Auffälligkeiten in der Firewall

hardy2007 · Beitrag von **hardy2007** » 30 Sep 2016, 09:40

Hallo Zusammen,

ich sehe seit einigen Tagen immer wieder "Intuder detektion" in der Firewall (Lancom 1711VPN) die ich mir nicht erklären kann.
Die Quelladresse ist immer wahlose aus dem 10.0.0.0 Netz und die Zieladresse ist immer eine unserer Öffenlichen IPs. Wir habe aber intern kein
10.0.0.0 Netz.
Schaut euch mal die Bilder an, eins ist von der Firewall und das andere ein TCP Aufzeichnung vom DSL Port. Hier stimnt doch etwas nicht, kann es mir aber leider nicht erklären.
Hoffe jemand von Euch hat eine Rat.

Besten Dank!!

backslash · Beitrag von **backslash** » 30 Sep 2016, 12:47

Hi hardy2007,

keine Ahnung, wer dich da von aussen mit einer 10er-Adresse ansprechen will - vermutlich sucht da einer nach einem offenen DNS-Relay...

Da die 10er-Adresse aufgrund der Sperr-Route in der Routing-Tabelle auf keinem Interface erreichbar ist, wirft die Firewall halt eine IDS-Meldung - und das völlig berechtigt BTW: Wenn du die Sperr-Route löschst, dann erlaubst du das 10er-Netz auf der Default-Route und die IDS-Meldungen verschwinden - das dürfte aber nicht wirklich das sein, was du willst...

Gruß
Backslash

hardy2007 · Beitrag von **hardy2007** » 30 Sep 2016, 14:00

Hallo Backslash,

danke für deinen schnelle Antwort, aber wie kann es denn sein das mich eine Private Class A Netzadresse von aussen anspricht, die werden doch
garnicht ins Netz geroutet? Das war eigentlich meine Sorge, ob jemand in unserem Intanet Unfug treibt...

Beste Grüße
Hardy

backslash · Beitrag von **backslash** » 30 Sep 2016, 14:12

Hi hardy2007

Das war eigentlich meine Sorge, ob jemand in unserem Intanet Unfug treibt...

du schriebst aber, daß der tcpdump auf dem DSL-Interface gemacht wurde, d.h. die Pakete kommen auch vom WAN und nicht aus deinem Intranet...

aber wie kann es denn sein das mich eine Private Class A Netzadresse von aussen anspricht, die werden doch
garnicht ins Netz geroutet?

normalerweise sollten die auch nicht *ins Internet* geroutet werden... Ich kenne aber die Infragstruktiur deiner WAN-seitigen Anbindung nicht... Wenn du z.B. in einem Kabel-Netz hängst und der Kabelprovider für seine "normalen" Kunden private Adressen vergibt (die er dann Richtung Internet NATted), dann könnten halt ein paar Script-Kiddies in deiner Nacharschaft oder ein paar übernommene PCs, die direkt am Kabelanschluß hängen, auch Pakete mit 10er-Adressen als Absenderadresse schicken. Da wären dann die 10er Adresse im lokalen Netz des Providers und würden von ihm somit auch intern geroutet...

Gruß
Backslash

hardy2007 · Beitrag von **hardy2007** » 30 Sep 2016, 14:51

Hallo Backslash,

nochmals Danke für die ausfühliche Antwort. Du hast Recht die Pakete sind ja nur auf dem DSL Port, also mach mir erstmal
keine weiteren Gedanken. Aber ein bisschen Spooky ist das schon, da diese Leitung eine SDSL der Telkom ist.

Beste Grüße
Hardy

COMCARGRU · Beitrag von **COMCARGRU** » 30 Sep 2016, 15:00

Aber ein bisschen Spooky ist das schon, da diese Leitung eine SDSL der Telkom ist.

Dann hast du doch recht sicher einen Bridge-Router von der Telekom da stehen? Die werden dafür dann auch recht wahrscheinlich ein internes Verwaltungsnetz haben? Ggf. läuft dort was schief?

hardy2007 · Beitrag von **hardy2007** » 30 Sep 2016, 15:11

Richtig, so etwas änhnliches hatte ich auch schon vermutet. Ich werde einfach mal ein Ticket bei der Tcom eröffnen
und diese bitten Ihren Cisco zu überprüfen.
Gute Idee, Danke...

LANCOM-Forum.de

Auffälligkeiten in der Firewall

Auffälligkeiten in der Firewall

Re: Auffälligkeiten in der Firewall

Re: Auffälligkeiten in der Firewall

Re: Auffälligkeiten in der Firewall

Re: Auffälligkeiten in der Firewall

Re: Auffälligkeiten in der Firewall

Re: Auffälligkeiten in der Firewall