tomi93
Goto Top

Netzwerktraffic Filtern

Guten Morgen,

wir haben zurzeit bei uns im Netzwerk das Problem das unsere Firewall ständig Netzwerktraffic von unserem DC blockt.
Es ist ein Windows Server 2012 R2, auf dem auch nur Domain Dienste laufen. Bis vor kurzem lief da noch ein DNS Updater (Da wir keine feste IP hatten).
Nach dem ich den DNS Updater deinstalliert hatte, hatten wir auch einige Zeit ruhe. Doch jetzt fängt das ganze wieder an.

Gibt es ein Tool womit ich den Netzwerktraffic nachverfolgen kann?
Es gibt bestimmt welche und auch viele, aber ich suche ein effektives.

Gruß
Thomas

Content-ID: 310825

Url: https://administrator.de/contentid/310825

Ausgedruckt am: 24.11.2024 um 02:11 Uhr

116830
116830 25.07.2016 aktualisiert um 11:05:51 Uhr
Goto Top
Wireshark -> https://www.wireshark.org/

Ggf. wäre es aber auch interessant zu hören, welche Firewall ihr in Verwendung habt.
St-Andreas
St-Andreas 25.07.2016 um 11:18:12 Uhr
Goto Top
Guten Morgen,


Zitat von @tomi93:

Guten Morgen,

wir haben zurzeit bei uns im Netzwerk das Problem das unsere Firewall ständig Netzwerktraffic von unserem DC blockt.
Welchen Traffic und wohin soll der Traffic gehen?

Es ist ein Windows Server 2012 R2, auf dem auch nur Domain Dienste laufen. Bis vor kurzem lief da noch ein DNS Updater (Da wir keine feste IP hatten).
Nach dem ich den DNS Updater deinstalliert hatte, hatten wir auch einige Zeit ruhe. Doch jetzt fängt das ganze wieder an.

Wie äussert sich denn "das"


Gibt es ein Tool womit ich den Netzwerktraffic nachverfolgen kann?
Wireshark, aber wo willst Du denn nachverfolgen? Da wo gedroppt wird? Da wo gesendet wird?

Es gibt bestimmt welche und auch viele, aber ich suche ein effektives.

Gruß
Thomas

Vermutlich solltest Du auf der Firewall sehen können welcher Traffic vom DC blockiert wird. Danach solltest Du dann auf dem DC nachschauen welcher Prozess diesen Traffic erzeugt.
tomi93
tomi93 25.07.2016 aktualisiert um 11:19:06 Uhr
Goto Top
Hi,

wir haben die Sophos UTM 9.
Hab auch gerade gesehen in den Logs (Brauch jetzt doch kein Tool) das folgende Seite aufgerufen wird:
cdn.searchtooknow.com

Folgendes gibt virustotal aus:

BitDefender Malware site
ESET Malware site
Fortinet Malware site

Jemand eine Idee warum die Seite aufgerufen wird, bzw welcher Dienst hierfür zuständig ist?
tomi93
tomi93 25.07.2016 aktualisiert um 11:24:09 Uhr
Goto Top
Moin,

ich war zu schnell mit der Hilfesuche hier, hätte vorher einen Blick in die Firewall werfen sollen.
Es äußert sich, in dem ich von der Firewall ständig Mails bekomme in denen die Info steht welcher Client versucht die Verbindung aufzubauen, aber nicht wohin.

Steht aber in meinem Beitrag oben.

Hier mal ein Eintrag der Firewall:
firewall
aqui
aqui 25.07.2016 um 11:59:44 Uhr
Goto Top
Gibt es ein Tool womit ich den Netzwerktraffic nachverfolgen kann?
Kennt eigentlich jeder....
https://www.wireshark.org
Winblows Knechte können auch den Netzwerk Monitor verwenden:
https://www.microsoft.com/en-us/download/details.aspx?id=4865
...ist aber nur halb so gut wie der Wireshark.
St-Andreas
St-Andreas 25.07.2016 um 12:01:16 Uhr
Goto Top
Würde mal sagen:
https://malwaretips.com/blogs/ads-by-search-know-removal/

Übrigens: Dyndns kann die Sophos auch, da braucht man keine obskuren Clients auf Produktivsystemen installieren.
tomi93
tomi93 25.07.2016 um 12:16:01 Uhr
Goto Top
Ja, bis vor kurzem hatten wir keine Feste IP, das hat sich jetzt aber auch geändert.
Die Firewall kam auch erst anfang März dazu.
Chonta
Chonta 25.07.2016 um 13:04:54 Uhr
Goto Top
Hallo,

der DC ist die 192.168.70.200?

Ein DC ist DNS-Server und übernimmt für die Clients die Namensauflösun und ermittelt die IP zu diversen Webseiten.
Wenn jetzt in der Firewall ein Filter drin ist das Zugriffe auf die Seite nicht erlaubt ist...

Im DNS-Server kann man das Loggen einstellen, dann kann man nachverfolgen welcher Client welche Webseite öffnet.

In der Firewall kann man auch eine Regel erstlellen das der Dc immer eine Verbindung für DNS aufbauen darf.

Gruß

Chonta
St-Andreas
St-Andreas 25.07.2016 um 13:36:02 Uhr
Goto Top
Bei der Sophos wird ja gerade der DNS-Traffic über die Advanced Threat Protection überwacht und die vorliegende Anfrage ausgefiltert.
Viel mehr sollte man sicherstellen, dass nur die DNS-Server auf den DCs DNS-Anfragen ins Internet absetzen dürfen.

Aber Du hast Recht mit dem DNS-Log. Natürlich muss die Maleware nicht auf dem DC laufen, sondern kann auf einem beliebigen Client laufen, der für die DNS-Auflösung den DC nutzt. Da hilft tatsächlich nur das DNS-Logging auf dem DC (oder ein aktuelles Softwareinventory, da die Maleware offenbar "deinstalliert" werden kann).