Hinweise für Nutzer von Peer-to-Peer-Programmen
Peer-to-Peer-Ports gesperrt
Seit März 2002 sind viele von Peer-to-peer-Programmen verwendete (TCP/UDP-) Ports in den Verbindungen zu anderen Service-Providern, insbesondere nach USA und zu T-Online, durch unseren "Provider" Belwue gesperrt. Grund dafür sind die hohen Kosten für die Datenmengen nach USA bzw. die überlastete Verbindung von/zu T-Online.
Peer-to-Peer und die Sicherheit der eigenen Daten
Wir empfehlen, aus Sicherheitsgründen auf die Nutzung von P2P-"Diensten" zu verzichten.
- Bei einigen P2P-"Clients" ist es leicht möglich, den Rechner so zu konfigurieren, dass der gesamte Inhalt einer Partition freigegeben wird. Aus dem als "Client" gedachten Rechner wird somit ein Server, der im Extremfall den Inhalt der ganzen Festplatte im Internet verbreiten kann.
- Einige Viren und Trojaner verbreiten sich auch schon auf dem P2P-Wege.
- Sie tauschen Dateien mit Ihnen völlig unbekannten Leuten. Das ist so, als ob Sie diesen Leuten die Möglichkeit einräumen, mit einer CD voller Programme an Ihrem Rechner zu hantieren. Wollen Sie das wirklich?
- Wenn andere Leute bei Ihnen auf dem Rechner straffähiges Material zum Tausch ablegen, wird das in erster Linie Ihnen angelastet werden.
Peer-to-Peer und (personal) Firewalls
In letzter Zeit werden wir häufig von externen Internet-Nutzern auf "Portscans" durch die Universität angesprochen, die z.B. die Ziel-Ports 6346/6347 (aber mittlerweile auch viele andere, z.B. 1214) betreffen. In den Logbüchern findet man dann einen oder mehrere Zugriffe von einem Rechner aus dem Universitätsbereich auf einen Rechner des fremden Netzes, der mit einem dieser Ports angesprochen wird.
Hierbei handelt es sich zwar (noch) nicht um einen registrierten "well-known-port", eine Suche mittels Suchmaschine liefert jedoch schnell Ergebnisse: diese Ports werden für das "Gnutella"-Protokoll vorgeschlagen.
Für uns stellen mehrere Zugriffe auf nur einen Port bei nur einem Rechner keinen Portscan dar, wie manche "Personal Firewalls" dies einstufen, sondern den Versuch, eine Verbindung mit einem Dienst aufzubauen.
Dies geschieht bei "p2p" nicht von ungefähr, sondern nur dann, wenn sich der Client aus dem eigenen Netz am "p2p-Netz" (mehrere dazu auserkorene Knotenrechner, die man auf Webseiten etc. abrufen kann) angemeldet hat.
Demnach müsste der Netzadmin, der verhindern will, dass seine Rechner "als Server" von Paketen angesprochen werden, umgekehrt bereits die Kontaktaufnahme der Clienten (und damit "p2p" überhaupt) verbieten, damit er sich nicht über Fremde aufregen muss, die auf seine/n Rechner zugreifen. (Alternativ kann er auch alle Clienten so konfigurieren, dass sie nicht ihre Daten freigeben, aber das ist wider den Geist von "p2p".)
Fazit: Es handelt sich hierbei nicht um einen Portscan, sondern um eine Applikation auf Gegenseitigkeit. Vermutlich hat der eigene Rechner sogar damit angefangen, indem er sich am "p2p"-Netz angemeldet hat...
Aus einer Mail an einen Beschwerdeführer
Es scheint, dass Sie genau ein Paket aus dem IP-Bereich der Universität
Heidelberg erreicht hat, nämlich
FWIN,2001/05/24,16:26:12 +2:00
GMT,129.206.xx.yy:1758,217.4.xx.yy:6346,TCP (flags:S)
Dies bedeutet: der Rechner mit der IP-Adresse 129.206.xx.yy hat versucht, eine TCP-Verbindung auf Ihren Rechner (zu dem Zeitpunkt mit der IP 217.4.xx.yy in einem T-Online-Einwahlnetz) aufzunehmen (S-Flag gesetzt). Mit dieser Verbindung wollte "unser" Rechner bei "Ihnen" den Port 6346 ansprechen.
Dieser Port wurde auch von anderen Rechner aus anderen Netzen
angesprochen:
FWIN,2001/05/24,16:26:17 +2:00
GMT,172.153.xx.yy:3913,217.4.xx.yy:6346,TCP (flags:S)
FWIN,2001/05/24,16:26:19 +2:00
GMT,24.190.xx.yy:1964,217.4.xx.yy:6346,TCP (flags:S)
FWIN,2001/05/24,16:26:42 +2:00
GMT,172.128.xx.yy:1084,217.4.xx.yy:6346,TCP (flags:S)
Der Port ist uns derzeit bekannt als der Standardport, wenn man sich mit seinem Rechner am "gnutella" Peer-to-Peer-Netz beteiligt.
Sollten Sie also nicht selbst gnutella betrieben haben, so hat es vermutlich der Vorgänger unter Ihrer IP-Adresse getan.
Eine solcher Versuch einer Verbindungsaufnahme ist völlig legitim und stellt keinen Hackangriff dar. Bei einem einzigen Paket kann man m. E. nicht einmal von einem Portscan sprechen.
Wenn Sie selbst gnutella betrieben haben, haben Sie (bzw. Ihr Rechner) vermutlich durch entsprechende Datenaussendungen explizit dazu aufgefordert. Wenn es ihr Vorgänger war, der gnutella betrieben hat, müssten Sie sich mit Ihrem Service-Provider in Verbindung setzen, um eine IP-Adresse zu erhalten, bei der das nicht der Fall ist bzw. sein kann.
Peer-to-Peer and (personal) Firewalls - (An Attempt of an) English Version
The ports 6347 etc. are known to us as a derivative of 6346, which is the standard port for the "gnutella" peer-to-peer-network. So please ask yourself whether you are sure neither you nor your predecessor in IP-address did participate in gnutella at this time.
If you did, it is no wonder that someone tries to contact you. Being a "peer-to-peer"-network, every user-computer is as much "server" as it is a client/user. So other computers will use the information shared from this server.
If you did not, it was most probably the user, who had the IP-address before you logged in. (Supposed you have sort of dial-in-ISP; we could not check this, you did not send your own IP address or host name.) Then no harm can be done to your computer, since there are normally no other processes listening on this specific port.
The writer of these lines disagrees in calling these packages a "portscan", because only _one_ port in your computer had been checked, not several ports.
If you have any additional information, why these packages in your opinion earn the name of "Hacking", please let us know.
Links
