Intruder Detection im 5 Minuten Takt

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
f0rce
Beiträge: 4
Registriert: 27 Jan 2018, 10:24

Intruder Detection im 5 Minuten Takt

Beitrag von f0rce »

Hallo Lancomforum,

OFFTOPIC ich bin leider absolut überfordert mit der Technik die die Telekom unserem Familienbetrieb verkauft hat. Wir haben hier einen 1783VAW Lancom Router, der unsere Fritzbox ersetzt hat, weil die Fritzbox angeblich der Grund dafür war dass die neue Telefonanlage (SWXY Anlage, ebenfalls über die Telekom eingerichtet und erworben) sporadische aussetzer hat.

Nun haben wir seit zwei Wochen das Problem, das Anrufer teilweise nicht durchkommen und nach dem ersten Klingelzeichen ein "Besetztzeichen" erhalten. Bei der Telekom jemanden zu finden der die Hardware nicht nur verkaufen sondern auch bedienen kann erweist sich als schwierig.

PROBLEM
Wir bekommen in einem mehr oder weniger regelmäßigen Rhythmus TCP Anfragen, die unsere Firewall wohl als Angriff deutet und verwirft. Ich glaube nicht, dass es ein Angriff ist. Hatte die IPs mal im internet nachgeschaut und das scheint wohl mehr oder weniger Telekom Infrastruktur zu sein und der Google DNS. Was mich ein bisschen kribbelig macht ist die Tatsache, dass
1. die Ports (die ich der VOIP Telefonie zuordne) immer weiter Ansteigen (seit 2 Wochen!)
2. ich aus unserem Netzwerk auch "kerwgjdfvk343tefd.dorfffpppp" anpingen kann und 100% der Pakete ankommen, was wenn ich mich recht entsinne ein Zeichen dafür ist, dass unser Traffic über einen Dritten weitergeleitet/abgefangen wird? Habe die Holzhammer Methode des "Ich start mal den Router neu" ebenfalls schon ausprobiert, was aber leider keine Besserung gebracht hat.

Fragen
Ist das überhaupt ein Angriff?
Soll ich vielleicht einfach ausnahmen für die IPs in der Firewall erstellen?
Findet sich hier vielleicht jemand aus dem Rheinland der gegen Bezahlung die Hilfe übernehmen kann/möchte?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Intruder Detection im 5 Minuten Takt

Beitrag von ua »

Hi,
wurde der Router vom T nur verkauft oder auch installiert?
Normalerweise sind die Router auch im Service, bitte mal nachschauen, dafür gibt es dann aber auch eine Hotline (die können auch was!).
Die Source Adresse ist eine Multicast-Adressen, die kommt sowieso nicht über den nächsten Router beim Provider.
Einfach eine FW-Regel bauen, alternativ (und besser) mal nachschauen welches interne Gerät sich so verhält.

Welchen DNS-Server haben denn Deine Clients eingetragen, die interne IP des Lancom oder den 8.8.8.8?
Was meinst Du mit
die Ports (die ich der VOIP Telefonie zuordne) immer weiter Ansteigen (seit 2 Wochen!)
?
Das jede domain auflösbar ist, wundert mich aber schon sehr, das würde mir auch nicht gefallen.
Mach mal auf einem betroffenen Rechner ein "nslookup -all" und schau mal welcher DNS eingetragen ist.

VG aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: Intruder Detection im 5 Minuten Takt

Beitrag von andreas »

Hallo zusammen,
ua hat geschrieben:Das jede domain auflösbar ist, wundert mich aber schon sehr, das würde mir auch nicht gefallen.
Das wird vermutlich die "tolle" Navigationshilfe der Telekom sein, die bei unbekannten Adressen eine Suchseite anbietet.

Kann man abschalten:
https://kundencenter.telekom.de/kundenc ... index.html

VG
Andreas
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Intruder Detection im 5 Minuten Takt

Beitrag von ua »

Hallo Andreas,
Das wird vermutlich die "tolle" Navigationshilfe der Telekom sein, die bei unbekannten Adressen eine Suchseite anbietet.
Asche auf mein Haupt, an den Quatsch habe ich gar nicht gedacht ...

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Intruder Detection im 5 Minuten Takt

Beitrag von 5624 »

Da die Pakete verworfen wurden, besteht keine Gefahr.

Hierbei handelt es sich um Pakete, die nach einer beendeten Verbindung noch nachgeliefert werden. Manchmal hängen Anfragen im System fest (merkt man ja manchmal, dass eine Seite nicht laden will oder ein Teil fehlt) und dein Rechner stellt die gleiche Anfrage nochmal, diesmal mit einem Ergebnis. Die erste Anfrage wird dann irgendwann beantwortet, aber die Verbindung ist bereits beendet. Dann schlagen die Antwortpakete einfach außen an der Firewall an und erzeugen sowas.

Wenn es im fünf Minuten-Takt erfolgt, ist es harmlos, wenn sowas 50x pro Sekunde passiert, kann man es als Angriff werten.
LCS NC/WLAN
Antworten