Frage zu Stealth Mode Meldungen

[Weltraumkoyote]

Hallo,


hier die Frage eines relativen Laienzum Firewall-Log:
Ich gehe mit meinem Imac (Snow Leopard)ohne Router ins Netz von Kabel Deutschland, die Firewall ist an undeingestellt auf „alle eingehenden Verbindungen blockieren“,Tarn-Modus ist aktiviert – und genau darum geht es: In meinemFirewall-Log gibt es daher regelmäßig „Stealth mode connectionattempt“-Meldungen. Habe ein bißchen recherchiert undrausgefunden, dass die meisten davon normal und leicht erklärbarsind. Es sind allerdings auch immer wieder welche dabei vonirgendwelchen IP-Adressen in Ländern wie Russland, China,Indonesien, Italien, die ich mir nicht erklären kann(Zugriffsversuche meist auf TCP). Zum Teil sind das seit Monaten inunregelmäßigen Abständen dieselben Adressen). Meine Frage: Sinddas normale Portscans aus dem Hintergrundrauschen des Internet oderversucht hier jemand gezielt meinen Mac anzugreifen? Kurz: Muss ichmir Sorgen machen?


Vielen Dank im Voraus!

 

[oneOeight]

das sind normale port scans, die suchen halt nach rechnern, die dienste laufen haben und wenn ja, gehen die brute force passwort attacken auf allen los...

 

[Weltraumkoyote]

Vielen Dank für die schnelle Antwort:

ein paar Fragen hätte ich noch:
- Ich habe den Tarnmodus erst vor einem Jahr aktiviert - heißt das, dass ich in der Zeit vorher eher ungeschützt war?
- wie groß ist die Gefahr, dass eine solche Attacken bei einem Mac erfolgreich sind, wenn der Tarnmodus nicht aktiviert ist?

Und noch einmal großen Dank im Voraus eines leicht zu beunruhigenden Laien

 

[magheinz]

Das beste ist es diesen "Tarnmodus" auszuschalten.
Ersten macht er eh nichts das was de Name verspricht und zweitens handelt man sich damit mehr Probleme ein als es Lösungen gibt.
Bei einem Privatrechner mit einem normalen Internetzugang mit dynamischer IP kannst du gezielte Angriffe auf dich oder deine Rechner praktisch ausschliessen.
Das was du da siehst ist normales Internetrauschen. Da dein Rechner ja dank Tarnmodus die Anfragen nicht ordentlich mit "Port closed" beantwortet können die anderen Rechner nicht wissen das du die Verbindungen nicht annehmen willst. Ob das nämlich wirklich Angriffe sind müsste man genauer nachschauen. Das können auch durchaus legitime TCP-Verbindungen sein.

 

[Weltraumkoyote]

Alles klar, mit sowas hatte ich schon gerechnet, war nur etwas verwundert, da es (wie bei einer Ip aus China), wie gesagt, seit Monaten zum Teil immer wieder dieselben IPs waren. Werde mir jetzt trotzdem auf jeden Fall einen Router anschaffen - sollte ich dann nur Tarnmodus ausschalten, wenn ich über Router ins Netz gehe oder auch die Firewall??

 

[bernie313]

Der Tarnmodus ist nicht geeignet Angriffe abzuhalten, er ist bestenfalls ein kleiner Schutz vor "Anfängern", denn wenn man auf Rechner zugreifen will bekommt man immer eine Antwort zurück, entweder vom Rechner oder den vorgeschalteten Diensten, ist der Tarnmodus an, kommt keinerlei Rückmeldung, weder vom Rechner, der antwortet ja nicht, noch vom vorgeschalteten Dienst, für den ist ja alles ok und dein Rechner vorhanden, und aus der nicht zurückkommenden Rückmeldung kann der Angreifer nur an einem Finger abzählen, das dein Rechner zur Zeit aktiv ist und wenn er will dann den Angriff starten(ist aber eher unwahrscheinlich).

 

[Hausbesetzer]

Der "Tarnmodus" macht nichts ausser Probleme.
Es gibt Internetdienste, die funktionieren mit dem nicht mehr korrekt.

Normalerweise antwortet Dein Rechner dem "Angreifer" wenn der fragt "Bist Du da?" mit "Ja"
Wenn der Tarnmodus aktiviert ist, antwortet der Mac einfach gar nicht mehr.
Das heißt für den Angreifer allerdings das gleiche wie "Ja", denn wenn der Rechner nicht da wäre, würde er vom Knotenpunkt davor ein "Den gibts nicht" bekommen.

Per Definition kann der Tarnmodus also gar nicht "tarnen"

 

[magheinz]

- Ich habe den Tarnmodus erst vor einem Jahr aktiviert - heißt das, dass ich in der Zeit vorher eher ungeschützt war?

Böse Zungen, also solche wie meine, würden sagen: "Ja du warst definitiv vorher gegenüber einem nicht ordentlich funktionierendem Internet ungeschützt.
Der Tarnmodus ist der beste Schutzt gegen einen funktionierenden Internetzugang. Blöderweise willst du dich ja gar nicht gegen den Zugang schützen sondern vor den bösen Sachen die über diesen Zugang zu dir kommen.

Mit anderen Worte: nein, der Tarnmodus hat definitiv noch niemanden vor irgendwas bösem/schlechtem geschützt. Ganz im Gegenteil.

 

[Weltraumkoyote]

Wunderbar, jetzt bin ich klüger. Bleibt nur die letzte theoretische Frage: Wie würde ich es als durchschnittlicher Mac-User mitbekommen, wenn Angriffe nach erfolgreichem Portscans durchgeführt würden? Hört sich paranoid an, ist es leider auch! Wäre aber gerne noch klüger. Bzw.: Wie genau mache ich einen Portscan auf meinem eigenen Rechner, um zu testen, ob alles ordnungsgemäß sicher ist?

 

[magheinz]

Wunderbar, jetzt bin ich klüger. Bleibt nur die letzte theoretische Frage: Wie würde ich es als durchschnittlicher Mac-User mitbekommen, wenn Angriffe nach erfolgreichem Portscans durchgeführt würden? Hört sich paranoid an, ist es leider auch! Wäre aber gerne noch klüger. Bzw.: Wie genau mache ich einen Portscan auf meinem eigenen Rechner, um zu testen, ob alles ordnungsgemäß sicher ist?

Nur weil du paranoid bist bedeutet das noch lange nicht das sie nicht trotzdem hinter dir her sind!

Den Portscan müsstest du von ausserhalb auf deine öffentliche IP machen. zur Not gibts das webseiten die das anbieten. Hab leider grad keine parat...
Ansonsten gilt die einfache Regel: ports auf denen kein Dienst lauscht sind sicher. Lauscht ein Dienst soltle man diesen entsprechend konfigurieren können. Nur wenn das nicht geht ist es sinnvoll einen Paketfilter, aka Firewall davorzuhängen.
Das Problem ist nämlich das so ein Paketfilter nicht wirkliche triviale Software ist und demnach unter Garantie selber Fehler hat und dadurch eventuell angreifbar ist.

 

[Hausbesetzer]

Bleibt nur die letzte theoretische Frage: Wie würde ich es als durchschnittlicher Mac-User mitbekommen, wenn Angriffe nach erfolgreichem Portscans durchgeführt würden?

Gar nicht, denn das erste Ziel eines jeden Angriffs ist der, nicht aufzufallen.

 

[Weltraumkoyote]

Konnte leider nicht eher antworten, da ich unterwegs war - abschließend vielen Dank nochmal für die kenntnisreichen Antworten. Ihr habt mit weitergeholfen.