Microsoft Security
Habe gerade die Firewall von ipmasq auf shorewall umgestellt.
ipmasq hat mir jahrelang gute Dienste erwiesen (glaube schon zu kernel 2.0 Zeiten), aber irgendwann wirds irgendwie unübersichtlich, da die Logik nicht von der Konfiguration getrennt ist. Ausserdem hatte ich Lust mir was neues anzuschauen ;) Bisher gefällt mir shorewall wirklich gut, es ist sehr übersichtlich und schnell zu konfigurieren, die Doku und der output von “shorewall hits” usw sehr nützlich…
Beim Analysieren der logfiles (und gleichzeitigen umstellen von syslogd/klogd auf syslog-ng ;) ist mir dann aufgefallen, dass es sehr viele Zugriffe auf udp ports 1026 und 1027 gibt. Diese Ports werden von m$ für ein “Calendar Access Protocol” verwendet und sind anscheinend nicht so ganz sicher, denn im ganzen Netz wird danach gescannt… Ich mein, man ist von den Jungs in Redmond ja so einiges gewöhnt, über den “Krach” von smb/cifs auf 135-137 und 445, regt sich ja (fast) keiner mehr auf, das wird schon per default gar nicht mehr geloggt ;). Ich frage mich, wieviel Müll sonst noch das Netz verstopft, schliesslich gibts ja noch den schönen “SQL Slammer” Wurm, der anscheinend immer noch irgendwo aktiv ist, denn auf ports 1433 und 1434 tut sich auch so einiges. Im Grunde war m$ ziemlich weise, als sie windows 3.11 nicht mit einem tcp stack ausstatteten und sich das “Leben im Netz” komplett ohne sie abspielte…;)