/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Windows 2K ISA - Authorization failed...
Fra : Stig Meyer Jensen


Dato : 23-05-02 14:59

Jeg har en bekymring - min ISA Servers security report indeholder følgende:

(AARRRG - en tabel på news!?!? - se den på www.smj.dk/isa.htm )

Det bekymrer mig at så mange requests kommer fra DHCP klienter fra TDC
kunder - der er ingen af vores vpn brugere, der kan have haft de ip
adresser. Det har set sådan ud i et stykke tid nu.

Er det noget jeg bør gøre noget ved eller skal jeg bare stole på min ISA?
(Som er grundigt patchet)

--

Stig Meyer Jensen
stig@smj.dk






 
 
Christian E. Lysel (23-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 23-05-02 15:01

Stig Meyer Jensen wrote:
> Jeg har en bekymring - min ISA Servers security report indeholder følgende:
>
> (AARRRG - en tabel på news!?!? - se den på www.smj.dk/isa.htm )
>
> Det bekymrer mig at så mange requests kommer fra DHCP klienter fra TDC
> kunder - der er ingen af vores vpn brugere, der kan have haft de ip
> adresser. Det har set sådan ud i et stykke tid nu.

Er det ikke bare klienter der tror din server er en del af deres sikre
zone (intranet) og automatisk giver deres lokale brugenavn og password
til dig?


Stig Meyer Jensen (23-05-2002)
Kommentar
Fra : Stig Meyer Jensen


Dato : 23-05-02 15:13


"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CECF618.7000702@example.net...
> Stig Meyer Jensen wrote:
> > Jeg har en bekymring - min ISA Servers security report indeholder
følgende:
> >
> > (AARRRG - en tabel på news!?!? - se den på www.smj.dk/isa.htm )
> >
> > Det bekymrer mig at så mange requests kommer fra DHCP klienter fra TDC
> > kunder - der er ingen af vores vpn brugere, der kan have haft de ip
> > adresser. Det har set sådan ud i et stykke tid nu.
>
> Er det ikke bare klienter der tror din server er en del af deres sikre
> zone (intranet) og automatisk giver deres lokale brugenavn og password
> til dig?

Nååå. Klienter der er på 80.63.x.x subnettet hos TDC (ligesom serveren) og
derfor "leder" efter en server? Altså en ren tilfældighed?

--

Stig Meyer Jensen
stig@smj.dk




Christian E. Lysel (23-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 23-05-02 16:17

Stig Meyer Jensen wrote:
> Nååå. Klienter der er på 80.63.x.x subnettet hos TDC (ligesom serveren) og
> derfor "leder" efter en server? Altså en ren tilfældighed?

Er subnettet 80.63.0.0/16 dvs. 255.255.0.0?

Men det er ikke klienter der "leder" efter en server, det er brugere der
tilgår dit website, og som bruges IE der automatisk giver serveren
brugernes brugernavn/password.


Stig Meyer Jensen (23-05-2002)
Kommentar
Fra : Stig Meyer Jensen


Dato : 23-05-02 17:18


"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CED07D2.80305@example.net...
> Stig Meyer Jensen wrote:
> > Nååå. Klienter der er på 80.63.x.x subnettet hos TDC (ligesom serveren)
og
> > derfor "leder" efter en server? Altså en ren tilfældighed?
>
> Er subnettet 80.63.0.0/16 dvs. 255.255.0.0?

Nu er ip ikke min stærke side :), men serverens ip er 80.63.195.x med subnet
255.255.255.0, og de andre ip adresser ligger har kun de første to dele,
dvs. 80.63.x.x

Kunne det være noget á la nimda der forsøger at åbne http://80.63.195.x ??

--

Stig Meyer Jensen
stig@smj.dk




Christian E. Lysel (23-05-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 23-05-02 18:31

Stig Meyer Jensen wrote:
> Nu er ip ikke min stærke side :), men serverens ip er 80.63.195.x med subnet
> 255.255.255.0, og de andre ip adresser ligger har kun de første to dele,
> dvs. 80.63.x.x

Måske har de andre TDC brugere sat deres subnet maske forkert op.

> Kunne det være noget á la nimda der forsøger at åbne http://80.63.195.x ??

Ja.

Men jeg regnede med at de request vi snakker om er forsøg på validering
af ugyldige brugernavne, dette gør nimda ikke.


Stig Meyer Jensen (23-05-2002)
Kommentar
Fra : Stig Meyer Jensen


Dato : 23-05-02 23:53

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3CED2762.7010904@example.net...
> Stig Meyer Jensen wrote:
> > Nu er ip ikke min stærke side :), men serverens ip er 80.63.195.x med
subnet
> > 255.255.255.0, og de andre ip adresser ligger har kun de første to dele,
> > dvs. 80.63.x.x
>
> Måske har de andre TDC brugere sat deres subnet maske forkert op.

De får den tildelt vha. dhcp, så det tvivler jeg på....

> > Kunne det være noget á la nimda der forsøger at åbne http://80.63.195.x
??
>
> Ja.
>
> Men jeg regnede med at de request vi snakker om er forsøg på validering
> af ugyldige brugernavne, dette gør nimda ikke.

Kender ikke nimda så godt (eller IIS' passwordsystem) men hjemmesiden er
lukket for offentligheden, så man bliver spurgt om pw med det samme....

--

Stig Meyer Jensen
stig@smj.dk





Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408941
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste