Kandu.dk - Hold kæft hvor er jeg træt af dem.


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Hold kæft hvor er jeg træt af dem.
Fra : Carsten Overgaard

Dato : 05-04-04 07:46

En gang imellem, når man møder mandag morgen, så ser ligger der følgende
alerts:

2004/04/03 10:11:24.640 - Possible Port Scan Dropped - Source:213.140.6.96,
43116, WAN - Destination:x.x.x.x, 139, WAN - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/03 18:15:36.656 - Possible Port Scan Dropped - Source:130.126.28.49,
2107, WAN - Destination:x.x.x.x, 139, DMZ - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/04 02:13:42.352 - Possible Port Scan Dropped - Source:130.126.30.66,
2620, WAN - Destination:x.x.x.x, 139, WAN - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/04 04:46:26.720 - Possible Port Scan Dropped - Source:130.49.90.126,
4831, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/04 11:37:59.704 - Possible Port Scan Dropped - Source:218.17.173.94,
2847, WAN - Destination:x.x.x.x, 139, DMZ - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/04 11:54:24.784 - Possible Port Scan Dropped -
Source:219.130.44.118, 1077, WAN - Destination:x.x.x.x, 139, DMZ - TCP
scanned port list, 2745, 1025, 445, 3127, 6129 -

2004/04/04 12:20:21.368 - Possible Port Scan Dropped -
Source:219.252.146.168, 1669, WAN - Destination:x.x.x.x, 139, DMZ - TCP
scanned port list, 2745, 1025, 445, 3127, 6129 -

2004/04/04 14:08:03.416 - Possible Port Scan Dropped - Source:61.41.248.43,
1554, WAN - Destination:x.x.x.x, 139, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 6129 -

2004/04/04 18:36:04.704 - Possible Port Scan Dropped - Source:201.129.21.3,
4061, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/04 21:12:09.768 - Possible Port Scan Dropped - Source:80.143.225.23,
3184, WAN - Destination:x.x.x.x, 6129, WAN - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 00:02:58.544 - Possible Port Scan Dropped -
Source:130.228.92.145, 4155, WAN - Destination:x.x.x.x, 6129, DMZ - TCP
scanned port list, 2745, 135, 1025, 445, 3127 -

2004/04/05 01:03:04.944 - Possible Port Scan Dropped -
Source:62.101.126.208, 7317, WAN - Destination:x.x.x.x, 139, DMZ - TCP
scanned port list, 2745, 1025, 445, 3127, 6129 -

2004/04/05 03:33:19.320 - Possible Port Scan Dropped - Source:67.101.250.37,
3366, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 04:00:19.608 - Possible Port Scan Dropped -
Source:192.192.236.146, 4423, WAN - Destination:x.x.x.x, 139, DMZ - TCP
scanned port list, 2745, 135, 1025, 3127, 6129 -

2004/04/05 04:21:05.560 - Possible Port Scan Dropped - Source:68.78.148.97,
2796, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 04:50:32.704 - Possible Port Scan Dropped - Source:218.94.47.10,
54919, WAN - Destination:x.x.x.x, 139, WAN - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

2004/04/05 05:24:09.768 - Possible Port Scan Dropped - Source:201.1.85.49,
3467, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 05:45:04.128 - Possible Port Scan Dropped -
Source:62.234.173.128, 1041, WAN - Destination:x.x.x.x, 6129, DMZ - TCP
scanned port list, 2745, 135, 1025, 445, 3127 -

2004/04/05 06:00:33.880 - Possible Port Scan Dropped -
Source:67.127.172.238, 3509, WAN - Destination:x.x.x.x, 6129, DMZ - TCP
scanned port list, 2745, 135, 1025, 445, 3127 -

2004/04/05 06:43:46.832 - Possible Port Scan Dropped - Source:64.165.61.87,
4992, WAN - Destination:x.x.x.x, 6129, DMZ - TCP scanned port list, 2745,
135, 1025, 445, 3127 -

2004/04/05 07:43:42.832 - Possible Port Scan Dropped -
Source:216.164.72.187, 2056, WAN - Destination:x.x.x.x, 6129, WAN - TCP
scanned port list, 2745, 135, 1025, 445, 3127 -

2004/04/05 08:23:52.352 - Possible Port Scan Dropped - Source:218.91.24.85,
3226, WAN - Destination:x.x.x.x, 139, DMZ - TCP scanned port list, 2745,
1025, 445, 3127, 6129 -

Så kører møllen. Først checker vi adresserne for non-kinesere. Dem kan vi
ikke gøre noget ved. Egentlig ville vi gerne i IT-afdelingen totalt blokere
for Kina, men der købes varer derude, så det kan vi ikke. Men hvis der er
nogen, som man kan brokke sig over, så brokker vi os.

Derefter checker vi for patches, som M$ måtte have konstrueret i weekenden
og som vi måtte have glemt at få på selvom der er folk, som er på i
weekenden og normalt checker dette.

Så checker vi for ny-komne vira og sammenholder hvornår at vores anti-virus
blev opdateret i forhold til hvornår vi blev advaret. Dette sammenholder vi
med om der overhovedet har været folk på anlægget i det tidsrum, hvor vi
ikke har været beskyttet.

Alt imens overvejer vi om den alternative firewall skal kobles ind. (Vi har
to af forskellige fabrikat for det tilfældes skyld at strømforsyningen går i
den ene.)

Alt sammen meget tidskrævende, når der er så meget andet, morgenstunden også
går med.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

Kent Friis (05-04-2004)

Kommentar
Fra : Kent Friis

Dato : 05-04-04 08:59

Den Mon, 5 Apr 2004 08:46:12 +0200 skrev Carsten Overgaard:
>En gang imellem, når man møder mandag morgen, så ser ligger der følgende
>alerts:

De kan vel disables?

Så slipper man får at se på dem, og da de alligevel ikke kan bruges til
noget fornuftigt, hvorfor skulle man så bruge tid på det?

Ja altså medmindre man interesserer sig for den slags, men så er man
vel heller ikke træt af dem.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Michael Rasmussen (05-04-2004)

Kommentar
Fra : Michael Rasmussen

Dato : 05-04-04 09:22

"Carsten Overgaard" <info@carstenovergaard.dk> wrote:

>En gang imellem, når man møder mandag morgen, så ser ligger der følgende
>alerts:

..cut laaannngggg liste Blink

>Alt sammen meget tidskrævende, når der er så meget andet, morgenstunden også
>går med.

Det kan ikke ophidse mig, det er jo alt sammen aktivitet der er stoppet af firewall'en - Næh, jeg er langt mere bekymret for den
aktivitet der smutter igennem firewall'en og dermed ikke fremgår af logfilerne Blink

<mlr>

Alex Holst (05-04-2004)

Kommentar
Fra : Alex Holst

Dato : 05-04-04 09:45

Carsten Overgaard wrote:
> En gang imellem, når man møder mandag morgen, så ser ligger der følgende
> alerts:

Ligger der en risikoanalyse bag jeres process om at foretage alle de
checks, blot fordi I er blevet portscannet? Det virker som en meget dyr
og taabelig aktivitet naar man ser paa aarsagen.

I har jo ingen kontrol over ydersiden af firewallen. Man maa forvente at
det er fuldstaendigt normalt at se alle typer for forbindelsesforsoeg.
Jeg kunne forstaa hvis man betragtede underlig trafik paa det interne
net eller nyoprettede konti som et muligt incident, men at nogen hamrer
mod jeres firewall burde virkelig ikke vaere aarsag til nogen speciel
aktivitet.

> Alt sammen meget tidskrævende, når der er så meget andet, morgenstunden også
> går med.

Tag fat i jeres sikkerhedspartner og faa deres hjaelp til at indfoere
incident response processer. Jeg ville blive meget overrasket hvis en
analyse viste, at jeres nuvaerende reaktion giver nogen som helst form
for mening.

Hvis jeg tager fejl mht. behovet for jeres reaktion, kan jeres aktiviter
naesten automatiseres 100%, saa det vil jeg forslaa I bruger tid paa, i
stedet for at spilde timer paa manuelt arbejde.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Poul Erik Jørgensen (05-04-2004)

Kommentar
Fra : Poul Erik Jørgensen

Dato : 05-04-04 19:19

"Carsten Overgaard" <info@carstenovergaard.dk> skrev i en meddelelse
news:Ug7cc.107$uq6.70@news.get2net.dk
> Alt sammen meget tidskrævende, når der er så meget andet,
> morgenstunden også går med.

Du kan glæde dig over én ting: Alt dette arbejde tæller med i
nationalproduktet Blink

Poul Erik
--
Remove NNN from my e-mail address when replying.
Enlevez NNN de mon adresse électronique pour me répondre.

Stig Johansen (06-04-2004)

Kommentar
Fra : Stig Johansen

Dato : 06-04-04 06:19

Poul Erik Jørgensen wrote:

> Du kan glæde dig over én ting: Alt dette arbejde tæller med i
> nationalproduktet Blink

Samtidig må vi håbe, at vi kan hjælpe den stakkels Bill tilbage i
førerstolen.
<http://www.comon.dk/index.php/news/show/id=17330>

--
Med venlig hilsen
Stig Johansen

Erik Dan (06-04-2004)

Kommentar
Fra : Erik Dan

Dato : 06-04-04 14:05

"Stig Johansen" <aaa@bbb.com> wrote in message
news:c4tejt$7qs$1@sunsite.dk...
>
> Samtidig må vi håbe, at vi kan hjælpe den stakkels Bill tilbage i
> førerstolen.
> <http://www.comon.dk/index.php/news/show/id=17330>
> ------
Som han aldrig har forladt.
http://www.jp.dk/itogc/artikel:aid=2356858/

/ Dan

Henrik Rask Mortense~ (05-04-2004)

Kommentar
Fra : Henrik Rask Mortense~

Dato : 05-04-04 22:19

> Alt imens overvejer vi om den alternative firewall skal kobles ind. (Vi
har
> to af forskellige fabrikat for det tilfældes skyld at strømforsyningen går
i
> den ene.)

Hvis du alligevel har to firewall´s - hvorfor så ikke lade dem arbejde begge
to - i serie !

JO - sæt dem i serie og lav noget intelligent overvågning i netværket mellem
den første og den anden.

Dette ud fra teorien om, at er nogen/noget først kommet igennem den ene
(yderste) firewall - ja så er det nok værd at vågne op.

Med venlig hilsen
Henrik Rask Mortensen

Dette indlæg er et udtryk for min personlige holdning, men er
også holdningen hos det firma jeg arbejder for Blink

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
IT-Sikkerhed er 10% teknik og 90% procedurer og planlægning.

Povl H. Pedersen (05-04-2004)

Kommentar
Fra : Povl H. Pedersen

Dato : 05-04-04 22:25

In article <Ug7cc.107$uq6.70@news.get2net.dk>, Carsten Overgaard wrote:
> En gang imellem, når man møder mandag morgen, så ser ligger der følgende
> alerts:

Det er ikke de afviste du skal være bange for. Du bør i stedet
logge hvad der kommer ind, det er reelt det eneste vigtige, sammen
med det der ikke logges.

Afviste forsøg gør ikke skade.

Søg

Reklame

Statistik

Spørgsmål :	177552
Tips :	31968
Nyheder :	719565
Indlæg :	6408849
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste