Was ist 'RIPE Network Coordination Centre' ?
Wagner Peter
Oben erwähntes Center 217.226.132.110 wollte heute auf meinen PC zugreifen.
Schon mehr als einmal wollten auch andere sog. 'RIPE Network Coordination
Centre' auf meinen PC zugreifen?!
Weshalb machen die das?
Jedenfalls habe ich ihnen den Zugriff im Firewall gesperrt.
TIA
p
Robert Meyer-Piening
u...@directbox.com am 16.09.2002 9:19 Uhr:
> Hallo
>
>
> Oben erwähntes Center 217.226.132.110 wollte heute auf meinen PC zugreifen.
> Schon mehr als einmal wollten auch andere sog. 'RIPE Network Coordination
> Centre' auf meinen PC zugreifen?!
Aha (rotfl)
Du hast bei ARIN die IP nachgeschlagen und hast dann RIPE Network
Coordination Centre gefunden? Alles klar! Also: RIPE hat nicht auf deine IP
zugegriffen. Sondern bestenfalls ein Rechner in einem Netz, dessen IP-Range
von RIPE (Europa) verwaltet wird (und nicht von ARIN (Amerika) oder APNIC
(Asien/Pazifik)). Versuchs mal mit whois.ripe.net. Dann findest du, dass
dieses Netz der Deutschen Telekom gehört.
Manchmal hat diese Newsgroup richtig Unterhaltungswert (SCNR)
Gruss Robert
Robert Meyer-Piening
u...@directbox.com am 16.09.2002 9:19 Uhr:
> Oben erwähntes Center 217.226.132.110 wollte heute auf meinen PC zugreifen.
Für mich tönt das nach "Personal Firewall Paranoia". Ich weiss nicht wie du
auf RIPE Network Coordination Center kommst, wenn ich die IP bei RIPE
eingeben komm ich auf Deutsche Telekom. Also wiederholen wir das mal hier:
- Deine IP hatte vorher mal jemand anderes und deshalb versucht jemand
(wissentlich oder unwissentlich) eine Verbindung zu deinem Vorgänger
aufzubauen
- Ein Scriptkiddie, der über die Telekom eingewählt ist scant ein paar IP's
weil nichts besseres zu tun
- Jemand hat sich bei Eingabe einer IP vertippt
- ... Vielleicht findet hier jemand noch andere szenarien
Eigentlich ist es ja vergeudete Zeit über sowas zu diskutieren (ich schick
dir gern mal mein NAT Log (Stichwort unrecognized access) und dann
diskutieren wir über jeden einzelnen Eintrag ;-)) aber wenn du wirklich
wissen möchtest, was es mit dem Zugriff auf sich hat brauchen wir zumindest
mehr Infos (Art deines ***Firewalls***, Port nummer, Anbindung ...)
Gruss Robert
Walter Saner
> Jedenfalls habe ich ihnen den Zugriff im Firewall gesperrt.
AFAIK besser als ein nutzloses und irritierendes Stück Software:
http://www.datenschutz.ch/index/sichersurfen.htm
Ciao
Walter
Peter Wagner©
> in Beitrag am431o$2ba2d$4...@ID-66701.news.dfncis.de schrieb Wagner
> Peter unter u...@directbox.com am 16.09.2002 9:19 Uhr:
>
Danke für Deine Msg.
>
> Aha (rotfl)
Hahaha ...
>
> Du hast bei ARIN die IP nachgeschlagen und hast dann RIPE Network
> Coordination Centre gefunden?
Bei Samspade.
> Alles klar! Also: RIPE hat nicht auf
> deine IP zugegriffen. Sondern bestenfalls ein Rechner in einem Netz,
> dessen IP-Range von RIPE (Europa) verwaltet wird (und nicht von ARIN
> (Amerika) oder APNIC (Asien/Pazifik)). Versuchs mal mit
> whois.ripe.net. Dann findest du, dass dieses Netz der Deutschen
> Telekom gehört.
OK, habs falsch interpretiert.
>
> Manchmal hat diese Newsgroup richtig Unterhaltungswert (SCNR)
Wenns Dir Freude macht, Dich als eingebildeter Besserwisser zu outen ...
>
> Gruss Robert
p
Peter Wagner©
> Wagner Peter schrieb:
>
Danke für Deine Antwort.
>> Jedenfalls habe ich ihnen den Zugriff im Firewall gesperrt.
>
> AFAIK besser als ein nutzloses und irritierendes Stück Software:
Werden wir dann sehen.
Hätte ich dieses Stück nicht, wäre mir nicht gemeldet worden, dass jemand
auf meinen PC zugreifen will.
Es braucht wirklich niemand auf meine PC zuzugreifen, ich wüsste nicht
weshalb.
>
> http://www.datenschutz.ch/index/sichersurfen.htm
OK.
>
>
>
> Ciao
> Walter
p
Matthias Leisi
>Werden wir dann sehen.
>Hätte ich dieses Stück nicht, wäre mir nicht gemeldet worden, dass jemand
>auf meinen PC zugreifen will.
>Es braucht wirklich niemand auf meine PC zuzugreifen, ich wüsste nicht
>weshalb.
Es hat auch "niemand" auf deinen PC "zugegriffen".
Hast du Dienste laufen, die auf den von deiner Software
angegebenen Ports lauschen? Verwendest du diese Dienste?
Sind diese Dienste sicher?
Durch Beantworten dieser Fragen erreichst du deutlich mehr als
durch die bunten blinkenden Ausgaben irgend eines Programms.
Diese Ausgaben führen in den allermeisten Fällen zu einem
falschen Alarm und sind über alles gesehen nicht nur nutzlos,
sondern geradezu schädlich.
Gruss,
Matthias
--
Das Netz ist ein Spiegel der Gesellschaft.
Gefällt ihnen, was sie sehen? -- Kristian Köhntopp
Walter Saner
> Hätte ich dieses Stück nicht, wäre mir nicht gemeldet worden, dass jemand
> auf meinen PC zugreifen will.
Ohne vermeintliche Erfolgserlebnisse liesse sich keine Software
absetzen. Jedes Computerspiel, wie z.B. Word, funktioniert so.
Die "Firewall" für den PC ist nicht anderes als der Beweis, dass
Marketing funktioniert.
Ciao
Walter
Andreas Amman
> Die "Firewall" für den PC ist nicht anderes als der Beweis, dass
> Marketing funktioniert.
>
> http://www.fefe.de/pffaq/
rotflmao ;-)
"Why do so many people install them, then? - Because those people
are all idiots."
Bei meinem letzten Arbeitgeber (ISP) hatten wir mal von 'ner
Kundin eine Mail bekommen, wir haetten sie angegriffen und sollen
das sofort unterlassen. Der Angriffstyp war "ICMP Destination Net
Unreachable" ;-)).
aa
Fabian Uebersax
> Bei meinem letzten Arbeitgeber (ISP) hatten wir mal von 'ner
> Kundin eine Mail bekommen, wir haetten sie angegriffen und sollen
> das sofort unterlassen. Der Angriffstyp war "ICMP Destination Net
> Unreachable" ;-)).
Tjo, da faellt mit doch gerade die Kundin ein, die sich mal bei mir
beklagt hatte, sie werde von einem "Dämon" belaestigt, einem "Mailer
Dämon"! Er wuerde ihr immer so Drohmails auf Englisch schreiben und wir
sollten doch bitte rausfinden, wer sich dahinter verbirgt und ihn
auffordern, das zu unterlassen.
Hab mich dann paar Minuten mit dem Mailserver unterhalten, aber die
Konversation war doch recht einseitig :)
- Fabian
Peter Wagner°
> Peter Wagner© in ch.comm:
>
>
> Es hat auch "niemand" auf deinen PC "zugegriffen".
>
> Hast du Dienste laufen, die auf den von deiner Software
> angegebenen Ports lauschen? Verwendest du diese Dienste?
> Sind diese Dienste sicher?
Wenn mir Tiny Soft meldet, dass jemand von 217.226.132.110 auf meinen PC
zugreifen wolle und ob ich das dem erlauben resp. verbieten will, dann ist
das aus den Fingern gesogen?!
Ich wüsste nicht, dass ich einen Dienst hätte, der der Deutschen Telekom
sagt, sie solle auf meinen PC zugreifen.
>
> Durch Beantworten dieser Fragen erreichst du deutlich mehr als
> durch die bunten blinkenden Ausgaben irgend eines Programms.
> Diese Ausgaben führen in den allermeisten Fällen zu einem
> falschen Alarm und sind über alles gesehen nicht nur nutzlos,
> sondern geradezu schädlich.
Aha, ich hätte also Tiny sagen sollen, 217.226.132.110 dürfe auf meine PC
zugreifen?! :-(
Also ich vertraue Tiny eher als Dir.
>
> Gruss,
> Matthias
p
Heribert Slama
(Matthias Leisi) wrote:
>[...]
>
>Hast du Dienste laufen, die auf den von deiner Software
>angegebenen Ports lauschen? Verwendest du diese Dienste?
>Sind diese Dienste sicher?
Hallo Matthias,
Dein Rat ist im Prinzip gut und richtig, aber...
Wenn ich nicht mindestens 2 Diensten von Windows 2000 Prof. das
Recht gebe (via ZoneAlarm), als _Server_ zu agieren, funktioniert
die ganze Internet-Chose nicht. Was diese Dienste im einzelnen tun,
kann ich nur raten. Ueber die Clients dieser Dienste (ihre Requests)
habe ich jedenfalls _keine_ Kontrolle. Nun, bis jetzt bin ich noch
nicht von der Klapperschlange gebissen worden, aber das kann ja noch
passieren<g>.
Grüsse,
-Heribert
--
Heribert Slama
Muttenz, Switzerland
Nicolas Iselin
>
> Wenn mir Tiny Soft meldet, dass jemand von 217.226.132.110 auf meinen PC
> zugreifen wolle und ob ich das dem erlauben resp. verbieten will, dann ist
> das aus den Fingern gesogen?!
Dass ein Paket mit dieser Absender-Adresse bei dir aufgeschlagen hat,
bezweifelt niemand. Was aber gänzlich fehl am Platz ist, dies als
'Zugriff' einzustufen. Pakete aufzeichnen kann jeder. Die Interpretation
(bzw Bewertung) eines Pakets ist so abhängig von deiner eigenen
Konfiguration, dass kein Programm das zuverlässig machen kann. Das
braucht Kenntnis über deine Config (was willst du mit deinem Rechner)
und dein Security-Konzept (kein Konzept ist auch eines).
Es gibt keine 'Security out of the box', weil es immer ein Abwägen
zwischen Komfort ('Ich will ICQ benutzen') und Sicherheit ('Ich
habe vertrauliche Daten auf meinem PC'). Diese Abwägung kann eben
nur von einem kompetenten Menschen gemacht werden...
>
> Ich wüsste nicht, dass ich einen Dienst hätte, der der Deutschen Telekom
> sagt, sie solle auf meinen PC zugreifen.
Wenn du deine Kiste wirklich im Griff hättest, dann würde dieser
Satz mit 'Ich bin sicher, dass ich keinen Dienst habe...' beginnen.
>
> Aha, ich hätte also Tiny sagen sollen, 217.226.132.110 dürfe auf meine PC
> zugreifen?! :-( Also ich vertraue Tiny eher als Dir.
Du musst _Dir_ vertrauen. Aber solange du auch als Admin surfst (volle
Schreibrechte auf alle Dateien der Kiste), kannst du getrost auf Tiny
verzichten. Die Gefahren durch den IE und Outlook sind deutlich grösser
als die Gefahr durch verirrte Pakete.
Nicolas
Peter Wagner°
> In article <am840h$3jvof$1...@ID-66701.news.dfncis.de>, Peter Wagner°
> wrote:
>>
Danke für Deine Antwort.
>
> Dass ein Paket mit dieser Absender-Adresse bei dir aufgeschlagen hat,
> bezweifelt niemand. Was aber gänzlich fehl am Platz ist, dies als
> 'Zugriff' einzustufen. Pakete aufzeichnen kann jeder. Die
> Interpretation (bzw Bewertung) eines Pakets ist so abhängig von
> deiner eigenen Konfiguration, dass kein Programm das zuverlässig
> machen kann.
Aber was ist denn daran falsch, dass ich dem Tiny sag, wenn ein Paket resp.
Zugriff von der DNSxxxx kommt, blockst Du ab?
> Das braucht Kenntnis über deine Config (was willst du
> mit deinem Rechner) und dein Security-Konzept (kein Konzept ist auch
> eines).
Ich will via Internet auf Sites zugreifen, Files runterladen. E-Mails senden
etc.
Aber ich will nicht, dass Unbekannte auf meinen PC zugreifen können.
>
> Es gibt keine 'Security out of the box', weil es immer ein Abwägen
> zwischen Komfort ('Ich will ICQ benutzen') und Sicherheit ('Ich
Verwende ich nicht.
> habe vertrauliche Daten auf meinem PC'). Diese Abwägung kann eben
Die echt vertraulichen habe ich verschlüsselt.
> nur von einem kompetenten Menschen gemacht werden...
>
>>
>> Ich wüsste nicht, dass ich einen Dienst hätte, der der Deutschen
>> Telekom sagt, sie solle auf meinen PC zugreifen.
>
> Wenn du deine Kiste wirklich im Griff hättest, dann würde dieser
> Satz mit 'Ich bin sicher, dass ich keinen Dienst habe...' beginnen.
Wenn das jemand sagt zeugt das von Dummheit, Überheblichkeit etc.
Es gibt fast nichts auf dieser Erde, was man 100% weiss.
>
>>
>> Aha, ich hätte also Tiny sagen sollen, 217.226.132.110 dürfe auf
>> meine PC zugreifen?! :-( Also ich vertraue Tiny eher als Dir.
>
> Du musst _Dir_ vertrauen. Aber solange du auch als Admin surfst (volle
> Schreibrechte auf alle Dateien der Kiste), kannst du getrost auf Tiny
> verzichten.
OK, Du hast recht.
> Die Gefahren durch den IE und Outlook sind deutlich
> grösser als die Gefahr durch verirrte Pakete.
Wenns nicht eines dieser 2 Programme ist, sind es andere.
Sind andere sicherer?
Wie soll ich den ins Internet gehen?
Via Rauchzeichen à la Indianer?! :-(
>
> Nicolas
p
Peter Wagner°
> in Beitrag am840h$3jvof$1...@ID-66701.news.dfncis.de schrieb Peter
> Wagner° unter u...@directbox.com am 17.09.2002 16:24 Uhr:
>
Danke für Deine Antwort.
>
> Nein, das Problem liegt daran, was dieses Programm unter "Zugriff"
> versteht. In den letzten paar Messages hat es wunderbare Beispiele
> was für eindeutig legitime Pakete als "illegaler Zugriff"
> klassifiziert werden können (inkl. ICMP Host Unreachable). Dazu
> kommen eben auch "verirrte Pakete" oder Portscannende Script-kiddies.
> Ich bin halt der Ansicht, dass ein Paket-Filter oder besser Firewall
> mehr bringt (und weniger schadet) als ein Programm à la Zone Alarm.
Was ist ein Paket-Filter? Wo erhält man die?
Mit Firewall meinst Du eine Hardware-FW?
Wo kann ich über die 2 Dinge mehr erfahren?
> Aber das ist halt z.t. auch eine Kostenfrage. Um das zu
> verdeutlichen: Es ist jetzt 8 Uhr und ich hatte heute schon 7
> "unrecognized access" im Log meines Paketfilters (ports 137,
> 1433(2x), 1524, 27374(3x)), was mir aber eigentlich ziemlich egal
> ist.
Sie wurden ja wohl abgeblockt.
Dann kanns Dir ja auch egal sein. ,-)
>
> Gruss Robert
p
Robert Meyer-Piening
unter u...@directbox.com am 18.09.2002 13:02 Uhr:
> Was ist ein Paket-Filter? Wo erhält man die?
> Mit Firewall meinst Du eine Hardware-FW?
> Wo kann ich über die 2 Dinge mehr erfahren?
Äh, ja sorry. Ich muss das etwas präzisieren. Mit Paketfilter meine ich ein
Stück Hardware wie z.B. Zyxel oder SMC sie herstellen (ich verwende den SMC
Barricade). Ist zwar auch eine "Security out of the box", denke aber dass es
ein ziemliches Mass an Sicherheit bringt.
Und mit Firewall meine ich entweder eine Hardware Firewall oder einen
separaten PC mit z.b, Linux und entspr. Software. Ich gebe hier zu dass ich
mich nicht so gut auf diesem gebiet auskenne. Andere mögen hier präzisieren.
Das Hauptproblem am Internet ist wohl, dass man den Weg zur eigenen Maschine
nicht ganz versperren darf, da sonst auch z.B. Antworten auf einen
Webseitenaufruf auch nicht an den PC geschickt werden können. Die Schwelle
zu finden ist aber nicht ganz leicht.
Gruss Robert
Nicolas Iselin
> Nicolas Iselin wrote:
>> In article <am840h$3jvof$1...@ID-66701.news.dfncis.de>, Peter Wagner°
>> wrote:
>>>
>
> Danke für Deine Antwort.
>
>
> Zugriff von der DNSxxxx kommt, blockst Du ab?
Du kannst sagen: Wenn ein Paket von der IP-Adresse a.b.c.d kommt,
schmeiss es weg. Du kannst luxuriöser sagen, wenn es von www.baddomain.ch
kommt, schmeiss es weg. Die Konfigurationsroutine wird dann zuerst
www.baddomain.ch nachschauen und die gleiche IP-Adresse in die Sperrliste
reinmachen. Du kannst vielleicht auch noch (Ich kenne Tiny nicht)
sagen, dass alles was von *.baddomain.ch kommt, soll weggeworfen werden.
Dies kann der Tiny aber nur dann machen, wenn für alle Rechner in
baddomain.ch ein gültiges Reverse-Lookup (IP-Addresse -> Domain-Name)
eingerichtet ist. Und tiny müsste bei _jedem_ einkommenden Paket ein
Reverse-Lookup machen. Sowas kann nicht mehr performant sein.
Und solltest du schliesslich ausnahmsweise auf einen Webserver
zugreifen wollen, der zufällig in deiner Sperrliste ist, wird
der Browser einfach mit 'Cannot contact server' oder sowas antworten.
Und dann musst _Du_ dich daran erinnern, dass du ja diese IP-Adresse
geblockt hast.
>
> Ich will via Internet auf Sites zugreifen, Files runterladen.
> E-Mails senden etc. Aber ich will nicht, dass Unbekannte auf meinen
> PC zugreifen können.
Ich würde das jetzt technisch so formulieren:
a Ich will mit http/https auf alle Web-Server im Internet zugreifen
können.
b Ich will mit http/https Files runterladen können
c Ich will Emails mit smtp senden und mit pop3 runterladen können.
d SONST WILL ICH NICHTS !
(a und b sind technisch gesehen genau das gleiche)
> Die echt vertraulichen habe ich verschlüsselt.
Und der Schlüssel liegt auf einer separaten Diskette ? Oder ist
mit einer nicht-trivialen Passphrase verschlüsselt ?
>> Wenn du deine Kiste wirklich im Griff hättest, dann würde dieser
>> Satz mit 'Ich bin sicher, dass ich keinen Dienst habe...' beginnen.
>
> Wenn das jemand sagt zeugt das von Dummheit, Überheblichkeit etc.
> Es gibt fast nichts auf dieser Erde, was man 100% weiss.
Auf linux gibt es einen Befehl, der zeigt dir _auf_einen_Blick_
sämtliche Prozesse und deren offenen Ports an:
lsof -i
Unter Windows gibt es auch das eine oder andere Tool, um sich das
anzeigen zu lassen. Und da wird entweder was angezeigt oder nicht.
Generell hast du natürlich recht (es gibt keine 100% Sicherheit),
aber auf die Frage, ob ich auf meinem Rechner Dienste habe und die
nach aussen anbiete kann ich dir eine 100% Antwort geben. (Ist
übrigens auch ein Vorteil von open source: Man kann nachprüfen,
dass der Code nicht irgendwelche Prozesse ausblendet...)
>
>> Die Gefahren durch den IE und Outlook sind deutlich
>> grösser als die Gefahr durch verirrte Pakete.
>
> Wenns nicht eines dieser 2 Programme ist, sind es andere.
> Sind andere sicherer?
Unter der Annahme, dass alle Software etwa gleich buggy ist
(also zB 10 Bugs pro 1KB Binary-Code) laesst sich folgendes
sagen:
. Ein Rechner wird sicherer, je _weniger_ Software darauf installiert
ist, man hat dann auch weniger Bugs drauf.
. Je verbreiteter ein Programm ist, desto wahrscheinlicher werden
Sicherheitslecks gefunden und 'Malware' geschrieben, die diese
Lecks ausnutzt.
. Je mehr Features ein Programm hat (je grösser das Programm ist), desto
effizientere Malware lässt sich schreiben.
Eines der kritischsten Features heutzutage ist die Darstellung von Mail
mit dem Browser (oder seinen DLLs). Ueber diese Schiene ist es möglich,
bösartigen Code an jeder Firewall vorbeizubringen (Gemäss oben willst du
ja Mails von aussen holen). Und dann übergibt man den Code noch an den
Browser, der zum Beispiel mit Active-X vollen Zugriff auf die ganze
Maschine hat. Und für den Browser ist es eine _lokale_ Datei, das heisst
sie wird nicht so behandelt, wie man das eigentlich durch
Browser-Konfiguration erzwingen wollte.
>
> Wie soll ich den ins Internet gehen?
Im Internet bist du ja, sobald du eine IP-Adresse vom Provider erhalten
hast. Man kann auch ins Internet ohne Browser (Das WWW ist noch keine 10
Jahre alt, das Internet über 30).
> Via Rauchzeichen à la Indianer?! :-(
>
Du hast schon sehr viel gewonnen, wenn du nicht das gleiche wie alle
andern hast.
Nicolas
Roman Merz
> Wie soll ich den ins Internet gehen?
> Via Rauchzeichen à la Indianer?! :-(
Dafür gibts soweit ich weiss keinen Standard. Meine Empfehlung sind
Brieftauben gemäss RFC1149. http://www.ietf.org/rfc/rfc1149.txt
scnr
Roman