Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewall-Log enthält nicht existierende Adressen

Mitglied: NixVerstehen

NixVerstehen (Level 2) - Jetzt verbinden

26.02.2019 um 15:11 Uhr, 935 Aufrufe, 11 Kommentare

Hallo zusammen,

vor einigen Tagen sind mir eigenartige Einträge im Firewall-Log (Lancom 1781VA) aufgefallen.
Es handelt sich um Verbindungsversuche von definitiv nicht im lokalen Netz existierenden Adressen,
die alle mit 192.168. beginnen.

Ich nutze die Bereiche 192.168.1.0/24 bis 192.168.7.0/24. Alle Adressen in den Logs sind aber
z.B. 192.168.86.200 oder 192.168.17.15 oder andere nach diesem Schema.

Die einzigen Gemeinsamkeiten sind:

- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
- Immer von einem beliebigen 5-stelligen Port an Port 445

Hatte solch ein Phänomen schon einmal jemand?

Gruß NV
Mitglied: borstenwurm
26.02.2019 um 15:24 Uhr
Versucht evtl. irgendein Mitarbeiter seinen privaten Rechner am Firmennetz anzuschließen?
Bitte warten ..
Mitglied: NixVerstehen
26.02.2019 um 15:28 Uhr
Kann ich ausschließen. Wir sind nur viert im Büro und einige FW-Einträge sind nachts gelaufen. Da ist hier zu.

445 ist ja SMB, aber selbst wenn da etwas "telefonieren" würde, müsste es ja von einer existierenden Adresse kommen.
Bitte warten ..
Mitglied: itisnapanto
26.02.2019 um 15:30 Uhr
Zitat von NixVerstehen:

Hallo zusammen,

vor einigen Tagen sind mir eigenartige Einträge im Firewall-Log (Lancom 1781VA) aufgefallen.
Es handelt sich um Verbindungsversuche von definitiv nicht im lokalen Netz existierenden Adressen,
die alle mit 192.168. beginnen.

Ich nutze die Bereiche 192.168.1.0/24 bis 192.168.7.0/24. Alle Adressen in den Logs sind aber
z.B. 192.168.86.200 oder 192.168.17.15 oder andere nach diesem Schema.

Die einzigen Gemeinsamkeiten sind:

- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
- Immer von einem beliebigen 5-stelligen Port an Port 445

Hatte solch ein Phänomen schon einmal jemand?

Gruß NV


Moin ,

was sagen denn die Logs von deinen Switchen dazu ?

Gruss
Bitte warten ..
Mitglied: Lochkartenstanzer
26.02.2019 um 15:44 Uhr
Zitat von NixVerstehen:

Die einzigen Gemeinsamkeiten sind:

- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.

Ist Eure WAN-Adresse das Ziel. Dann kommen die vermutlich von außen. Hast Du mal geschaut, von welchem Interface das zeug kommt? Eventuell sind das schlecht gefilterte Pakete vom Provider, die bei euch auflaufen oder Pakete aus dem VPN oder ...

kommen die Pakete aus dem Internet an eure WAN-Adresse ist das kein Grund zur Sorge, Soltlen die aber wider Erwarten von intern kommen, solltet Ihr mal einen Sniffer mitlaufen lassen.


- Immer von einem beliebigen 5-stelligen Port an Port 445

Das ist so normal.

Hatte solch ein Phänomen schon einmal jemand?

Ganz oft am WAN-interface. Leute die Ihren Router oder Ihre friewall schlecht konfigurieren oder Provider die Ihr Handwerk nicht verstehen sind oft die Ursache dafür.

lks
Bitte warten ..
Mitglied: NixVerstehen
26.02.2019 um 15:44 Uhr
Moin ,

was sagen denn die Logs von deinen Switchen dazu ?

Gruss

Hi,

ich muss gestehen, das hierzu meine bescheidenen Kenntnisse als KMU-Nebenher-Admin nicht ausreichen.
Kann ich beispielsweise bei einem Cisco SG350-24MP ein Log anstoßen bzw. abrufen, das die (nicht existente) IP-Adresse, Port und Interface anzeigt? Dann könnte ich zumindest das Gerät über das Switch-Interface indentifizieren.

Gruß NV
Bitte warten ..
Mitglied: Pjordorf
26.02.2019 um 16:45 Uhr
Hallo,

Zitat von NixVerstehen:
Kann ich beispielsweise bei einem Cisco SG350-24MP ein Log anstoßen bzw. abrufen
Ja bzw. Ja
Schau mal in dein Cisco rein. von Interne Logs bis hin zur Ausgabe auf einen Syslog und RMON und Co. wirst du dort erschlagen mit Log funktionen. Irgendwann ist nämlich das interne Log voll und es wird einfach die alten Einträge gelöscht. Bei ausgabe auf ine Syslog sollte diese Maschine natürlich laufen, auch wenn keiner im Büro ist. Syslog Server gibt es wie Sand am Meer, z.B. http://tftpd32.jounin.net/, Du brauchst den TFTP Server und den DHCP Server ja nicht zu nutzen bzw. zu aktivieren.

Gruß,
Peter
Bitte warten ..
Mitglied: NixVerstehen
26.02.2019 um 16:45 Uhr
Zitat von Lochkartenstanzer:

Zitat von NixVerstehen:

Die einzigen Gemeinsamkeiten sind:

- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.

Ist Eure WAN-Adresse das Ziel. Dann kommen die vermutlich von außen. Hast Du mal geschaut, von welchem Interface das zeug kommt? Eventuell sind das schlecht gefilterte Pakete vom Provider, die bei euch auflaufen oder Pakete aus dem VPN oder ...

Ja, die kommen auf der WAN-Adresse (=Zieladresse) an. Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx),
die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
VPN kann ich ebenfalls ausschließen. Das könnte nur mein Notebook zuhause sein (SW VPN-Client) und das war die letzten Tage aus.

kommen die Pakete aus dem Internet an eure WAN-Adresse ist das kein Grund zur Sorge, Soltlen die aber wider Erwarten von intern kommen, solltet Ihr mal einen Sniffer mitlaufen lassen.

Hab ich gemacht. Hatte eine Nacht Wireshark am Laufen mit dem Verkehr vom L3-Switch zum Router und den Capture-Filter auf 445 gesetzt.
Da war kein Verbindungsversuch vorhanden, obwohl das FW-Log zwei solche Ereignisse anzeigte.

Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?


- Immer von einem beliebigen 5-stelligen Port an Port 445

Das ist so normal.

Hatte solch ein Phänomen schon einmal jemand?

Ganz oft am WAN-interface. Leute die Ihren Router oder Ihre friewall schlecht konfigurieren oder Provider die Ihr Handwerk nicht verstehen sind oft die Ursache dafür.

Zum Provider (Colt) kann ich diesbezüglich nichts sagen. Zu den Leuten mit schlecht konfigurierter Firewall zähle ich hoffentlich nicht. Zumindest bin ich hier sehr gewissenhaft zugange und hab nur das absolut notwendige ausgehend geöffnet und eingehend überhaupt nichts.
lks
Gruß NV
Bitte warten ..
Mitglied: Pjordorf
26.02.2019 um 16:54 Uhr
Hallo,

Zitat von NixVerstehen:
Ja, die kommen auf der WAN-Adresse (=Zieladresse) an.
Dann kommen die ausm Internet.

Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx), die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
Du sollst bei Rot nicht die Kreuzung überqueren. Du tust es trotzdem. Da hat euer Provider mist gebaut oder ein Gerät hat ein Defekt oder der Azubis dort Intern mit Extern verwechselt...Ruf deinen ISP an und beschwer dich.

Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?
Ich würd jetzt Ja sagen.

Gruß,
Peter
Bitte warten ..
Mitglied: NixVerstehen
26.02.2019 um 17:20 Uhr
Zitat von Pjordorf:

Hallo,

Zitat von NixVerstehen:
Ja, die kommen auf der WAN-Adresse (=Zieladresse) an.
Dann kommen die ausm Internet.

Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx), die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
Du sollst bei Rot nicht die Kreuzung überqueren. Du tust es trotzdem. Da hat euer Provider mist gebaut oder ein Gerät hat ein Defekt oder der Azubis dort Intern mit Extern verwechselt...Ruf deinen ISP an und beschwer dich.
Nie bei Rot!!! Allenfalls dunkelgelb Aber da mach ich echt mal ein Ticket bei Colt auf und frage, warum die Traffic mit privaten Source-Adressen weiterleiten.

Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?
Ich würd jetzt Ja sagen.
Dann bin ich erstmal beruhigt. Die Firewall bügelt es ja weg. Dann versuche ich mal deinen Tip mit dem Syslogserver und dem Log auf dem Switch. Aber da muss ich mich am WE mal einlesen. Vielen Dank einstweilen.

Gruß,
Peter
Bitte warten ..
Mitglied: Lochkartenstanzer
26.02.2019 um 17:21 Uhr
Zitat von NixVerstehen:

Ja, die kommen auf der WAN-Adresse (=Zieladresse) an. Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx),
die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?

Die Provider nutzen natürlich auch haufenweise RFC1918-Adressen vfür interne Zwecke und konfigurieren Ihre Router nicht immer korrekt.

Auch die Kunden der Provider vergessen manchmal NAT auszuschalten und diese pakete werden weitergeleitet, wenn der Provider seine geräte falsch konfiguriert hat.

Und es gibt natürlich die "pöhsen Purschen", die schlimes vorhaben.

Hab ich gemacht. Hatte eine Nacht Wireshark am Laufen mit dem Verkehr vom L3-Switch zum Router und den Capture-Filter auf 445 gesetzt.
Da war kein Verbindungsversuch vorhanden, obwohl das FW-Log zwei solche Ereignisse anzeigte.

Dann ist intern vermutlich alles sauber.

Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?

Ja.

Zum Provider (Colt) kann ich diesbezüglich nichts sagen.

Das passiert bei fast jedem Provider. Es gibt bei allen "Schlafmützen".

kls
Bitte warten ..
Mitglied: Herbrich19
27.02.2019 um 00:10 Uhr
IP Spoofing?
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
Pfsense - Firewall-Log Analyse
Frage von Daniel.HuferNetzwerkmanagement7 Kommentare

Hallo, Habe ein Firewall (pfsense) und möchte ein mal die Woche nach schauen ob alles im rechten ist, bzw. ...

Windows Server
Kein Firewall Log auf DC
Frage von scusimarcusWindows Server13 Kommentare

Hallo, ich habe gerade eine Kuriosität auf einem DC (server 2012 R2) entdeckt. Die Firewall-Settings werden über GPO´s an ...

Firewall

Verdächtiger Eintrag im Firewall Log

gelöst Frage von fungerFirewall6 Kommentare

Ich habe seit einiger Zeit Einträge im Firewall-Log, die ich nicht zuordnen kann. Ich bitte um Hilfe, das zu ...

Firewall

Sophos UTM 9.5 Firewall Log-File durchsuchen

gelöst Frage von Leo-leFirewall18 Kommentare

Hallo zusammen, weiß jemand von Euch, ob man bei der Sophos die Firewall logs noch etwas besser filtern kann? ...

Neue Wissensbeiträge
Exchange Server

ACHTUNG: Ungepatchte Exchange Server aktuell im Visier von Angreifern!

Tipp von vibrations vor 1 TagExchange Server2 Kommentare

Wer es noch nicht mitbekommen haben sollte: Exchange-Server Systeme werden gerade vermehrt auf eine Sicherheitslücke mit der sich das ...

Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 4 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 6 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 6 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Heiß diskutierte Inhalte
DSL, VDSL
Gigabit Leitung - niedrige Geschwindigkeit
Frage von Ghost108DSL, VDSL27 Kommentare

Hallo zusammen, ich bin vor kurzem auf den Tarif Vodafone Cable Max 1000 umgestiegen. Techniker war vor Ort und ...

Exchange Server
Exchange Server 2019 lässt sich nicht installieren
Frage von HonkiDonkiExchange Server18 Kommentare

Hallo zusammen, ich bekomme noch einen Anfall. Der Exchange Server 2019 CU 4 lässt sich nicht auf den Windows ...

Linux
Kerio Mailserver Probleme Anmeldung User
Frage von SLBTechnikLinux16 Kommentare

Guten Morgen alle zusammen, gleich mal vorweg. Ich bin ein Kerio DAU und mache den Admin nur solange kein ...

Hosting & Housing
NetCUP - vroot bekommt keine v4 Adresse mehr
gelöst Frage von HenereHosting & Housing15 Kommentare

Servus zusammen, mein rootserver war nicht mehr erreichbar. Auch aus dem Mobilnetz nicht. Bin auf die Verwaltungsconsole und habe ...