/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hold kæft hvor er jeg træt af dem.
Fra : Carsten Overgaard


Dato : 05-04-04 07:46

En gang imellem, når man møder mandag morgen, så ser ligger der følgende
alerts:

2004/04/03 10:11:24.640 - Possible Port Scan Dropped - Source:213.140.6.96,
43116, WAN - Destination:x.x.x.x, 139, WAN - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/03 18:15:36.656 - Possible Port Scan Dropped - Source:130.126.28.49,
2107, WAN - Destination:x.x.x.x, 139, DMZ - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/04 02:13:42.352 - Possible Port Scan Dropped - Source:130.126.30.66,
2620, WAN - Destination:x.x.x.x, 139, WAN - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/04 04:46:26.720 - Possible Port Scan Dropped - Source:130.49.90.126,
4831, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/04 11:37:59.704 - Possible Port Scan Dropped - Source:218.17.173.94,
2847, WAN - Destination:x.x.x.x, 139, DMZ - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/04 11:54:24.784 - Possible Port Scan Dropped -
Source:219.130.44.118, 1077, WAN - Destination:x.x.x.x, 139, DMZ - TCP
scanned port list, 2745, 1025, 445, 3127, 6129 -

2004/04/04 12:20:21.368 - Possible Port Scan Dropped -
Source:219.252.146.168, 1669, WAN - Destination:x.x.x.x, 139, DMZ - TCP
scanned port list, 2745, 1025, 445, 3127, 6129 -

2004/04/04 14:08:03.416 - Possible Port Scan Dropped - Source:61.41.248.43,
1554, WAN - Destination:x.x.x.x, 139, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 6129 -

2004/04/04 18:36:04.704 - Possible Port Scan Dropped - Source:201.129.21.3,
4061, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/04 21:12:09.768 - Possible Port Scan Dropped - Source:80.143.225.23,
3184, WAN - Destination:x.x.x.x, 6129, WAN - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 00:02:58.544 - Possible Port Scan Dropped -
Source:130.228.92.145, 4155, WAN - Destination:x.x.x.x, 6129, DMZ - TCP
scanned port list, 2745, 135, 1025, 445, 3127 -

2004/04/05 01:03:04.944 - Possible Port Scan Dropped -
Source:62.101.126.208, 7317, WAN - Destination:x.x.x.x, 139, DMZ - TCP
scanned port list, 2745, 1025, 445, 3127, 6129 -

2004/04/05 03:33:19.320 - Possible Port Scan Dropped - Source:67.101.250.37,
3366, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 04:00:19.608 - Possible Port Scan Dropped -
Source:192.192.236.146, 4423, WAN - Destination:x.x.x.x, 139, DMZ - TCP
scanned port list, 2745, 135, 1025, 3127, 6129 -

2004/04/05 04:21:05.560 - Possible Port Scan Dropped - Source:68.78.148.97,
2796, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 04:50:32.704 - Possible Port Scan Dropped - Source:218.94.47.10,
54919, WAN - Destination:x.x.x.x, 139, WAN - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/05 05:24:09.768 - Possible Port Scan Dropped - Source:201.1.85.49,
3467, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 05:45:04.128 - Possible Port Scan Dropped -
Source:62.234.173.128, 1041, WAN - Destination:x.x.x.x, 6129, DMZ - TCP
scanned port list, 2745, 135, 1025, 445, 3127 -

2004/04/05 06:00:33.880 - Possible Port Scan Dropped -
Source:67.127.172.238, 3509, WAN - Destination:x.x.x.x, 6129, DMZ - TCP
scanned port list, 2745, 135, 1025, 445, 3127 -

2004/04/05 06:43:46.832 - Possible Port Scan Dropped - Source:64.165.61.87,
4992, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 07:43:42.832 - Possible Port Scan Dropped -
Source:216.164.72.187, 2056, WAN - Destination:x.x.x.x, 6129, WAN - TCP
scanned port list, 2745, 135, 1025, 445, 3127 -

2004/04/05 08:23:52.352 - Possible Port Scan Dropped - Source:218.91.24.85,
3226, WAN - Destination:x.x.x.x, 139, DMZ - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

Så kører møllen. Først checker vi adresserne for non-kinesere. Dem kan vi
ikke gøre noget ved. Egentlig ville vi gerne i IT-afdelingen totalt blokere
for Kina, men der købes varer derude, så det kan vi ikke. Men hvis der er
nogen, som man kan brokke sig over, så brokker vi os.

Derefter checker vi for patches, som M$ måtte have konstrueret i weekenden
og som vi måtte have glemt at få på selvom der er folk, som er på i
weekenden og normalt checker dette.

Så checker vi for ny-komne vira og sammenholder hvornår at vores anti-virus
blev opdateret i forhold til hvornår vi blev advaret. Dette sammenholder vi
med om der overhovedet har været folk på anlægget i det tidsrum, hvor vi
ikke har været beskyttet.

Alt imens overvejer vi om den alternative firewall skal kobles ind. (Vi har
to af forskellige fabrikat for det tilfældes skyld at strømforsyningen går i
den ene.)

Alt sammen meget tidskrævende, når der er så meget andet, morgenstunden også
går med.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm



 
 
Kent Friis (05-04-2004)
Kommentar
Fra : Kent Friis


Dato : 05-04-04 08:59

Den Mon, 5 Apr 2004 08:46:12 +0200 skrev Carsten Overgaard:
>En gang imellem, når man møder mandag morgen, så ser ligger der følgende
>alerts:

De kan vel disables?

Så slipper man får at se på dem, og da de alligevel ikke kan bruges til
noget fornuftigt, hvorfor skulle man så bruge tid på det?

Ja altså medmindre man interesserer sig for den slags, men så er man
vel heller ikke træt af dem.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Michael Rasmussen (05-04-2004)
Kommentar
Fra : Michael Rasmussen


Dato : 05-04-04 09:22

"Carsten Overgaard" <info@carstenovergaard.dk> wrote:

>En gang imellem, når man møder mandag morgen, så ser ligger der følgende
>alerts:

..cut laaannngggg liste

>Alt sammen meget tidskrævende, når der er så meget andet, morgenstunden også
>går med.

Det kan ikke ophidse mig, det er jo alt sammen aktivitet der er stoppet af firewall'en - Næh, jeg er langt mere bekymret for den
aktivitet der smutter igennem firewall'en og dermed ikke fremgår af logfilerne

<mlr>

Alex Holst (05-04-2004)
Kommentar
Fra : Alex Holst


Dato : 05-04-04 09:45

Carsten Overgaard wrote:
> En gang imellem, når man møder mandag morgen, så ser ligger der følgende
> alerts:

Ligger der en risikoanalyse bag jeres process om at foretage alle de
checks, blot fordi I er blevet portscannet? Det virker som en meget dyr
og taabelig aktivitet naar man ser paa aarsagen.

I har jo ingen kontrol over ydersiden af firewallen. Man maa forvente at
det er fuldstaendigt normalt at se alle typer for forbindelsesforsoeg.
Jeg kunne forstaa hvis man betragtede underlig trafik paa det interne
net eller nyoprettede konti som et muligt incident, men at nogen hamrer
mod jeres firewall burde virkelig ikke vaere aarsag til nogen speciel
aktivitet.

> Alt sammen meget tidskrævende, når der er så meget andet, morgenstunden også
> går med.

Tag fat i jeres sikkerhedspartner og faa deres hjaelp til at indfoere
incident response processer. Jeg ville blive meget overrasket hvis en
analyse viste, at jeres nuvaerende reaktion giver nogen som helst form
for mening.

Hvis jeg tager fejl mht. behovet for jeres reaktion, kan jeres aktiviter
naesten automatiseres 100%, saa det vil jeg forslaa I bruger tid paa, i
stedet for at spilde timer paa manuelt arbejde.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Poul Erik Jørgensen (05-04-2004)
Kommentar
Fra : Poul Erik Jørgensen


Dato : 05-04-04 19:19

"Carsten Overgaard" <info@carstenovergaard.dk> skrev i en meddelelse
news:Ug7cc.107$uq6.70@news.get2net.dk
> Alt sammen meget tidskrævende, når der er så meget andet,
> morgenstunden også går med.

Du kan glæde dig over én ting: Alt dette arbejde tæller med i
nationalproduktet

Poul Erik
--
Remove NNN from my e-mail address when replying.
Enlevez NNN de mon adresse électronique pour me répondre.



Stig Johansen (06-04-2004)
Kommentar
Fra : Stig Johansen


Dato : 06-04-04 06:19

Poul Erik Jørgensen wrote:

> Du kan glæde dig over én ting: Alt dette arbejde tæller med i
> nationalproduktet

Samtidig må vi håbe, at vi kan hjælpe den stakkels Bill tilbage i
førerstolen.
<http://www.comon.dk/index.php/news/show/id=17330>


--
Med venlig hilsen
Stig Johansen

Erik Dan (06-04-2004)
Kommentar
Fra : Erik Dan


Dato : 06-04-04 14:05


"Stig Johansen" <aaa@bbb.com> wrote in message
news:c4tejt$7qs$1@sunsite.dk...
>
> Samtidig må vi håbe, at vi kan hjælpe den stakkels Bill tilbage i
> førerstolen.
> <http://www.comon.dk/index.php/news/show/id=17330>
> ------
Som han aldrig har forladt.
http://www.jp.dk/itogc/artikel:aid=2356858/

/ Dan


Henrik Rask Mortense~ (05-04-2004)
Kommentar
Fra : Henrik Rask Mortense~


Dato : 05-04-04 22:19

> Alt imens overvejer vi om den alternative firewall skal kobles ind. (Vi
har
> to af forskellige fabrikat for det tilfældes skyld at strømforsyningen går
i
> den ene.)

Hvis du alligevel har to firewall´s - hvorfor så ikke lade dem arbejde begge
to - i serie !

JO - sæt dem i serie og lav noget intelligent overvågning i netværket mellem
den første og den anden.

Dette ud fra teorien om, at er nogen/noget først kommet igennem den ene
(yderste) firewall - ja så er det nok værd at vågne op.

Med venlig hilsen
Henrik Rask Mortensen

Dette indlæg er et udtryk for min personlige holdning, men er
også holdningen hos det firma jeg arbejder for
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
IT-Sikkerhed er 10% teknik og 90% procedurer og planlægning.



Povl H. Pedersen (05-04-2004)
Kommentar
Fra : Povl H. Pedersen


Dato : 05-04-04 22:25

In article <Ug7cc.107$uq6.70@news.get2net.dk>, Carsten Overgaard wrote:
> En gang imellem, når man møder mandag morgen, så ser ligger der følgende
> alerts:

Det er ikke de afviste du skal være bange for. Du bør i stedet
logge hvad der kommer ind, det er reelt det eneste vigtige, sammen
med det der ikke logges.

Afviste forsøg gør ikke skade.

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste