Hallo Zusammen.
Ich habe nun mal (vorab nur für die DMZ) eine Deny-All Strategie umgesetzt. In der DMZ hängt eigentlich nur ein Fon-AP und mein SB-Server mit der 'öffenlichen' Netzwerkkarte (Exchnage etc.). Klappt soweit auch alles ganz gut ...
Seltsam sind nur folgende Zugriffe aus der DMZ, die ich mir nicht erkären kann:
Src: 10.0.0.11:443 Dst: 84.169.239.xxx:60756 {ROUTER} (TCP)
Dabei ist die 10er Adresse mein Server und die Dst. meine aktuelle öffentliche Adresse beim Provider. Was sind das für Zugriffe vom HTTPS Port (ist immer so) zu einem variablen Port > 1000? DynDNS?
Des weiteren gibt es regelmäßig Einträge dieser Art:
Src: 192.168.253.1:123 Dst: xx.xx.xx.xx:123 (UDP)
intruder detection
Src und Port sind immer gleich, nur Dst. Adresse ist verschieden!
Diese kommen von VMware - glaube ich. Zumindest kommt die xxx von einem virtuellen Netzwerkadapter (VMnet8 NAT). Aber was oder warum macht er das - VMware läuft nicht?
Danke für einen Tipp,
Pauli
Seltsame Zugriffe?
Moderator: Lancom-Systems Moderatoren
Hallo Manfred,
Danke für Deine Hilfe. Das durch meine DENY-ALL Regel der Port gesperrt ist und deshalb die Meldung kommt war mir klar. Ich möchte nur Wissen wer oder was da probiert über 123 zu senden und wohin?
Bei den anderen Zugriffen tippst Du auf den Virenscanner. Müsste eine HTTPS Anfrage nicht auf Port 443 gehen und nicht von diesem kommen?
Danke, Pauli
Danke für Deine Hilfe. Das durch meine DENY-ALL Regel der Port gesperrt ist und deshalb die Meldung kommt war mir klar. Ich möchte nur Wissen wer oder was da probiert über 123 zu senden und wohin?
Bei den anderen Zugriffen tippst Du auf den Virenscanner. Müsste eine HTTPS Anfrage nicht auf Port 443 gehen und nicht von diesem kommen?
Danke, Pauli
Hi Pauli,
Verbindungen an seine öffentliche IP maskiert das LANCOM nämlich und verwendet dafür einen Port zwischen 57344 (0xe000) und 61440 (0xf000)
Gruß
Backslash
das könnten "verspätete" Antworten auf HTTPS-Sessions sein, die vom LAN aus an die öffentliche IP und den an den Server weitergeleiteten SSL-Port gerichtet wurden, und die das LANCOM schon wieder geschlossen hat.Src: 10.0.0.11:443 Dst: 84.169.239.xxx:60756 {ROUTER} (TCP)
Dabei ist die 10er Adresse mein Server und die Dst. meine aktuelle öffentliche Adresse beim Provider. Was sind das für Zugriffe vom HTTPS Port (ist immer so) zu einem variablen Port > 1000? DynDNS?
Verbindungen an seine öffentliche IP maskiert das LANCOM nämlich und verwendet dafür einen Port zwischen 57344 (0xe000) und 61440 (0xf000)
Wenn du kein Netz 192.168.253.x hast, dann ist die IDS-Meldung auch vollkommen korrekt, denn arbeitet jemand mit "gefälschten" IP-Adressen (zumindest mit Adressen, die es in deinem Netz nicht geben darf)Des weiteren gibt es regelmäßig Einträge dieser Art:
Src: 192.168.253.1:123 Dst: xx.xx.xx.xx:123 (UDP)
intruder detection
Src und Port sind immer gleich, nur Dst. Adresse ist verschieden!
Gruß
Backslash
Super und Danke für die Antwort.
Die Geschichte mit den verspäteten Antworten scheint wirklich so zu sein - sprich das passt.
Bei der 192.168.253.1 passt die Adresse zu dem Netz der virtuellen VMware Einstellung und wer weiß was da so alles gemacht wird oder warum die Adresse über UDP 123 raus will?
Also ich denke soweit ist alles gut und ich gebe mich vorerst zufrieden mit dem was ich darüber weiß ...
Gruß, Pauli
Die Geschichte mit den verspäteten Antworten scheint wirklich so zu sein - sprich das passt.
Bei der 192.168.253.1 passt die Adresse zu dem Netz der virtuellen VMware Einstellung und wer weiß was da so alles gemacht wird oder warum die Adresse über UDP 123 raus will?
Also ich denke soweit ist alles gut und ich gebe mich vorerst zufrieden mit dem was ich darüber weiß ...
Gruß, Pauli
-
Transcendence
- Beiträge: 144
- Registriert: 21 Okt 2006, 15:28
Hallo Pauli,
die Meldung zu UDP Port 123 ist normal, wenn Du VMware Workstation auf Deinem Rechner installiert hast. Workstation richtet mehrere Netzwerke ein und kümmert sich dabei nicht um die tatsächlich bei Dir verwendeten Netze.
Das Netzwerk, das Du in den Firewallmeldungen siehst, findest Du im Virtual Network Managerals VMnet1 (Host-only). Da dieses Netzwerk Host-only sein soll, darf es gar nicht zu Deinem übrigen Netzwerk passen.
Für dieses Netzwerk versucht der Network Manager Zeitdaten über Port 123 von einem NTP-Server zu holen - normalerweise bei jedem Neustart des Rechners. In diesem Moment kommt der Lancom ins Spiel, der merkt, dass das Netzwerk nicht passt, und den Zugriff darum blockt.
Eine übrigens sehr sinnvolle Maßnahme (kann z.B. DNS Amplification Attacs verhindern - das sind DDOS-Angriffe, die auf DNS-Antworten zu Anfragen von gespooften IP-Adressen basieren). An deren Einsatz hat VMware wohl nicht gedacht. Das haben leider nicht mal alle Provider richtig implementiert, darum laufen zurzeit auf vielen Nameservern die Logs mit DNS-Anfragen aus Netzen voll, die nicht prüfen, ob die anfragenden (gespooften) IP-Adressen überhaupt aus ihrem Bereich stammen. Da nicht alle Nameserver sauber konfiguriert sind und solche Anfragen von außen abweisen, werden die Opfer massiv beeinträchtigt.
Grüße
T.
die Meldung zu UDP Port 123 ist normal, wenn Du VMware Workstation auf Deinem Rechner installiert hast. Workstation richtet mehrere Netzwerke ein und kümmert sich dabei nicht um die tatsächlich bei Dir verwendeten Netze.
Das Netzwerk, das Du in den Firewallmeldungen siehst, findest Du im Virtual Network Managerals VMnet1 (Host-only). Da dieses Netzwerk Host-only sein soll, darf es gar nicht zu Deinem übrigen Netzwerk passen.
Für dieses Netzwerk versucht der Network Manager Zeitdaten über Port 123 von einem NTP-Server zu holen - normalerweise bei jedem Neustart des Rechners. In diesem Moment kommt der Lancom ins Spiel, der merkt, dass das Netzwerk nicht passt, und den Zugriff darum blockt.
Eine übrigens sehr sinnvolle Maßnahme (kann z.B. DNS Amplification Attacs verhindern - das sind DDOS-Angriffe, die auf DNS-Antworten zu Anfragen von gespooften IP-Adressen basieren). An deren Einsatz hat VMware wohl nicht gedacht. Das haben leider nicht mal alle Provider richtig implementiert, darum laufen zurzeit auf vielen Nameservern die Logs mit DNS-Anfragen aus Netzen voll, die nicht prüfen, ob die anfragenden (gespooften) IP-Adressen überhaupt aus ihrem Bereich stammen. Da nicht alle Nameserver sauber konfiguriert sind und solche Anfragen von außen abweisen, werden die Opfer massiv beeinträchtigt.
Grüße
T.