11
Firewall-Log enthält nicht existierende Adressen
Hallo zusammen,
vor einigen Tagen sind mir eigenartige Einträge im Firewall-Log (Lancom 1781VA) aufgefallen.
Es handelt sich um Verbindungsversuche von definitiv nicht im lokalen Netz existierenden Adressen,
die alle mit 192.168. beginnen.
Ich nutze die Bereiche 192.168.1.0/24 bis 192.168.7.0/24. Alle Adressen in den Logs sind aber
z.B. 192.168.86.200 oder 192.168.17.15 oder andere nach diesem Schema.
Die einzigen Gemeinsamkeiten sind:
- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
- Immer von einem beliebigen 5-stelligen Port an Port 445
Hatte solch ein Phänomen schon einmal jemand?
Gruß NV
vor einigen Tagen sind mir eigenartige Einträge im Firewall-Log (Lancom 1781VA) aufgefallen.
Es handelt sich um Verbindungsversuche von definitiv nicht im lokalen Netz existierenden Adressen,
die alle mit 192.168. beginnen.
Ich nutze die Bereiche 192.168.1.0/24 bis 192.168.7.0/24. Alle Adressen in den Logs sind aber
z.B. 192.168.86.200 oder 192.168.17.15 oder andere nach diesem Schema.
Die einzigen Gemeinsamkeiten sind:
- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
- Immer von einem beliebigen 5-stelligen Port an Port 445
Hatte solch ein Phänomen schon einmal jemand?
Gruß NV
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 422106
Url: https://administrator.de/contentid/422106
Ausgedruckt am: 25.11.2024 um 21:11 Uhr
11 Kommentare
Neuester Kommentar
Versucht evtl. irgendein Mitarbeiter seinen privaten Rechner am Firmennetz anzuschließen?
Kann ich ausschließen. Wir sind nur viert im Büro und einige FW-Einträge sind nachts gelaufen. Da ist hier zu.
445 ist ja SMB, aber selbst wenn da etwas "telefonieren" würde, müsste es ja von einer existierenden Adresse kommen.
445 ist ja SMB, aber selbst wenn da etwas "telefonieren" würde, müsste es ja von einer existierenden Adresse kommen.
Zitat von @NixVerstehen:
Hallo zusammen,
vor einigen Tagen sind mir eigenartige Einträge im Firewall-Log (Lancom 1781VA) aufgefallen.
Es handelt sich um Verbindungsversuche von definitiv nicht im lokalen Netz existierenden Adressen,
die alle mit 192.168. beginnen.
Ich nutze die Bereiche 192.168.1.0/24 bis 192.168.7.0/24. Alle Adressen in den Logs sind aber
z.B. 192.168.86.200 oder 192.168.17.15 oder andere nach diesem Schema.
Die einzigen Gemeinsamkeiten sind:
- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
- Immer von einem beliebigen 5-stelligen Port an Port 445
Hatte solch ein Phänomen schon einmal jemand?
Gruß NV
Hallo zusammen,
vor einigen Tagen sind mir eigenartige Einträge im Firewall-Log (Lancom 1781VA) aufgefallen.
Es handelt sich um Verbindungsversuche von definitiv nicht im lokalen Netz existierenden Adressen,
die alle mit 192.168. beginnen.
Ich nutze die Bereiche 192.168.1.0/24 bis 192.168.7.0/24. Alle Adressen in den Logs sind aber
z.B. 192.168.86.200 oder 192.168.17.15 oder andere nach diesem Schema.
Die einzigen Gemeinsamkeiten sind:
- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
- Immer von einem beliebigen 5-stelligen Port an Port 445
Hatte solch ein Phänomen schon einmal jemand?
Gruß NV
Moin ,
was sagen denn die Logs von deinen Switchen dazu ?
Gruss
Zitat von @NixVerstehen:
Die einzigen Gemeinsamkeiten sind:
- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
Die einzigen Gemeinsamkeiten sind:
- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
Ist Eure WAN-Adresse das Ziel. Dann kommen die vermutlich von außen. Hast Du mal geschaut, von welchem Interface das zeug kommt? Eventuell sind das schlecht gefilterte Pakete vom Provider, die bei euch auflaufen oder Pakete aus dem VPN oder ...
kommen die Pakete aus dem Internet an eure WAN-Adresse ist das kein Grund zur Sorge, Soltlen die aber wider Erwarten von intern kommen, solltet Ihr mal einen Sniffer mitlaufen lassen.
- Immer von einem beliebigen 5-stelligen Port an Port 445
Das ist so normal.
Hatte solch ein Phänomen schon einmal jemand?
Ganz oft am WAN-interface. Leute die Ihren Router oder Ihre friewall schlecht konfigurieren oder Provider die Ihr Handwerk nicht verstehen sind oft die Ursache dafür.
lks
Moin ,
was sagen denn die Logs von deinen Switchen dazu ?
Gruss
was sagen denn die Logs von deinen Switchen dazu ?
Gruss
Hi,
ich muss gestehen, das hierzu meine bescheidenen Kenntnisse als KMU-Nebenher-Admin nicht ausreichen.
Kann ich beispielsweise bei einem Cisco SG350-24MP ein Log anstoßen bzw. abrufen, das die (nicht existente) IP-Adresse, Port und Interface anzeigt? Dann könnte ich zumindest das Gerät über das Switch-Interface indentifizieren.
Gruß NV
Hallo,
Schau mal in dein Cisco rein. von Interne Logs bis hin zur Ausgabe auf einen Syslog und RMON und Co. wirst du dort erschlagen mit Log funktionen. Irgendwann ist nämlich das interne Log voll und es wird einfach die alten Einträge gelöscht. Bei ausgabe auf ine Syslog sollte diese Maschine natürlich laufen, auch wenn keiner im Büro ist. Syslog Server gibt es wie Sand am Meer, z.B. http://tftpd32.jounin.net/, Du brauchst den TFTP Server und den DHCP Server ja nicht zu nutzen bzw. zu aktivieren.
Gruß,
Peter
Zitat von @NixVerstehen:
Kann ich beispielsweise bei einem Cisco SG350-24MP ein Log anstoßen bzw. abrufen
Ja bzw. JaKann ich beispielsweise bei einem Cisco SG350-24MP ein Log anstoßen bzw. abrufen
Schau mal in dein Cisco rein. von Interne Logs bis hin zur Ausgabe auf einen Syslog und RMON und Co. wirst du dort erschlagen mit Log funktionen. Irgendwann ist nämlich das interne Log voll und es wird einfach die alten Einträge gelöscht. Bei ausgabe auf ine Syslog sollte diese Maschine natürlich laufen, auch wenn keiner im Büro ist. Syslog Server gibt es wie Sand am Meer, z.B. http://tftpd32.jounin.net/, Du brauchst den TFTP Server und den DHCP Server ja nicht zu nutzen bzw. zu aktivieren.
Gruß,
Peter
Zitat von @Lochkartenstanzer:
Ist Eure WAN-Adresse das Ziel. Dann kommen die vermutlich von außen. Hast Du mal geschaut, von welchem Interface das zeug kommt? Eventuell sind das schlecht gefilterte Pakete vom Provider, die bei euch auflaufen oder Pakete aus dem VPN oder ...
Ja, die kommen auf der WAN-Adresse (=Zieladresse) an. Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx),Zitat von @NixVerstehen:
Die einzigen Gemeinsamkeiten sind:
- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
Die einzigen Gemeinsamkeiten sind:
- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
Ist Eure WAN-Adresse das Ziel. Dann kommen die vermutlich von außen. Hast Du mal geschaut, von welchem Interface das zeug kommt? Eventuell sind das schlecht gefilterte Pakete vom Provider, die bei euch auflaufen oder Pakete aus dem VPN oder ...
die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
VPN kann ich ebenfalls ausschließen. Das könnte nur mein Notebook zuhause sein (SW VPN-Client) und das war die letzten Tage aus.
kommen die Pakete aus dem Internet an eure WAN-Adresse ist das kein Grund zur Sorge, Soltlen die aber wider Erwarten von intern kommen, solltet Ihr mal einen Sniffer mitlaufen lassen.
Hab ich gemacht. Hatte eine Nacht Wireshark am Laufen mit dem Verkehr vom L3-Switch zum Router und den Capture-Filter auf 445 gesetzt.
Da war kein Verbindungsversuch vorhanden, obwohl das FW-Log zwei solche Ereignisse anzeigte.
Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?
- Immer von einem beliebigen 5-stelligen Port an Port 445
Das ist so normal.
Hatte solch ein Phänomen schon einmal jemand?
Ganz oft am WAN-interface. Leute die Ihren Router oder Ihre friewall schlecht konfigurieren oder Provider die Ihr Handwerk nicht verstehen sind oft die Ursache dafür.
lks
Gruß NV
Hallo,
Dann kommen die ausm Internet.
Gruß,
Peter
Dann kommen die ausm Internet.
Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx), die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
Du sollst bei Rot nicht die Kreuzung überqueren. Du tust es trotzdem. Da hat euer Provider mist gebaut oder ein Gerät hat ein Defekt oder der Azubis dort Intern mit Extern verwechselt...Ruf deinen ISP an und beschwer dich.Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?
Ich würd jetzt Ja sagen.Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
Dann kommen die ausm Internet.
Nie bei Rot!!! Allenfalls dunkelgelb Hallo,
Dann kommen die ausm Internet.
Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx), die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
Du sollst bei Rot nicht die Kreuzung überqueren. Du tust es trotzdem. Da hat euer Provider mist gebaut oder ein Gerät hat ein Defekt oder der Azubis dort Intern mit Extern verwechselt...Ruf deinen ISP an und beschwer dich.
Aber da mach ich echt mal ein Ticket bei Colt auf und frage, warum die Traffic mit privaten Source-Adressen weiterleiten.Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?
Ich würd jetzt Ja sagen.Gruß,
Peter
Zitat von @NixVerstehen:
Ja, die kommen auf der WAN-Adresse (=Zieladresse) an. Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx),
die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
Ja, die kommen auf der WAN-Adresse (=Zieladresse) an. Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx),
die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
Die Provider nutzen natürlich auch haufenweise RFC1918-Adressen vfür interne Zwecke und konfigurieren Ihre Router nicht immer korrekt.
Auch die Kunden der Provider vergessen manchmal NAT auszuschalten und diese pakete werden weitergeleitet, wenn der Provider seine geräte falsch konfiguriert hat.
Und es gibt natürlich die "pöhsen Purschen", die schlimes vorhaben.
Hab ich gemacht. Hatte eine Nacht Wireshark am Laufen mit dem Verkehr vom L3-Switch zum Router und den Capture-Filter auf 445 gesetzt.
Da war kein Verbindungsversuch vorhanden, obwohl das FW-Log zwei solche Ereignisse anzeigte.
Da war kein Verbindungsversuch vorhanden, obwohl das FW-Log zwei solche Ereignisse anzeigte.
Dann ist intern vermutlich alles sauber.
Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?
Ja.
Zum Provider (Colt) kann ich diesbezüglich nichts sagen.
Das passiert bei fast jedem Provider. Es gibt bei allen "Schlafmützen".
kls
IP Spoofing?
