/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
lsass.exe
Fra : Jesper Jensen


Dato : 01-07-02 09:13

Jeg har netop blokeret for en forespørgsel til lsaa.exe.
Forespørgslen kom fra "Technische Universitaet Braunschweig".

Hvad går dette ud på ? Er jeg blevet angrebet eller ???

Jeg kører WinXP Pro og er på en Cisco 677

---------------------------------
Date: 01-07-2002 Time: 09:46:10
This one time, the user has chosen to "block" communications. Details:
Inbound UDP packet
Local address,service is (0.0.0.0,isakmp(500))
Remote address,service is (134.169.18.26,isakmp(500))
Process name is "F:\WINDOWS\system32\lsass.exe"

Search results for: 134.169.18.26
Technische Universitaet Braunschweig (NET-DBSTU1)
Rechenzentrum
D-38092 Braunschweig
DE

Netname: TU-BS
Netblock: 134.169.0.0 - 134.169.255.255

Coordinator:
Schmidt, Detlef J. (DJS7-ARIN) D.Schmidt@TU-BS.DE
+49 531 391 5514

Domain System inverse mapping provided by:

RZCOMM1.RZ.TU-BS.DE      134.169.9.107
DENEB.DFN.DE         192.76.176.9
INFBSSYS.IPS.CS.TU-BS.DE   134.169.32.1
NOC.RRZ.UNI-KOELN.DE      134.95.100.9
RZNB0.RZ.TU-BS.DE      134.169.9.16

Record last updated on 19-Sep-1996.
Database last updated on 30-Jun-2002 19:59:34 EDT.

------------------------slet "removethis" i emailadressen.






 
 
Christian E. Lysel (01-07-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 01-07-02 15:01

Jesper Jensen wrote:
> Jeg har netop blokeret for en forespørgsel til lsaa.exe.
> Forespørgslen kom fra "Technische Universitaet Braunschweig".
>
> Hvad går dette ud på ? Er jeg blevet angrebet eller ???

Det tror jeg ikke, i det øjeblik du prøver at tilgå IP adressen, prøver
den at lave en VPN forbindelse, heraf UDP 500 pakken,

$ tcpdump -r q
15:44:42.048637 quark.wmsecurity.dk.5587 > 134.169.18.26.www: S
298605355:1298605355(0) win 16384 <mss 1460,nop,nop,sackOK,nop,wscale
0,nop,nop,timestamp 1842121298 0> (DF) [tos 0x10]

15:44:42.094630 134.169.18.26.isakmp > quark.wmsecurity.dk.isakmp:
isakmp v1.0 exchange ID_PROT cookie:
bf211e952aac93b0->0000000000000000 msgid: 00000000 len: 904

15:44:42.094697 quark.wmsecurity.dk > 134.169.18.26: icmp:
quark.wmsecurity.dk udp port isakmp unreachable

15:44:43.140005 134.169.18.26.isakmp > quark.wmsecurity.dk.isakmp:
isakmp v1.0 exchange ID_PROT cookie:
bf211e952aac93b0->0000000000000000 msgid: 00000000 len: 904

15:44:43.140065 quark.wmsecurity.dk > 134.169.18.26: icmp:
quark.wmsecurity.dk udp port isakmp unreachable

15:44:45.186338 134.169.18.26.www > quark.wmsecurity.dk.5587: R 0:0(0)
ack 1298605356 win 0

15:44:45.195967 134.169.18.26.isakmp > quark.wmsecurity.dk.isakmp:
isakmp v1.0 exchange ID_PROT cookie:
bf211e952aac93b0->0000000000000000 msgid: 00000000 len: 904

15:44:45.196037 quark.wmsecurity.dk > 134.169.18.26: icmp:
quark.wmsecurity.dk udp port isakmp unreachable


Det er nok en Windows 2000 maskine, der kører ISA:

$ sudo nmap -sS -O -p 1-500 134.169.18.26

Starting nmap V. 2.54BETA25 ( www.insecure.org/nmap/ )
Interesting ports on (134.169.18.26):
(The 489 ports scanned but not shown below are in state: closed)
Port State Service
11/tcp filtered systat
15/tcp filtered netstat
25/tcp filtered smtp
111/tcp filtered sunrpc
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
161/tcp filtered snmp
162/tcp filtered snmptrap
445/tcp filtered microsoft-ds

Remote OS guesses: Windows Me or Windows 2000 RC1 through final release,
MS Windows2000 Professional RC1/W2K Advance Server Beta3, Windows
Millenium Edition v4.90.3000


Jesper Jensen (01-07-2002)
Kommentar
Fra : Jesper Jensen


Dato : 01-07-02 15:20


"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse
> Det tror jeg ikke, i det øjeblik du prøver at tilgå IP adressen, prøver
> den at lave en VPN forbindelse, heraf UDP 500 pakken,

OK - det vil sige jeg ikke skal bekymre mig ?

> Det er nok en Windows 2000 maskine, der kører ISA:

ISA - hvad hulen er det ?

Ellers tak for det detaljerede svar!

Mvh
Jesper



Anders Lund (01-07-2002)
Kommentar
Fra : Anders Lund


Dato : 01-07-02 21:19

Jesper Jensen wrote:
> ISA - hvad hulen er det ?

Internet Security and Accelleration server (noget i den retning)
Fortsættelsen på Microsoft Proxy serveren....

--
Anders Lund - news@anders.adsl.dk
Message enhanced by "OE-QuoteFix" - http://home.in.tum.de/~jain/
Keyboard counter - http://project-dolphin.net/


Christian E. Lysel (02-07-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 02-07-02 19:56

Jesper Jensen wrote:
>>Det tror jeg ikke, i det øjeblik du prøver at tilgå IP adressen, prøver
>>den at lave en VPN forbindelse, heraf UDP 500 pakken,
> OK - det vil sige jeg ikke skal bekymre mig ?

Ja. Men, hvorfor ikke slå VPN fra hvis du ikke bruger det?

Under services er der noget der hedder IPSec, denne kan slås fra hvis du
ikke bruger VPN.

>>Det er nok en Windows 2000 maskine, der kører ISA:
> ISA - hvad hulen er det ?

Ifølge Microsoft er det en proxy server og en Firewall, ifølge andre er
det penge ud af vinduet. Jeg fortrækker at bruge den bag en firewall jeg
stoler på.

Den understøtter bla. NTLM (Microsoft's brugervalidering i http) og AD
(Active Directory) så brugerne ikke skal logge sig på den, men det sker
automatisk. Det er der nogle der godt kan lide.

De andre producenter understøtter det ikke, måske har det noget med
sikkerheden at gøre, eller ógså at det er lukket standarder, squid har
fx sine problemer med NTLM.


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste