elsancho
20.02.2006, aktualisiert um 19:48:14 Uhr
view5541
view9
0
Goto Top

Ports scan TCP - Beachtenswert oder nicht?

gelöstFrageSicherheitFirewall
Hallo zusammen,

eines gleich vorneweg - habe mich mit der Materie noch nicht weiter befasst und bin dementsprechend ahnungslos.
Habe ein Netzwerk (domäne) mit Anbindung ans Internet über einen Zyxel DSL Router. Dieser sendet mir täglich ein Protokoll zu bestimmten Ports Scans die stattgefunden haben. Dies sieht dann immer so oder ähnlich aus:

Source IP 192.168.XXX.XX:2098 Destination IP 204.71.130.72:80 ATTACK

Irgendwie kommt das ja aus meinem Netz (Source IP). Aber in wieweit ist das eine Attacke oder wie kann ich der Sache auf den Grund gehen?

Danke für Tipps & Gruß

ElSancho
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 26455

Url: https://administrator.de/contentid/26455

Ausgedruckt am: 26.11.2024 um 03:11 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
10545
10545 20.02.2006 um 15:19:05 Uhr
Goto Top
Moin,

die IP 204.71.130.72 gehört "Procter & Gamble" und weist auf PGcareers.com.
Port 80 ist der übliche HTTP-Port.

Warum da ein "Portscan" stattfindet (zumal er aus Deinem Netz HERAUS geht) würde ich ergründen!

Allerdings sollte man auch vorsichtig sein; man weiss ja nicht, ab wann für Zyxel ein Portscan stattfindet ...(Definitionsfrage).

Gruß, Rene
cykes
cykes 20.02.2006 um 15:32:06 Uhr
Goto Top
Das hat wohl der Chef bestimmt, damit keiner der Mitarbeiter von P&G abgeworben wird face-wink

Aber ich würde auch den Rechner, von dem das ausgeht eventuell mal mit einem Virenscanner checken, falls nicht sowieso installiert.
ElSancho
ElSancho 20.02.2006 um 15:47:16 Uhr
Goto Top
Erst mal danke für die schnellen Antworten!

Virenscanner sind auf allen Clients installiert und auf dem neuesten Stand. Öhmm, wie finde ich denn herraus welche IP auf wen weist? Mit der Whois - Abfrage z.B bei ripe.net funktioniert das irgendwie nicht...

Gibt es denn Ports die man "generell" sperren sollte ?

Gruß
cykes
cykes 20.02.2006 um 15:58:42 Uhr
Goto Top
Also Port 80 solltest Du nicht sperren, das ist der HTTP Port, dann wäre kein surfen mehr
möglich.
Vielleicht ist Eure Firewall ein bischen zu empfindlich eingestellt.

Habt ihr keinen Netzwerk-Plan, wo drin steht, welcher Rechner welche IP hat?

Gruss

cykes
ElSancho
ElSancho 20.02.2006 um 16:10:41 Uhr
Goto Top
Doch, schon. Ich kann jede IP einem PC zuweisen. Aber da das Protokoll vom Zyxel täglich bis zu Einträge beinhaltet käme ich ja aus dem recherchieren nicht mehr raus face-sad
Interessant wäre für mich zu wissen ob das meiste davon, wovon ich ausgehe, Fehlalarme sind, und wie ich diese deuten bzw. abstellen kann.
cykes
cykes 20.02.2006 um 16:13:59 Uhr
Goto Top
Wenn Du mehrere Alarme von unterschiedlichen internen (192.168.*.*) IPs hast, sind das Fehlalarme, wenn die alles als Ziel-Port Port 80 haben, würde ich zumindest sagen.
Dann würde ich die Einstellungen der Firewall mal überprüfen.
10545
10545 20.02.2006 um 16:54:01 Uhr
Goto Top
Moin,

zuweisen. Aber da das Protokoll vom Zyxel
täglich bis zu Einträge beinhaltet
käme ich ja aus dem recherchieren nicht
mehr raus face-sad

Kannst Du das Protkoll nicht als CSV exportieren? Dann könntest Du es in Excel mit "Autofilter" komfortabel sortieren face-wink

Öhmm, wie finde ich denn herraus welche IP auf wen weist? Mit der Whois - Abfrage z.B
bei ripe.net funktioniert das irgendwie nicht...

Verstehe ich recht, Du meinst die externen IP´s? Dann gucke Dir mal diese Seite an:
www.dnsstuff.com/
Ist meine Lieblingsseite zum "schnüffeln" face-wink

Gruß, Rene
ElSancho
ElSancho 20.02.2006 um 19:46:25 Uhr
Goto Top
Okay, habe mal einige überprüft - sind wirklich harmlos/Fehlalarme. Werde dann doch mal die Firewalleinstellungen prüfen (bzw.was da beim Zyxel so geht;)

Gruß

Wenn Du mehrere Alarme von unterschiedlichen
internen (192.168.*.*) IPs hast, sind das
Fehlalarme, wenn die alles als Ziel-Port
Port 80 haben, würde ich zumindest
sagen.
Dann würde ich die Einstellungen der
Firewall mal überprüfen.

ElSancho
ElSancho 20.02.2006 um 19:48:14 Uhr
Goto Top
Moin,

> zuweisen. Aber da das Protokoll vom
Zyxel
> täglich bis zu Einträge
beinhaltet
> käme ich ja aus dem recherchieren
nicht
> mehr raus face-sad

Kannst Du das Protkoll nicht als CSV
exportieren? Dann könntest Du es in
Excel mit "Autofilter" komfortabel
sortieren face-wink
Stimmt - sollte ich dann mal machen face-smile


> Öhmm, wie finde ich denn herraus
welche IP auf wen weist? Mit der Whois -
Abfrage z.B
> bei ripe.net funktioniert das irgendwie
nicht...

Verstehe ich recht, Du meinst die externen
IP´s? Dann gucke Dir mal diese Seite
an:
<a
href="http://www.dnsstuff.com/"
taregt="_blank">http://www.dnsstuff.com/</a>
Ist meine Lieblingsseite zum
"schnüffeln" face-wink

Gruß, Rene
Genau sowas habe ich gesucht. Thx
gelöstFrageSicherheitFirewall
Mehr von ElSanchoElSanchoTeamseite, Infoseite o.ä. gesuchtElSancho - 5 KommentareElSanchoD-Link DGS 3100 Access Error Data followsElSancho - 2 KommentareElSanchoJobverlauf ausblenden z.B. bei Konica Minolta bizhub C280ElSancho - 2 KommentareElSanchoKonica Bizhub und TerminalserverElSancho - 4 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareEnrixkHilfe bei Netzwerkinfrastruktur für AbschlussprojektEnrixk - 12 KommentareDaniSIP Zugangsdaten von Vodafone erhaltenDani - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare