Angriff über Router

Ich habe meinen PC hinter einer Fritzbox laufen und hielt die NAT immer für ein probates Mittel gegen Störenfriede von außerhalb. Jemand der direkt mit mir kommunizieren will, kann dies auf geordnetem Weg tuen. Ich fahre eine Server auf meinem PC hoch (z.B. Apache HTTP), schalte in der Fritzbox Port 80 zu meinem Rechner durch und alle freuen sich.

Eine alte Kerio Firewall läuft auf meinem Rechner eigentlich zu dem Zweck den Netzwerkverkehr zu beobachten und nur die Verbindungen zu erlauben, die ich auch wünsche.

Jetzt aber die Überraschung:
Someone from dslb-088-067-022-244.pools.arcor-ip.net [88.67.22.244], port 61009 wants to send UDP datagram to port 12514 owned by 'SYSTEM' on your computer
Oder auf deutsch:
Irgendwer mit der IP Adresse 88.67.22.244 versucht UDP Daten an Port 12514 (welcher derzeit angeblich von dem Windows Programm SYSTEM verwaltet wird) abzusetzen.

Nein, Port 12514 war nicht durchgeroutet, weder versehentlich noch absichtlich. Nein, IP 88.67.22.244 kenne ich nicht.

Was witzig ist, Port 12514 wurde zum Zeitpunkt der Meldung von SKYPE benutzt und nicht von SYSTEM.

Was ich mich jetzt frage: Ist Skype ein Sicherheitsrisiko? Hat jemand ähnliches beobachtet? Spinnt die Kerio Firewall, indem sie das Datagramm dem falschen Programm zugeordnet hat? Warum ist das erst seit ein paar Monaten so?

 

Skype umgeht NAT
http://www.heise.de/security/Wie-Skype-Co-Firewalls-umgehen--/artikel/82054
Kerio wird ein Problem mit der Zuordung haben.

 

Aber er erklärt nicht, warum dieser Fehler mit dem Programm SYSTEM auftritt und eben nur sporadisch. (Ich habe ca. 5 Beobachtungen in den letzten 2 Monaten). Ich habe Skype schon etwa 2 Jahre im Einsatz ohne diese Beobachtung. Aus diesem Grund habe ich es zur Diskussion gestellt. Es besteht imho der Verdacht, dass Skype aufgrund der im Artikel beschriebenen Eigenschaften eine Brücke für Hacker darstellt. Die ersten Beobachtungen wiesen IPs aus Russland und Asien auf. Nur die letzte war aus Deutschland.

 

Hallo Hartmut,

wie deoroller schon schrieb, wird Kerio Skype nicht richtig zuordnen können.
Vermutlich wird ein zu Skype gehörender Dienst unter dem Deckmantel der services.exe, die in der Struktur NT-AUTORITÄT\SYSTEM läuft, laufen.
Schau dir das Ganze mal mit dem Process Explorer an.
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Mylin

 

sind immer wieder eine gute Adresse (obwohl sie sich als erstes bei Mama zurückmelden wollen).

Ja, und fündig bin ich auch geworden. In Verbindung mit Skype startet wmiprvse.exe als Job und verabschiedet sich nach etwa 2 Minuten. Das (http://www.neuber.com/taskmanager/deutsch/prozess/wmiprvse.exe.html): "Mit Hilfe von WMI kann man im Netzwerk Programme auf anderen Rechner starten, oder die Ereignisprotokolle und installierten Programme auf einen anderen Computer abfragen." hört sich nicht vertrauenerweckend an.

Aber Kerio wird dadurch nicht getriggert. Möglicherweise muss dazu zufällig ein Ereignis von außerhalb stattfinden (reine Spekulation).

Es könnten jetzt aber auch zwei unabhängige (Sicherheits-)Baustellen sein (ebenfalls reine Spekulation).