Lights-Out Portscan

wing84 · Beitrag von **wing84** » 23. Dez 2011, 15:00

Hallo,

ich habe mir jetzt Lights-Out installiert und würde mir gerne die Lizenz kaufen, aber leider verursacht Lights-Out alle paar min. einen Portscan. Dieser wird von meiner Firewall geblockt. dadurch sind dann immer alle NEtzlaufwerk usw. gesperrt. Kann man das ausschalten?

Vielen Dank

mfg

Beitrag von **Martin** » 23. Dez 2011, 17:27

Nein das kann nicht ausgeschaltet werden.

Der Scan findet alle 30 min. statt um Änderungen an IP Adresse zu erkennen. Das Ganze ist KEIN Portscan (findet nicht auf TCP/IP-Ebene statt) sondern ein ARP-Request.

Wo läuft welche Firewall?

Gruß
Martin

wing84 · Beitrag von **wing84** » 26. Dez 2011, 20:57

es läuft auf beiden eset smat security 5.

Beitrag von **Martin** » 27. Dez 2011, 11:38

Und welche FW sperrt, die am Server? Ich halte eine Personal FW am Server für kritisch, man hat sich zu leicht ausgesperrt oder blockiert Funktionen. Auch über AV-Lösungen am Server kann man streiten...

Kannst du mal testweise die FW am Server ausschalten?

Ich werde mir das mit Version 5 im Januar mal ansehen wenn ich wieder im Büro bin.

Gruß
Martin

wing84 · Beitrag von **wing84** » 28. Dez 2011, 22:44

der server blockt nicht. der client merkt den portscan und blockt die verbindung zum server.

vielen dank für die bemühungen

mfg

Beitrag von **Martin** » 29. Dez 2011, 17:19

Hm, der Client bekommt einen ARP Request zu seiner IP zu sehen, aber keinen Portscan. Wieso sollte da die Security Suite anspringen...

Wie gesagt, ich werde mir das mal genauer ansehen.

Gruß
Martin

wing84 · Beitrag von **wing84** » 9. Jan 2012, 13:45

konntest du dir das schon anschauen können?

vielen dank

Beitrag von **Martin** » 10. Jan 2012, 08:14

Noch nicht, bin erst seit gestern wieder im Büro. Kommt aber im Laufe der Woche noch.

Gruß
Martin

Beitrag von **Martin** » 10. Jan 2012, 15:31

Ich hab jetzt eben mal Smart Security 5 auf einem XP Client Rechner installiert. Defaulteinstellungen, Netzwerk als Heimnetzwerk.
Bisher keine Probleme oder Auffälligkeiten.

Welche Einstellungen hast du evtl. angepasst? Kannst du mir den FW-Log mit den Meldungen bitte mal exportieren? Rechtsklick im Log, dann exportieren und hier gezippt anhängen.

Gruß
Martin

wing84 · Beitrag von **wing84** » 11. Jan 2012, 13:19

vielen ank. ich werde mir das log heute anschauen und am abend anfügen. ich hoffe, dass dieser portscan im log ersichtlich ist.

mfg

Beitrag von **Martin** » 11. Jan 2012, 14:47

So, ich hab jetzt mal SmartSecurity an 2 Server (WHS v1 und 2011) und 2 Clients (XP und Vista) installiert. Version bei mir 5.0.95.0 (zu sehen auf der Update Seite)
Die eingebaute FW blockiert etliche für den WHS notwendigen Verbindungen. Wenn man in den interaktiven Modus umschaltet sind am Server ca. 20 Ausnahmen anzulegen, am Client sind es deutlich weniger.
Danach konnte ich keine weiteren Probleme feststellen, insbesondere führt der alle 30 Minuten stattfindende Scan zu keiner Reaktion, weder am Client noch am Server. Da bei mir weitere 6 Server laufen, die alle mit Lights-Out ihre Scans machen kann ich mir nicht vorstellen, dass das bei dir der Auslöser ist. Es gab am WHS 2011 einmal Einträge im FW-Log über ARP Poisoning, das vom meinem SBS 2008 ausgegangen sein soll (der kein Lights-Out drauf hat).

Daher nochmals die Frage: Mit welchen Einstellungen wird die FW betrieben? Was steht im Log? Welche Version von SmartSecurity ist im Einsatz?

Und ganz grundsätzlich halte ich überhaupt nichts von Personal FWs am Server, egal von welchem Hersteller. Die bringen keinen Gewinn an Sicherheit (durch die vielen Ausnahmen und einen überforderten Anwender eher im Gegenteil). Hinter einem NAT Router ist die erweiterte Windows FW, so wie sie im WHS 2011 vorkommt absolut ausreichend. Also wenn, dann nur den AV von Eset am Server installieren (das sollte mit deiner Lizenz gehen).

Gruß
Martin

wing84 · Beitrag von **wing84** » 11. Jan 2012, 19:25

danke für deine unterstützung. ich habe heute auch eine anfrage an ESET geschrieben und habe als antwort bekommen, dass man den ARP-Request am Client ausschalten kann. Dies habe gerade gemacht und jetzt dürfte alles passen.

vielen dank für diene unterstützung. ich werde mir die lizenz kaufen.

ich habe noch eine frage: kann ich den server automatisch bei den sicherungszeiten hochfahren, und diesre starten ja dann automatisch meinen client

vielen dank

mfg

Beitrag von **Martin** » 12. Jan 2012, 08:39

kann ich den server automatisch bei den sicherungszeiten hochfahren, und diesre starten ja dann automatisch meinen client

Ja das geht aus dem Standby oder Ruhezustand. Dazu muss die Option immer aktiv zur Sicherungszeit gesetzt sein: http://www.homeserversoftware.com/lo/wh ... toring.htm

Falls dein Server heruntergefahren ist, dann kannst du ihn auch über den ersten Client wecken lassen. Dazu muss der Client ebenfalls im Standby oder Ruhezustand sein. Er wird dann von Lights-Out zur konfiguroerten Zeit geweckt und weckt dann den Server. Dazu müssen die Optionen 4, 5 und 8 aktiv sein: http://www.homeserversoftware.com/lo/wh ... erties.htm

Gruß
Martin

Lights-Out Portscan

Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan

Re: Lights-Out Portscan