---

Jeg har en bekymring - min ISA Servers security report indeholder følgende:

(AARRRG - en tabel på news!?!? - se den på www.smj.dk/isa.htm )

Det bekymrer mig at så mange requests kommer fra DHCP klienter fra TDC
kunder - der er ingen af vores vpn brugere, der kan have haft de ip
adresser. Det har set sådan ud i et stykke tid nu.

Er det noget jeg bør gøre noget ved eller skal jeg bare stole på min ISA?
(Som er grundigt patchet)

--

Stig Meyer Jensen
stig@smj.dk

---

Stig Meyer Jensen wrote:
> Jeg har en bekymring - min ISA Servers security report indeholder følgende:
>
> (AARRRG - en tabel på news!?!? - se den på www.smj.dk/isa.htm )
>
> Det bekymrer mig at så mange requests kommer fra DHCP klienter fra TDC
> kunder - der er ingen af vores vpn brugere, der kan have haft de ip
> adresser. Det har set sådan ud i et stykke tid nu.

Er det ikke bare klienter der tror din server er en del af deres sikre
zone (intranet) og automatisk giver deres lokale brugenavn og password
til dig?

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CECF618.7000702@example.net...
> Stig Meyer Jensen wrote:
> > Jeg har en bekymring - min ISA Servers security report indeholder
følgende:
> >
> > (AARRRG - en tabel på news!?!? - se den på www.smj.dk/isa.htm )
> >
> > Det bekymrer mig at så mange requests kommer fra DHCP klienter fra TDC
> > kunder - der er ingen af vores vpn brugere, der kan have haft de ip
> > adresser. Det har set sådan ud i et stykke tid nu.
>
> Er det ikke bare klienter der tror din server er en del af deres sikre
> zone (intranet) og automatisk giver deres lokale brugenavn og password
> til dig?

Nååå. Klienter der er på 80.63.x.x subnettet hos TDC (ligesom serveren) og
derfor "leder" efter en server? Altså en ren tilfældighed?

--

Stig Meyer Jensen
stig@smj.dk

---

Stig Meyer Jensen wrote:
> Nååå. Klienter der er på 80.63.x.x subnettet hos TDC (ligesom serveren) og
> derfor "leder" efter en server? Altså en ren tilfældighed?

Er subnettet 80.63.0.0/16 dvs. 255.255.0.0?

Men det er ikke klienter der "leder" efter en server, det er brugere der
tilgår dit website, og som bruges IE der automatisk giver serveren
brugernes brugernavn/password.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CED07D2.80305@example.net...
> Stig Meyer Jensen wrote:
> > Nååå. Klienter der er på 80.63.x.x subnettet hos TDC (ligesom serveren)
og
> > derfor "leder" efter en server? Altså en ren tilfældighed?
>
> Er subnettet 80.63.0.0/16 dvs. 255.255.0.0?

Nu er ip ikke min stærke side :), men serverens ip er 80.63.195.x med subnet
255.255.255.0, og de andre ip adresser ligger har kun de første to dele,
dvs. 80.63.x.x

Kunne det være noget á la nimda der forsøger at åbne http://80.63.195.x ??

--

Stig Meyer Jensen
stig@smj.dk

---

Stig Meyer Jensen wrote:
> Nu er ip ikke min stærke side :), men serverens ip er 80.63.195.x med subnet
> 255.255.255.0, og de andre ip adresser ligger har kun de første to dele,
> dvs. 80.63.x.x

Måske har de andre TDC brugere sat deres subnet maske forkert op.

> Kunne det være noget á la nimda der forsøger at åbne http://80.63.195.x ??

Ja.

Men jeg regnede med at de request vi snakker om er forsøg på validering
af ugyldige brugernavne, dette gør nimda ikke.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CED2762.7010904@example.net...
> Stig Meyer Jensen wrote:
> > Nu er ip ikke min stærke side :), men serverens ip er 80.63.195.x med
subnet
> > 255.255.255.0, og de andre ip adresser ligger har kun de første to dele,
> > dvs. 80.63.x.x
>
> Måske har de andre TDC brugere sat deres subnet maske forkert op.

De får den tildelt vha. dhcp, så det tvivler jeg på....

> > Kunne det være noget á la nimda der forsøger at åbne http://80.63.195.x
??
>
> Ja.
>
> Men jeg regnede med at de request vi snakker om er forsøg på validering
> af ugyldige brugernavne, dette gør nimda ikke.

Kender ikke nimda så godt (eller IIS' passwordsystem) men hjemmesiden er
lukket for offentligheden, så man bliver spurgt om pw med det samme....

--

Stig Meyer Jensen
stig@smj.dk