3
Firewall blockt Anfragen zum Verbindungsaufbau von verschiedenen IPs
Hallo!
Ich habe soeben zum Troubleshooting das Liveprotokoll unserer Sophos-UTM geöffnet. Dabei ist mir aufgefallen, dass die FW immer wieder Anfragen von verschiedenen IP's mit dem Protokoll "Bittorrent" blockt.
Läuft bei uns etwa ein BitTorrent-Client wo gerade über P2P etwas geteilt werden will? Es kommen gefühlt alle 2 sec. zwei bis maximal vier Anfragen von verschiedenen öffentlichen IP's.
Screenshot:
(hoffe ihr könnt trotz der schwarzen Balken etwas damit anfangen)
Danke!
P.S.:
Immerhin ist die Sophos-FW-Komponente eine SPI-FW aber seit wann gibt's auf L3 das Protokoll "Bittorrent"?!
Ich habe soeben zum Troubleshooting das Liveprotokoll unserer Sophos-UTM geöffnet. Dabei ist mir aufgefallen, dass die FW immer wieder Anfragen von verschiedenen IP's mit dem Protokoll "Bittorrent" blockt.
Läuft bei uns etwa ein BitTorrent-Client wo gerade über P2P etwas geteilt werden will? Es kommen gefühlt alle 2 sec. zwei bis maximal vier Anfragen von verschiedenen öffentlichen IP's.
Screenshot:
(hoffe ihr könnt trotz der schwarzen Balken etwas damit anfangen)
Danke!
P.S.:
Immerhin ist die Sophos-FW-Komponente eine SPI-FW aber seit wann gibt's auf L3 das Protokoll "Bittorrent"?!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 215533
Url: https://administrator.de/contentid/215533
Printed on: April 25, 2024 at 07:04 o'clock
3 Comments
Latest comment
Hallo,
es kann durchaus sein das "jemand" Eure IP Adresse fälscht (spoofed) und dann damit via BitTorrent Dateien aus dem Netz zieht,
und falls das jemandem auffällt, sagen wir mal von einem Rechteverwerter, dann wird er Euch anschreiben.
Denn Eure Firewall wird mittels SPI & NAT Funktion das ganze ja abblocken, da der Verkehr ja nicht durch jemanden in
Eurem Netzwerk initialisiert, also angestoßen, wurde!
Also ich denke eher dass bei Euch alles in Ordnung ist, obwohl man so etwas ja auch nie ganz ausschließen kann,
aber man kann ja auch auf allen Switche und Firewalls sowie den Routern die die Zeit genau gleich einstellen oder dieses
durch einen Netzwerk internen NTP Server sicherstellen lassen und dann alle Protokolldateien (Logfiles) auf einem Syslogserver
sichern, so das man später genau sagen kann wer das intern aus Eurem Netzwerk und vor allem zu welcher Tageszeit gemacht hat,
wenn es denn so gewesen ist! Und mittels eines WireShark Scans könnte man auch versuchen zu ermitteln, ob es sich zum einen
denn wirklich so verhält bzw. das es sich eben so nicht verhält und beides, die Protokolldateien und die Scanergebnisse von
WireShark hebt man dann zu Dokumentationszwecken auf, falls sich ein Rechteverwerter meldet mittels einen Anwalts meldet.
Die Verbindungsdaten von Eurem Provider (ISP), für Euren Internetzugang sind in der Regel die einzigen gerichtsverwertbaren
Beweise die auch anerkannt werden und zwar vor einem Gericht in Deutschland, obwohl auch immer der Einzelfall selbst
entscheidet, was ist, wie und wo genau gelaufen. Aber die kann man sich ja bei seinem Provider auch abholen dann hat man
ja auch noch die eigenen Protokolldateien die das ganze erhärten bzw. unterfüttern, dass man eben nicht selber oder
Mitarbeiter der eigenen Firma an so etwas beteiligt waren!
Einziger Fallstrick ist jedoch der WireShark den Einsatz sollte man sich vom Betriebsrat und Chef absegnen lassen
und wenn es geht dann schriftlich.
Gruß
Dobby
: Hinweis : Es handelt sich hier um keine Rechtsberatung, sondern ausschließlich nur um den Meinungsaustausch zwischen Forumsmitgliedern!
es kann durchaus sein das "jemand" Eure IP Adresse fälscht (spoofed) und dann damit via BitTorrent Dateien aus dem Netz zieht,
und falls das jemandem auffällt, sagen wir mal von einem Rechteverwerter, dann wird er Euch anschreiben.
Denn Eure Firewall wird mittels SPI & NAT Funktion das ganze ja abblocken, da der Verkehr ja nicht durch jemanden in
Eurem Netzwerk initialisiert, also angestoßen, wurde!
Also ich denke eher dass bei Euch alles in Ordnung ist, obwohl man so etwas ja auch nie ganz ausschließen kann,
aber man kann ja auch auf allen Switche und Firewalls sowie den Routern die die Zeit genau gleich einstellen oder dieses
durch einen Netzwerk internen NTP Server sicherstellen lassen und dann alle Protokolldateien (Logfiles) auf einem Syslogserver
sichern, so das man später genau sagen kann wer das intern aus Eurem Netzwerk und vor allem zu welcher Tageszeit gemacht hat,
wenn es denn so gewesen ist! Und mittels eines WireShark Scans könnte man auch versuchen zu ermitteln, ob es sich zum einen
denn wirklich so verhält bzw. das es sich eben so nicht verhält und beides, die Protokolldateien und die Scanergebnisse von
WireShark hebt man dann zu Dokumentationszwecken auf, falls sich ein Rechteverwerter meldet mittels einen Anwalts meldet.
Die Verbindungsdaten von Eurem Provider (ISP), für Euren Internetzugang sind in der Regel die einzigen gerichtsverwertbaren
Beweise die auch anerkannt werden und zwar vor einem Gericht in Deutschland, obwohl auch immer der Einzelfall selbst
entscheidet, was ist, wie und wo genau gelaufen. Aber die kann man sich ja bei seinem Provider auch abholen dann hat man
ja auch noch die eigenen Protokolldateien die das ganze erhärten bzw. unterfüttern, dass man eben nicht selber oder
Mitarbeiter der eigenen Firma an so etwas beteiligt waren!
Einziger Fallstrick ist jedoch der WireShark den Einsatz sollte man sich vom Betriebsrat und Chef absegnen lassen
und wenn es geht dann schriftlich.
Gruß
Dobby
: Hinweis : Es handelt sich hier um keine Rechtsberatung, sondern ausschließlich nur um den Meinungsaustausch zwischen Forumsmitgliedern!
Zuallererst mal ist Bittorrent kein Protokoll um deinen Irrtum (oder Unwissen) hier aufzuklären, sondern eine Anwendung wie jeder weiss:
http://de.wikipedia.org/wiki/BitTorrent
Es nutzt unterschiedliche Protokolle zum Transport ! Sollte man auch eigentlich wissen als Firewall Administrator !
Es gibt es seit gut 10 Jahren....ist also uralt und jedem Netzwerker hinreichend bekannt speziell durch die zahlreichen Gerichtsverfahren im Zusammenhang mit illegalem File Sharing.
Es sind ja eingehende Bittorrent Versuche auf die interne xyz.247 IP Adresse (oder den WAN Port der FW)
Sowas ist durchaus üblich an jeglichen öffentlichen IP Anschlüssen im Sekundentakt.
Weiss jeder der mal für 5 Minuten einen Sniffer an seinem Internet Anschluss laufen lässt.
Damit bei dir da ja Schluss ist hast du ja eine Firewall die ja auch macht was sie soll wie man oben unschwer sieht, oder ?
Alles gut also....und hätte keines Threads hier bedurft.
http://de.wikipedia.org/wiki/BitTorrent
Es nutzt unterschiedliche Protokolle zum Transport ! Sollte man auch eigentlich wissen als Firewall Administrator !
Es gibt es seit gut 10 Jahren....ist also uralt und jedem Netzwerker hinreichend bekannt speziell durch die zahlreichen Gerichtsverfahren im Zusammenhang mit illegalem File Sharing.
Es sind ja eingehende Bittorrent Versuche auf die interne xyz.247 IP Adresse (oder den WAN Port der FW)
Sowas ist durchaus üblich an jeglichen öffentlichen IP Anschlüssen im Sekundentakt.
Weiss jeder der mal für 5 Minuten einen Sniffer an seinem Internet Anschluss laufen lässt.
Damit bei dir da ja Schluss ist hast du ja eine Firewall die ja auch macht was sie soll wie man oben unschwer sieht, oder ?
Alles gut also....und hätte keines Threads hier bedurft.
Danke für eure Antworten!
@aqui
Meine Frage am Ende war eher darauf bezogen, dass ich das verhalten der FW nicht verstehen konnte.
Sie zeigt, wie du auf dem Screenshot siehst, in der Spalte des Protokolls eindeutig "Bittorrent" an <- das ist mir so noch nie aufgefallen.
Als Netzwerker ist mir durchaus bekannt, dass "Bittorrent" in die Anwendungsschicht (laut TCP/IP-Modell) gehört und das eine FW auf den Transportlayer / Internetlayer arbeitet.
Daher habe ich diese klein, unwichtige Frage an das Ende gepackt, in der Hoffnung es könnte mir jemand erklären warum die FW auch "Dinge" aus Layer 5-7 kennt....Aber ich werde es jetzt einfach als "ist einfach so" abhacken.
@aqui
Meine Frage am Ende war eher darauf bezogen, dass ich das verhalten der FW nicht verstehen konnte.
Sie zeigt, wie du auf dem Screenshot siehst, in der Spalte des Protokolls eindeutig "Bittorrent" an <- das ist mir so noch nie aufgefallen.
Als Netzwerker ist mir durchaus bekannt, dass "Bittorrent" in die Anwendungsschicht (laut TCP/IP-Modell) gehört und das eine FW auf den Transportlayer / Internetlayer arbeitet.
Daher habe ich diese klein, unwichtige Frage an das Ende gepackt, in der Hoffnung es könnte mir jemand erklären warum die FW auch "Dinge" aus Layer 5-7 kennt....Aber ich werde es jetzt einfach als "ist einfach so" abhacken.
