[HaBo]

LogUser · 24.03.11, 18:27

Hallo HaBo Forum,

ich hoffe, dass ich im richtigen Forum bin. Bin seit heute Mitglied und hoffe hier auf Unterstützung.
Habe gleich ein spezielles Anliegen. Unzwar habe ich seid einiger Zeit im Router Log komische Meldungen feststellen müssen, die mich etwas verwirren.

Es handelt sich um diese Meldung :

[LAN access from remote] from XXX.XXX.X.X : Port to XXX.XXX.X.X : Port ( Eigene IP )

Die X Zeichen habe ich deshalb gewählt um die betroffenen IP zu verbergen. Diese Meldungen kommen auch, wenn der Rechner aus ist und bzw. vom Internet getrennt ist.

Ich kann die Gefahr dieser Meldung schwer einschätzen, daher bitte ich um Rat von euch.

Folgendes getan :
Rechner durchgescannt, einmal mit LiveCD und mit einem aktuellen Virenscanner. Beides keine Funde.
Nach den IP Adressen gesucht via WhoisIP und dabei kamen folgende IP Adressen aus Brasilien,USA, Rumänien, Deutschland usw. Es handelt sich hierbei um die IP Adressen der Internet Provider.

Außerdem finde ich unter Computer/Netzwerke/Netzwerkstruktur

einen Fremden Router von TP Link, neben meinen Router, was mich ein wenig stuzig macht.

Fals Ihr irgendwelche Informationen benötigt, bescheid geben.

Danke im Vorraus

Chakky · 24.03.11, 18:29

Andere geräte im LAN? Wie ist dein Netzwerk aufgebaut? WLAN? Welcher Router genau?

Anzeige

- Anzeige -

LogUser · 24.03.11, 18:31

Ja es befinden sich noch 3 Rechner im Heimnetzwerk. Eins via LAN , die anderen via WLAN. Router ist von Netgear, ich weiß nicht ob ich die genau Bezeichnung sagen darf.

Scutus · 24.03.11, 18:42

Hast du die Systeme auch mal gescannt?

Remote Control dürfte im router ausgestellt sein, oder?

Hängt ein XP im Netzwerk? uPnP sollte auch abgestellt sein...

ansonsten kann du ja mal den Netzwerk etwas scannen und beobachten...wireshark wäre eine Möglichkeit. Dabei dann natürlich darauf achten, welcher traffic gewollt ist, welcher nicht, usw...

LogUser · 24.03.11, 18:48

Ich habe alle System gescannt und die scheinen sauber zu sein. Den RemoteControl im Router bin ich mir nicht sicher, aber werde schauen ob er aus ist. Das sollte unter Fernwartung zufinden sein oder?

Im Netzwerk befinden sich nur Windows 7 Rechner. Mit Wireshark habe ich auch geschaut ob sich irgendwie ungewollt Traffic bildet. Habe auch Spezielle Ports oder besser gesagt beliebte Ports gesnifft, konnte jedoch nichts feststellen.

Von Upnp habe ich was gehört, aber das der ausgeschaltet sein soll, dass ist mir ehrrlich gesagt neu. Ist das nicht notwendig für ein Heimnetzwerk. Wird mit diesem Protokoll nicht jeder Rechner im Netzwerk angesteuert, damit jeder Rechner einen "Hallo ich bin da" an den Router sendet ?

Scutus · 24.03.11, 18:54

Zitat:

UPnP bietet mit dem IGD-Protokoll (IGD steht für Internet Gateway Device) eine Möglichkeit, auf für den Benutzer einfache Weise Router anzuweisen, Ports zu öffnen und entsprechende Anfragen aus dem Internet an einen Rechner weiterzuleiten, der via NAT an das Internet angebunden ist. Derartige Weiterleitungen sind beispielsweise für Filesharing und Dateitransfers in Instant-Messaging-Programmen notwendig. Anwendung findet dies beispielsweise in µTorrent, Pidgin 2, Apple iChat, eMule ab Version 0.48a, Miranda IM ab Version 0.6, Transmission, Vuze und ANts P2P.
Der Bequemlichkeit der automatischen Portkonfiguration gegenüber steht ein Verlust an Sicherheit, denn die Firewall eines UPnP-fähigen Routers kann dadurch von einem eventuell auf den Computer gelangten Schadprogramm unwirksam gemacht werden. Dieser Verlust entsteht aber erst, nachdem ein PC im lokalen Netz mit einer Schadsoftware infiziert ist. Ohne Zugriff auf das LAN ist IGD kein Verlust an Sicherheit. Zu bedenken ist allerdings, dass seit Januar 2008 Schadsoftware bekannt ist, die sich z. B. in Adobe Flash oder in JavaScript versteckt und ohne Nutzerinteraktion auch beim bloßen Besuchen von Webseiten mit einem aktuellen Internet-Browser auf dem Rechner ausgeführt werden kann und somit ungebetenen Gästen das Eindringen ins lokale Netzwerk ermöglicht.[1]

siehe wiki... deswegen hab ich nur mal darauf hingewiesen...

irgendwie schon etwas komisch...derjenige, der das versucht braucht irgendwoher deine derzeitige ip - und da fällt mir gerade nur ein: Du teilst sie ihm mit (unbewusst oder bewusst...) oder du hast einen dienst wie dyndns laufen...

LogUser · 24.03.11, 18:57

Ok jetzt stellt sich die Frage. Ich benutze Miranda Fusion und kann es möglich sein, dass dadurch da ja Upnp an ist ein Schadprogramm eingeschlichen hat oder verstehe ich das ganze falsch ?

Edit: Dyndns habe ich nicht am laufen.
Ich habe neulich auch einen Basis Check auf der Com-Magazin Seite gemacht und der hat mir sowohl die Interne alsauch die Externe IP Adresse angezeigt. Mögliche Ursache Java , wird dort beschrieben.

Das Merkwürdige daran ist, dass diese Meldungen auch kommen, wenn der Rchner nicht mit dem Internet verbunden ist. Das ich nicht nachvollziehen kann. Teamviewer wird auch genutzt, aber da kann es wohl eher kaum liegen.

Mit einer öffentlichen IP kann man eigentlich wenig anfangen, sehe ich das richtig ? Wenn, dann nur mit der Internen ?

Scutus · 24.03.11, 19:03

Upnp ist nur eine Vermutung...es kann natürlich auch sein, dass es durch ein ganz normales Programm passiert und reproduzierbar ist...

LogUser · 24.03.11, 19:29

Ich sehe gerade, dass bei mir Upnp im Router aktiviert ist. Wie soll ich handeln ?

Kann ich den bedenkenlos deaktivieren ? Wie sehen die Foglen aus, wenn ich es deaktiviere.

**lightsaver** · 24.03.11, 20:32

Ich persönlich würde das auf jeden Fall deaktivieren.

Es kann passieren, dass du dich um Portweiterleitungen selber kümmern musst, aber gerade aus sicherheitstechnischer Sicht ist das definitiv zu bevorzugen.

Weiterhin würde ich definitiv das Routerpasswort ändern, ALLE Einstellungen überprüfen und Möglichkeiten, vom Internet auf den Router zuzugreifen deaktivieren.

Wenn du uns sagst, was du für einen Router hast, können wir dir gerne Tipps geben.

LogUser · 24.03.11, 20:38

Danke für die Antwort, ich werde es dann umgehend deaktivieren. Also ich habe es auch so eingstellt, dass ich ohne Internetverbindung auf meinen Router zugreifen kann.

Beim Router handelt es sich um WNR3500L von Netgear. Habe bisschen gezögert mit der bekanntgabe meines Routers, aus Sicherheitsgründen. Aber ich denke, dass ich hier gute behandelt werde und mir niemand was böses möchte.

Edit: Verstehe, aber nicht wieso Upnp standardmäßig aktiviert ist ?

Chakky · 24.03.11, 21:30

Zitat:

Zitat von LogUser

Edit: Verstehe, aber nicht wieso Upnp standardmäßig aktiviert ist ?

weil es am benutzerfreundlichsten ist. Per UPNP können programme mehr oder weniger selbständige Port öffnen und der User muss sich nicht erst mit der Weiterleitung rumschlagen eh Programme funktionieren die auf das Internet zugreifen.

**lightsaver** · 24.03.11, 21:31

Das Nennen des Routermodells stellt eigentlich kein Risiko für dich dar.
Ich habe gerade mal nachgesehen, Remote Management ist standardmäßig nicht aktiviert. Überprüfe das trotzdem.

Upnp ist von der Idee her ja gar nicht schlecht, da halt nicht jeder weiß, wie man bei seinem Router und in der FW möglicherweise Ports weiterleitet/freischaltet, nur leider eröffnet das dann doch ein riesiges Sicherheitsproblem. Die einfache Benutzung steht für die Hersteller aber leider im Vordergrund, daher ist das aktiviert. Das gleiche Problem ist man aber von Windows auch schon gewohnt. Viele Einstellungen machen die Bedienung zwar einfacher/übersichtlicher, leider ermöglicht genau das aber vielen Schädlingen, überhaupt ins System zu kommen. Ist also nichts, was jetzt speziell nur Routerhersteller betreffen würde.

LogUser · 24.03.11, 21:43

Ich möchte mich herzlich bei euch bedanken für eure Unterstützung. So fühlt man sich gleich hier Willkommen und wird auch hier bleiben. Ich war schon ziemlich am verzweifeln und hatte schlimmeres befürchtet.

Ich habe Upnp im Router deaktiviert und habe seitdem keine Meldungen wie davor. Auch Remote Managment ist deaktiviert.

Jedoch verstehe ich die Meldungen nicht genau. Als ich mir die IP Adressen genauer unter die Lupe genommen habe und feststellen musste in welchen Ländern sich diese befinden, bin ich davon ausgegangen, dass sich jemand oder mehrere Zugriff verschafft hatten. Oder Interpretiere ich das falsch oder habe ich etwas nicht genau verstanden ?

**lightsaver** · 24.03.11, 21:52

Es kommt darauf an, was wirklich geloggt wird. Sollten das wirklich Remoteverbindungen sein, dann solltest du dir auf jeden Fall sorgen machen (daher auch die genannten Maßnahmen). Es ist aber durchaus auch möglich, dass dies nur Verbindungsversuche sind. In diesem Fall brauchst du dir keine Gedanken machen.
Leider ist das Handbuch von Netgear eine absolute Katastrophe, so dass ich dir die Antwort da nicht raussuchen kann.

Anzeige

- Anzeige -

24.03.11, 18:27	#1 (permalink)
LogUser Registriert seit: 24.03.11 Likes: 0	[LAN access from remote] schwer einschätzbare Gefahr Anzeige Hallo HaBo Forum, ich hoffe, dass ich im richtigen Forum bin. Bin seit heute Mitglied und hoffe hier auf Unterstützung. Habe gleich ein spezielles Anliegen. Unzwar habe ich seid einiger Zeit im Router Log komische Meldungen feststellen müssen, die mich etwas verwirren. Es handelt sich um diese Meldung : [LAN access from remote] from XXX.XXX.X.X : Port to XXX.XXX.X.X : Port ( Eigene IP ) Die X Zeichen habe ich deshalb gewählt um die betroffenen IP zu verbergen. Diese Meldungen kommen auch, wenn der Rechner aus ist und bzw. vom Internet getrennt ist. Ich kann die Gefahr dieser Meldung schwer einschätzen, daher bitte ich um Rat von euch. Folgendes getan : Rechner durchgescannt, einmal mit LiveCD und mit einem aktuellen Virenscanner. Beides keine Funde. Nach den IP Adressen gesucht via WhoisIP und dabei kamen folgende IP Adressen aus Brasilien,USA, Rumänien, Deutschland usw. Es handelt sich hierbei um die IP Adressen der Internet Provider. Außerdem finde ich unter Computer/Netzwerke/Netzwerkstruktur einen Fremden Router von TP Link, neben meinen Router, was mich ein wenig stuzig macht. Fals Ihr irgendwelche Informationen benötigt, bescheid geben. Danke im Vorraus

24.03.11, 18:29	#2 (permalink)
Chakky Senior Member Registriert seit: 28.10.03 Likes: 110	Andere geräte im LAN? Wie ist dein Netzwerk aufgebaut? WLAN? Welcher Router genau? __________________ cu Chakky we are dreaming in digital we are living in realtime we are thinking in binary we are talking in IP welcome to our world

24.03.11, 18:57	#7 (permalink)
LogUser Themenstarter Registriert seit: 24.03.11 Likes: 0	Ok jetzt stellt sich die Frage. Ich benutze Miranda Fusion und kann es möglich sein, dass dadurch da ja Upnp an ist ein Schadprogramm eingeschlichen hat oder verstehe ich das ganze falsch ? Edit: Dyndns habe ich nicht am laufen. Ich habe neulich auch einen Basis Check auf der Com-Magazin Seite gemacht und der hat mir sowohl die Interne alsauch die Externe IP Adresse angezeigt. Mögliche Ursache Java , wird dort beschrieben. Das Merkwürdige daran ist, dass diese Meldungen auch kommen, wenn der Rchner nicht mit dem Internet verbunden ist. Das ich nicht nachvollziehen kann. Teamviewer wird auch genutzt, aber da kann es wohl eher kaum liegen. Mit einer öffentlichen IP kann man eigentlich wenig anfangen, sehe ich das richtig ? Wenn, dann nur mit der Internen ? Geändert von LogUser (25.03.11 um 13:06 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

24.03.11, 18:31	#3 (permalink)
LogUser Themenstarter Registriert seit: 24.03.11 Likes: 0	Ja es befinden sich noch 3 Rechner im Heimnetzwerk. Eins via LAN , die anderen via WLAN. Router ist von Netgear, ich weiß nicht ob ich die genau Bezeichnung sagen darf.

24.03.11, 18:42	#4 (permalink)
Scutus Registriert seit: 02.09.10 Likes: 21	Hast du die Systeme auch mal gescannt? Remote Control dürfte im router ausgestellt sein, oder? Hängt ein XP im Netzwerk? uPnP sollte auch abgestellt sein... ansonsten kann du ja mal den Netzwerk etwas scannen und beobachten...wireshark wäre eine Möglichkeit. Dabei dann natürlich darauf achten, welcher traffic gewollt ist, welcher nicht, usw...

24.03.11, 18:48	#5 (permalink)
LogUser Themenstarter Registriert seit: 24.03.11 Likes: 0	Ich habe alle System gescannt und die scheinen sauber zu sein. Den RemoteControl im Router bin ich mir nicht sicher, aber werde schauen ob er aus ist. Das sollte unter Fernwartung zufinden sein oder? Im Netzwerk befinden sich nur Windows 7 Rechner. Mit Wireshark habe ich auch geschaut ob sich irgendwie ungewollt Traffic bildet. Habe auch Spezielle Ports oder besser gesagt beliebte Ports gesnifft, konnte jedoch nichts feststellen. Von Upnp habe ich was gehört, aber das der ausgeschaltet sein soll, dass ist mir ehrrlich gesagt neu. Ist das nicht notwendig für ein Heimnetzwerk. Wird mit diesem Protokoll nicht jeder Rechner im Netzwerk angesteuert, damit jeder Rechner einen "Hallo ich bin da" an den Router sendet ?

24.03.11, 19:03	#8 (permalink)
Scutus Registriert seit: 02.09.10 Likes: 21	Upnp ist nur eine Vermutung...es kann natürlich auch sein, dass es durch ein ganz normales Programm passiert und reproduzierbar ist...

24.03.11, 19:29	#9 (permalink)
LogUser Themenstarter Registriert seit: 24.03.11 Likes: 0	Ich sehe gerade, dass bei mir Upnp im Router aktiviert ist. Wie soll ich handeln ? Kann ich den bedenkenlos deaktivieren ? Wie sehen die Foglen aus, wenn ich es deaktiviere.

24.03.11, 20:32	#10 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Ich persönlich würde das auf jeden Fall deaktivieren. Es kann passieren, dass du dich um Portweiterleitungen selber kümmern musst, aber gerade aus sicherheitstechnischer Sicht ist das definitiv zu bevorzugen. Weiterhin würde ich definitiv das Routerpasswort ändern, ALLE Einstellungen überprüfen und Möglichkeiten, vom Internet auf den Router zuzugreifen deaktivieren. Wenn du uns sagst, was du für einen Router hast, können wir dir gerne Tipps geben.

24.03.11, 20:38	#11 (permalink)
LogUser Themenstarter Registriert seit: 24.03.11 Likes: 0	Danke für die Antwort, ich werde es dann umgehend deaktivieren. Also ich habe es auch so eingstellt, dass ich ohne Internetverbindung auf meinen Router zugreifen kann. Beim Router handelt es sich um WNR3500L von Netgear. Habe bisschen gezögert mit der bekanntgabe meines Routers, aus Sicherheitsgründen. Aber ich denke, dass ich hier gute behandelt werde und mir niemand was böses möchte. Edit: Verstehe, aber nicht wieso Upnp standardmäßig aktiviert ist ?

24.03.11, 21:31	#13 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Das Nennen des Routermodells stellt eigentlich kein Risiko für dich dar. Ich habe gerade mal nachgesehen, Remote Management ist standardmäßig nicht aktiviert. Überprüfe das trotzdem. Upnp ist von der Idee her ja gar nicht schlecht, da halt nicht jeder weiß, wie man bei seinem Router und in der FW möglicherweise Ports weiterleitet/freischaltet, nur leider eröffnet das dann doch ein riesiges Sicherheitsproblem. Die einfache Benutzung steht für die Hersteller aber leider im Vordergrund, daher ist das aktiviert. Das gleiche Problem ist man aber von Windows auch schon gewohnt. Viele Einstellungen machen die Bedienung zwar einfacher/übersichtlicher, leider ermöglicht genau das aber vielen Schädlingen, überhaupt ins System zu kommen. Ist also nichts, was jetzt speziell nur Routerhersteller betreffen würde.

24.03.11, 21:43	#14 (permalink)
LogUser Themenstarter Registriert seit: 24.03.11 Likes: 0	Ich möchte mich herzlich bei euch bedanken für eure Unterstützung. So fühlt man sich gleich hier Willkommen und wird auch hier bleiben. Ich war schon ziemlich am verzweifeln und hatte schlimmeres befürchtet. Ich habe Upnp im Router deaktiviert und habe seitdem keine Meldungen wie davor. Auch Remote Managment ist deaktiviert. Jedoch verstehe ich die Meldungen nicht genau. Als ich mir die IP Adressen genauer unter die Lupe genommen habe und feststellen musste in welchen Ländern sich diese befinden, bin ich davon ausgegangen, dass sich jemand oder mehrere Zugriff verschafft hatten. Oder Interpretiere ich das falsch oder habe ich etwas nicht genau verstanden ?

24.03.11, 21:52	#15 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Es kommt darauf an, was wirklich geloggt wird. Sollten das wirklich Remoteverbindungen sein, dann solltest du dir auf jeden Fall sorgen machen (daher auch die genannten Maßnahmen). Es ist aber durchaus auch möglich, dass dies nur Verbindungsversuche sind. In diesem Fall brauchst du dir keine Gedanken machen. Leider ist das Handbuch von Netgear eine absolute Katastrophe, so dass ich dir die Antwort da nicht raussuchen kann.

[HaBo]

[LAN access from remote] schwer einschätzbare Gefahr