taschentoast

Na? Haben wir auch was zum Thema beizutragen, oder liest du einfach nur gern deinen Namen in Beiträgen? @daking: Warum willst du denn eigentlich im snort emule erkennen? taschentoast

ungeprüft vom google archiv: # eDonkey # state: good # method: hex strings (0xE3 xx xx 0x00 0x00 0x01 , 0xC5 xx xx 0x00 0x00 0x01) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"eDonkey traffic"; content:"|e3|"; offset:0; depth:1; content:"|00|"; offset:3; depth:1; content:"|00|"; offset:4; depth:1; content:"|01|"; offset:5; depth:1; resp: icmp_all,rst_all; flags:A+; classtype:policy-violation; sid:1002001; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"eDonkey traffic"; content:"|c5|"; offset:0; depth:1; content:"|00|"; offset:3; depth:1; content:"|00|"; offset:4; depth:1; content:"|01|"; offset:5; depth:1; resp: icmp_all,rst_all; flags:A+; classtype:policy-violation; sid:1002002; rev:1;) Warnung: Sobald Tunnel eingesetzt werden, hast du verloren Gruß taschentoast

Ah, das bringt mich doch schonmal weiter, vielen Dank Und gleich die nächste Frage: Ist eine globale Überschrift sinnvoll? Also z.B. das Projektthema oder den Präsentationstitel? Oder vielleicht nur "Agenda"? taschentoast

Tach, nachdem ich mich durch etliche Threads gewühlt habe und immer nur gelesen habe, die Agenda solle auf Papier irgendwohin getackert werden, stellt sich mir folgende Frage: Wie sieht wohl ein optimales Layout einer "Papier"-Agenda aus? Google hilft mir nicht wirklich weiter und ich hab sowas auch noch nie gemacht Also, wer Ahnung hat, darf sich gern äußern. schönen Tag noch taschentoast

Diesmal richtig: $> export http_proxy="http://user:password@proxy:port" taschentoast

Verdammtes Perl! Perl und Bash beißen sich einfach Stimmt natürlich, es muss heißen: $> export http_proxy="http://bla:port" Die Variablen selber heißen aber schon $http_proxy. $> echo $http_proxy Friede? taschentoast

Hi, solange die Anwendungen das in eigenen config-Dateien handhaben, wirst du dich schwer tun. Ansonsten sind die Umgebungsvariablen $http_proxy $ftp_proxy etc eine gute Anlaufstelle. $> export $http_proxy="http://proxy:port" schönen Gruß taschentoast

Hi, spontan, ohne eure Netz-Struktur zu kennen, fällt mir sowas ein: Extra Netzwerk-Segment für die Notebooks, wo nur der DHCP-Server und der "Virenscanner-Update-Server" drin stehen. Das Ganze mit PF stark abgesichert. Notebook anstöpseln und erst wenn der Virenscanner aktualisiert wurde, darf man per VPN oder sowas ins interne Netz. Die Billiglösung ist eine Pseudo-DMZ wo nur SSH ins interne Netz darf, die Lösung ist aber stark Anwendungsabhängig (weil wg. Ports etc) Noch Fragen/Vorschläge? Gruß taschentoast

Hi, Allein das zeigt schon, dass es kein gezielter Scan ist, sondern einfach nur ein besch... Agobot (oder entspr. Variante). Also fahr den Puls runter, bring deiner "firewall" bei, sowas zu ignorieren und gut is, nich wahr? schönen Abend taschentoast

Ähm, Tschulligung, aber du läßt dich von deiner Firewall benachrichtigen, wenn jmd deine Ports scannt? Warum schmeisst du das nicht weg? Wenn du keine Dienste auf einem Port anbietest, was interessierts dich, wenn jemand da gegen die Wand läuft? Gruß taschentoast

Hi, das muss dann wohl ich sein Nein, im Ernst, wozu denn auch n Virenscanner und Firewall auf meinem Surf-PC? Wer kritisch mit offenen Augen durch seine E-Mails schaut, fängt sich auch keinen Virus. Und meinen Router mit iptables hab ich selbst konfiguriert, also weiß ich was ich tue... btw: Man[tm] sollte sich mal vor Augen führen was schneller ist, der neue Virus oder die entsprechende Signatur des Scanners. Aber das war jetzt alles derbe OT :floet: Wg. MAC-Adressen im WLAN: 10 min mitsniffen, danach MAC-Spoofing und schwupps, taucht in den Logs nur noch eine (1) MAC-Adresse auf. Und da sich die Viecher nicht über Router wegsetzen können, sieht der Provider au nix davon. my 2 cents taschentoast

^^ Klarer Fall von FISI, Gebäudeverkabelung und ER-Modell weggestrichen. Eins nicht gelernt, eins nicht kapiert :bimei Und in WISO versag ich grundsätzlich... :floet: @IJK: Ist denn schon abzusehen, ob dieses Jahr "erfolgreicher" ist als die Jahre davor? Gibts da n Trend (in welche Richtung auch immer)? Gute Nacht taschentoast

*jaussajaussa* :marine IHK München hats endlich auch geschafft das Zeug zu verschicken Und ich hab bestanden. GH1: 92% GH2: 88% WISO: 88% Glückwunsch an alle dies auch geschafft haben. :uli Zum Glück ist morgen Feiertag. CU soon taschentoast

Gudn Abend, Tante Gugel weiß die Antwort, sogar beim ersten Treffer. "suse 9.0 autologin" --- When you install SuSE 9.0 on your computer, one of the defaults is an autologin sequence on boot. This means that if your computer is rebooted or cold started, it automatically bypasses the login screen and gives anyone access to your computer. Somehow when I installed SuSE 9.0 on my computer, I did not notice this option. While it's easy to fix this, it's somewhat difficult to find in the system administration menus. Here's how to do it. Bring up the Control Center program and click on YaST2. Alternately, you can to directly to YaST2, as this is the program you really need. From the YaST2 menu, click on System. Then click on Editor for /etc/sysconfig Files. If you are not logged in as root, you will have to enter your root password to get to the corect menu. Once you get to the Configuration Options, click on Desktop to expand that tree, then click on Display Manager for the next level. Inside this tree you should see and entry called DISPLAYMANAGER_AUTOLOGIN. Click on this entry, and you should see a text window appear with the current value of this setting. I changed mine from Willy to no entry (blank) with the pulldown arrow, and now my system boots to the graphic login prompt, the way I wanted it in the first place. --- Gute Nacht taschentoast

Und wo sind doch gleich deine Umgebungsvariablen, die du speziell für root haben wolltest? nicht böse sein, in Linux gibts soviel überflüssiges Zeug Gruß taschen*ja, telnet ist ein browser*toast

Und für die völlig Entspannten, die direkt aus einer Shell root werden wollen: #> sudo su - Gruß taschentoast

Hi, Von GeNUA? Was hast du denn davon vorliegen? Hört sich für mich wie ein klassisches Szenario GeNUGate + 14 GeNUBoxen an. Funzt auch prächtig mit Win -> BSD/OS. Frag doch mal den Vertrieb, der kennt sich aus. Wirklich Gruß taschentoast

Hallo, Daß manche Spam-Versender einfach zu blöd sind, ihre eigenen Programme zu benutzen und damit fehlerhafte Mails generieren? Aus gutem Grund wie ja auch in der FAQ steht. Es macht IMO keinen Sinn, Spam zu bouncen, da ja die Adressen gefälscht, nicht existent oder abgelaufen oder alles drei sind. Ein Bounce kommt daher nur beim flaschen oder gar nicht an und verursacht nur Traffic. Daher denk ich nicht, daß Spammer mit leeren Mails Adressen überprüfen wollen. Der Aufwand dafür steht auch in keinem Verhältnis, finde ich. Bei Millionen versandter Spam-Mails ist es doch egal, ob welche nicht ankommen. Nur mal so aus Sicht der Spammer s.o. Gruß taschentoast

Hi, Das mit dem snort hinter der PIX gestaltet sich einfach: Ein Ethernet Tap hinklemmen, daran einen snort Rechner mit 2 Netzwerkkarten (FullDuplex zum sniffen) anschließen und gut ist. Bei den internen Sachen solltest du dir überlegen, woher bzw. worauf die Angriffe erfolgen können. Ideal wäre z.B. ein zwentraler Switch mit Monitoring Port (kenn mich mit Ciscos nicht aus, haben wie sowas?) wo du den snort anschließen kannst. Ansonsten kommst du wohl um mehrere snort Kisten an den wichtigsten Kisten herum. Gruß taschentoast

Servus, Was das soll: Auch Spammer-Programme sind nur so intelligent wie der Bediener Wie filtern: Bei mir tuts auf je einer Windoof und einer Lunix Mühle der POPFile Spamfilter sehr gut. Bekannte eMails in die Whitelist eintragen und manuell bei solchen leeren Spams dem Filter sagen, das ist pfui. Ansonsten bei diversen anderen Spamfiltern mit Regexes arbeiten. Bis denn taschentoast

Hallo, Ein snort vor die Firewall, einmal dahinter, und einmal da wo die Standleitung ins LAN kommt. Dann snort so umkonfigurieren, daß es die Alarme und Meldungen auf einen Log-Server schreibt. Das wäre die etwas aufwendigere Lösung (= teuer ) Alternativ: Vor der PIX eingesetzt, erkennt snort was vom bösen Internet auf die Firewall kommt. Dabei schreibt snort die Alarme in die Datenbank auf dem IDS Rechner. HTH taschentoast

Hallo, snort ist kein Mittel zum Schutz vor irgendetwas, sondern nur ein Erkennungsprogramm (das D in IDS ). Es gibt zwar einige Module für snort, die gewisse Intrusion Prevention Funktionalität bieten, aber das ist nicht das Haupteinsatzgebiet. Wo sollte/kann ein IDS eingesetzt werden? Als netzbasiertes IDS (was IMHO sinnvoller ist, als ein hostbasiertes): - Vor der Firewall, um zu erkennen was alles drauf prasselt. - Dahinter, um zu erkennen was durchkommt, bzw, was von innen nach außen will. - An wichtigen Netzwerk-Punkten (Einwahlserver etc.) um den Schindluder dort zu erkennen. Aber sei gewarnt, ein IDS verlangt sehrsehr viel Aufwand, wenn man es richtig betreiben möchte. Log-Files auswerten, Statistiken interpretieren, Pflege von Erkennungsregeln, false-positives und false-negatives aussortieren, usw... Viel Spaß taschentoast

Morgen, Symantec meint dieses dazu. Liest sich so als wärs ein unbekannter Virus, d.h. noch keine Signaturen verfügbar. Wenn dein Virenscanner aktuell ist, dann nimm mal einen anderen und laß den scannen. AntiVir oder so was. Viel Glück beim identifizieren c u taschentoast

Gudn Abend, *brrrzzllll* Mal ehrlich, hast du schon eine Suchmaschine deiner Wahl dazu befragt? Aber ich hab grad meine sozialen 15 Minuten. Fang hiermit an: http://de.wikipedia.org/wiki/Unix Wenn du da alle Links durch hast und immer noch nicht genug Stoff für ein Referat, frag nochmal, ja? bis demnächst taschentoast

Hi, schonmal mit: $ip = getenv('REMOTE_ADDR'); probiert? c u taschentoast