Firewall-Log enthält nicht existierende Adressen

nixverstehen
Goto Top
Hallo zusammen,

vor einigen Tagen sind mir eigenartige Einträge im Firewall-Log (Lancom 1781VA) aufgefallen.
Es handelt sich um Verbindungsversuche von definitiv nicht im lokalen Netz existierenden Adressen,
die alle mit 192.168. beginnen.

Ich nutze die Bereiche 192.168.1.0/24 bis 192.168.7.0/24. Alle Adressen in den Logs sind aber
z.B. 192.168.86.200 oder 192.168.17.15 oder andere nach diesem Schema.

Die einzigen Gemeinsamkeiten sind:

- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
- Immer von einem beliebigen 5-stelligen Port an Port 445

Hatte solch ein Phänomen schon einmal jemand?

Gruß NV

Content-Key: 422106

Url: https://administrator.de/contentid/422106

Ausgedruckt am: 13.08.2022 um 11:08 Uhr

Mitglied: borstenwurm
borstenwurm 26.02.2019 um 15:24:00 Uhr
Goto Top
Versucht evtl. irgendein Mitarbeiter seinen privaten Rechner am Firmennetz anzuschließen?
Mitglied: NixVerstehen
NixVerstehen 26.02.2019 um 15:28:47 Uhr
Goto Top
Kann ich ausschließen. Wir sind nur viert im Büro und einige FW-Einträge sind nachts gelaufen. Da ist hier zu.

445 ist ja SMB, aber selbst wenn da etwas "telefonieren" würde, müsste es ja von einer existierenden Adresse kommen.
Mitglied: itisnapanto
itisnapanto 26.02.2019 um 15:30:16 Uhr
Goto Top
Zitat von @NixVerstehen:

Hallo zusammen,

vor einigen Tagen sind mir eigenartige Einträge im Firewall-Log (Lancom 1781VA) aufgefallen.
Es handelt sich um Verbindungsversuche von definitiv nicht im lokalen Netz existierenden Adressen,
die alle mit 192.168. beginnen.

Ich nutze die Bereiche 192.168.1.0/24 bis 192.168.7.0/24. Alle Adressen in den Logs sind aber
z.B. 192.168.86.200 oder 192.168.17.15 oder andere nach diesem Schema.

Die einzigen Gemeinsamkeiten sind:

- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.
- Immer von einem beliebigen 5-stelligen Port an Port 445

Hatte solch ein Phänomen schon einmal jemand?

Gruß NV


Moin ,

was sagen denn die Logs von deinen Switchen dazu ?

Gruss
Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.02.2019 um 15:44:27 Uhr
Goto Top
Zitat von @NixVerstehen:

Die einzigen Gemeinsamkeiten sind:

- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.

Ist Eure WAN-Adresse das Ziel. Dann kommen die vermutlich von außen. Hast Du mal geschaut, von welchem Interface das zeug kommt? Eventuell sind das schlecht gefilterte Pakete vom Provider, die bei euch auflaufen oder Pakete aus dem VPN oder ...

kommen die Pakete aus dem Internet an eure WAN-Adresse ist das kein Grund zur Sorge, Soltlen die aber wider Erwarten von intern kommen, solltet Ihr mal einen Sniffer mitlaufen lassen.


- Immer von einem beliebigen 5-stelligen Port an Port 445

Das ist so normal.

Hatte solch ein Phänomen schon einmal jemand?

Ganz oft am WAN-interface. Leute die Ihren Router oder Ihre friewall schlecht konfigurieren oder Provider die Ihr Handwerk nicht verstehen sind oft die Ursache dafür.

lks
Mitglied: NixVerstehen
NixVerstehen 26.02.2019 um 15:44:30 Uhr
Goto Top
Moin ,

was sagen denn die Logs von deinen Switchen dazu ?

Gruss

Hi,

ich muss gestehen, das hierzu meine bescheidenen Kenntnisse als KMU-Nebenher-Admin nicht ausreichen.
Kann ich beispielsweise bei einem Cisco SG350-24MP ein Log anstoßen bzw. abrufen, das die (nicht existente) IP-Adresse, Port und Interface anzeigt? Dann könnte ich zumindest das Gerät über das Switch-Interface indentifizieren.

Gruß NV
Mitglied: Pjordorf
Pjordorf 26.02.2019 um 16:45:02 Uhr
Goto Top
Hallo,

Zitat von @NixVerstehen:
Kann ich beispielsweise bei einem Cisco SG350-24MP ein Log anstoßen bzw. abrufen
Ja bzw. Ja
Schau mal in dein Cisco rein. von Interne Logs bis hin zur Ausgabe auf einen Syslog und RMON und Co. wirst du dort erschlagen mit Log funktionen. Irgendwann ist nämlich das interne Log voll und es wird einfach die alten Einträge gelöscht. Bei ausgabe auf ine Syslog sollte diese Maschine natürlich laufen, auch wenn keiner im Büro ist. Syslog Server gibt es wie Sand am Meer, z.B. http://tftpd32.jounin.net/, Du brauchst den TFTP Server und den DHCP Server ja nicht zu nutzen bzw. zu aktivieren.

Gruß,
Peter
Mitglied: NixVerstehen
NixVerstehen 26.02.2019 um 16:45:34 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @NixVerstehen:

Die einzigen Gemeinsamkeiten sind:

- Verbindungsversuch von nicht existierender Adresse auf unsere WAN-Adresse, also ins Internet.

Ist Eure WAN-Adresse das Ziel. Dann kommen die vermutlich von außen. Hast Du mal geschaut, von welchem Interface das zeug kommt? Eventuell sind das schlecht gefilterte Pakete vom Provider, die bei euch auflaufen oder Pakete aus dem VPN oder ...

Ja, die kommen auf der WAN-Adresse (=Zieladresse) an. Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx),
die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
VPN kann ich ebenfalls ausschließen. Das könnte nur mein Notebook zuhause sein (SW VPN-Client) und das war die letzten Tage aus.

kommen die Pakete aus dem Internet an eure WAN-Adresse ist das kein Grund zur Sorge, Soltlen die aber wider Erwarten von intern kommen, solltet Ihr mal einen Sniffer mitlaufen lassen.

Hab ich gemacht. Hatte eine Nacht Wireshark am Laufen mit dem Verkehr vom L3-Switch zum Router und den Capture-Filter auf 445 gesetzt.
Da war kein Verbindungsversuch vorhanden, obwohl das FW-Log zwei solche Ereignisse anzeigte.

Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?


- Immer von einem beliebigen 5-stelligen Port an Port 445

Das ist so normal.

Hatte solch ein Phänomen schon einmal jemand?

Ganz oft am WAN-interface. Leute die Ihren Router oder Ihre friewall schlecht konfigurieren oder Provider die Ihr Handwerk nicht verstehen sind oft die Ursache dafür.

Zum Provider (Colt) kann ich diesbezüglich nichts sagen. Zu den Leuten mit schlecht konfigurierter Firewall zähle ich hoffentlich nicht. Zumindest bin ich hier sehr gewissenhaft zugange und hab nur das absolut notwendige ausgehend geöffnet und eingehend überhaupt nichts.
lks
Gruß NV
Mitglied: Pjordorf
Pjordorf 26.02.2019 um 16:54:14 Uhr
Goto Top
Hallo,

Zitat von @NixVerstehen:
Ja, die kommen auf der WAN-Adresse (=Zieladresse) an.
Dann kommen die ausm Internet.

Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx), die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
Du sollst bei Rot nicht die Kreuzung überqueren. Du tust es trotzdem. Da hat euer Provider mist gebaut oder ein Gerät hat ein Defekt oder der Azubis dort Intern mit Extern verwechselt...Ruf deinen ISP an und beschwer dich.

Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?
Ich würd jetzt Ja sagen.

Gruß,
Peter
Mitglied: NixVerstehen
NixVerstehen 26.02.2019 um 17:20:09 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @NixVerstehen:
Ja, die kommen auf der WAN-Adresse (=Zieladresse) an.
Dann kommen die ausm Internet.

Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx), die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?
Du sollst bei Rot nicht die Kreuzung überqueren. Du tust es trotzdem. Da hat euer Provider mist gebaut oder ein Gerät hat ein Defekt oder der Azubis dort Intern mit Extern verwechselt...Ruf deinen ISP an und beschwer dich.
Nie bei Rot!!! Allenfalls dunkelgelb face-wink Aber da mach ich echt mal ein Ticket bei Colt auf und frage, warum die Traffic mit privaten Source-Adressen weiterleiten.

Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?
Ich würd jetzt Ja sagen.
Dann bin ich erstmal beruhigt. Die Firewall bügelt es ja weg. Dann versuche ich mal deinen Tip mit dem Syslogserver und dem Log auf dem Switch. Aber da muss ich mich am WE mal einlesen. Vielen Dank einstweilen.

Gruß,
Peter

Mitglied: Lochkartenstanzer
Lochkartenstanzer 26.02.2019 um 17:21:19 Uhr
Goto Top
Zitat von @NixVerstehen:

Ja, die kommen auf der WAN-Adresse (=Zieladresse) an. Aber die Quelladressen sind doch aus privaten Adressbereichen (192.168.xxx.xxx),
die es bei uns nicht gibt? Wenn solche Adressen aus dem Internet kommen, sollten die doch eigentlich im Internet nicht geroutet werden?

Die Provider nutzen natürlich auch haufenweise RFC1918-Adressen vfür interne Zwecke und konfigurieren Ihre Router nicht immer korrekt.

Auch die Kunden der Provider vergessen manchmal NAT auszuschalten und diese pakete werden weitergeleitet, wenn der Provider seine geräte falsch konfiguriert hat.

Und es gibt natürlich die "pöhsen Purschen", die schlimes vorhaben.

Hab ich gemacht. Hatte eine Nacht Wireshark am Laufen mit dem Verkehr vom L3-Switch zum Router und den Capture-Filter auf 445 gesetzt.
Da war kein Verbindungsversuch vorhanden, obwohl das FW-Log zwei solche Ereignisse anzeigte.

Dann ist intern vermutlich alles sauber.

Dann habe ich das vermutlich einfach falsch interpretiert und der Verbindungsversuch kam von außen?

Ja.

Zum Provider (Colt) kann ich diesbezüglich nichts sagen.

Das passiert bei fast jedem Provider. Es gibt bei allen "Schlafmützen".

kls
Mitglied: Herbrich19
Herbrich19 27.02.2019 um 00:10:51 Uhr
Goto Top
IP Spoofing?