gateway-ul cache.pub.ro, adica spre internet.

Nu-i configurata deloc prost reteaua insa sunt foarte foarte multi care am inteles ca fac search de ftp-uri pe toate porturile posibile si apoi incearca sa intre pe acelea pe care le gasesc.

ZA asta avertizeaza, dar e de neluat in seama.

Greets,
Speedo

'nteles.