Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 38 subscribers
  • Views 1375 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS zählt unzählige Portscans

tomtomtom
Hi Leute,

wir haben hier bei uns einen Arbeitsplatzrechner, welcher angeblich ständig Portscans durchführt. Der Rechner wurde erst vor zwei Tagen neu aufgesetzt, um Viren oder Trojaner einigermaßen auszuschließen, da schon auch davor die IPS immer bei dem Rechner anschlug.

Allein bis jetzt sind es am heutigen Tag fast 900 Einträge im Log.

Ich hab auf dem Rechner schon ein Tool installiert, welches den Netzverkehr beobachtet. Da ist kein Programm was ich nicht kenne bzw. ein Virus oder Trojaner sein sollte. Ein Virenscan hat auch nix ergeben.

Hier mal eine Zeile aus dem Log:

2009:10:09-09:57:32 gw ulogd[3502]: id="2102" severity="info" sys="SecureNet" sub="ips" name="portscan detected" action="portscan" fwrule="60017" seq="0" initf="eth0" outitf="eth2" dstmac="00:14:5e:fd:ba:7a" srcmac="00:15:17:76:67:fa" srcip="10.0.0.210" dstip="174.112.211.133" proto="17" length="50" tos="0x00" prec="0x00" ttl="127" srcport="40183" dstport="25216"

Kann mir jemand sagen was fwrule="60017" für eine Regel auf der Astaro ist?
Hat jemand noch eine Idee zu eruieren durch was die Portscans ausgelöst werden?


This thread was automatically locked due to age.
  • 0
    Mir ist gerade noch etwas rätselhaftes aufgefallen ...

    dstmac="00:14:5e:fd:ba:7a" srcmac="00:15:17:76:67:fa" srcip="10.0.0.210" dstip="188.231.131.119"

    srcmac="00:15:17:76:67:fa" = Karte der Astaro ins Internet
    dstmac="00:14:5e:fd:ba:7a" = Karte der Astaro in Intranet

    Wie kann dann die Source aus dem internen Netz kommen? (srcip="10.0.0.210")
  • 0 in reply to tomtomtom
    Hallo tomtomtom,

    läuft auf dem Rechner ein IIS oder ein SQL-Client mit Verbindung zu einem IIS?

    Hier ein kurzer Auszug aus einem IIS-Protokoll:
    ...at VaultServiceSQL.VaultSqlSCC.ReleaseLocks(VaultSqlConn conn, Int32 nUserID, String strHostname, Int32 nRepID, String strXml, Boolean bUseUserID)
    ----5/24/20** 12:53:42 AM    mshe--CPE000f66c58f6b-CM000e5cdfdf76.cpe.net.cable.rogers.com(99.237.237.96)--SSL Enabled  


    Die IP 174.112.211.133, welche in Deinem Logfile auftaucht, verweist ebenfalls genau auf diesen Server "cpe.net.cable.rogers.com"

    Wenn ja, lege die Dienste mal lahm. Tritt das Problem bei gestopptem IIS oder SQL-Client weiter auf?

    Gruß
    UZiegler
  • 0 in reply to uziegler
    Hallo tomtomtom,

    läuft auf dem Rechner ein IIS oder ein SQL-Client mit Verbindung zu einem IIS?

    Hier ein kurzer Auszug aus einem IIS-Protokoll:


    Die IP 174.112.211.133, welche in Deinem Logfile auftaucht, verweist ebenfalls genau auf diesen Server "cpe.net.cable.rogers.com"

    Wenn ja, lege die Dienste mal lahm. Tritt das Problem bei gestopptem IIS oder SQL-Client weiter auf?

    Gruß
    UZiegler

    Hallo UZiegler,

    nein auf dem Rechner läuft nichts dergleichen, es ist ein ganz normaler Desktop Client mit Windows XP SP3.
  • 0
    Ehhm, läuft da zufällig SKYPE auf dem Rechner ?
    Deswegen hatte ich vor langer Zeit auch mal wie verrückt nach Trojanern gesucht.
    Gruss, Karsten
  • 0 in reply to KKnecht
    Ehhm, läuft da zufällig SKYPE auf dem Rechner ?
    Deswegen hatte ich vor langer Zeit auch mal wie verrückt nach Trojanern gesucht.
    Gruss, Karsten

    Ich glaube ja! Wieso registriert das die Astaro als Portscan?

    Das passiert übrigens erst seit dem letzten Update auf 7.500.

    Mich wundert, dass Skype aber auch so viele Verbindungen versucht aufzubauen.

    Hast du die IPS Rule für Instant Messaging deaktiviert oder eine Exception für diesen Rechner gemacht?

    Wir hatten auch arge Probleme mit ICQ nach dem Update. Sogar das editieren von Webseiten mit unserem CMS ging teilweise nicht. Astaro die entsprechenden Rules wohl schon mit einem Pattern-Update gelöscht.
  • 0
    Hallo zusammen

    Mit dem MSN Messenger hat man Probleme dass man sich nicht mehr einloogen kann.

    Gruss M
  • 0
    @tomtomtom:
    Mich wundert, dass Skype aber auch so viele Verbindungen versucht aufzubauen.

    Jedes aktive Skype-Programm verbindet sich sofort mit dem Skype-Netzwerk, indem es einzelne Verbindungen zu anderen Skype-Programmen aufbaut. Über diese Verbindungen wird bekannt gemacht, wie der entsprechende Teilnehmer erreichbar ist. Skype nutzt dieses so entstandene Peer-to-Peer-Netzwerk nicht nur zur Signalisierung, sondern auch zur Suche nach anderen Teilnehmern und zur Verwaltung der eigenen Public Key-Infrastruktur. Ein Skype-Programm kann zur Relaisstation für andere Nutzer werden, indem es Telefongespräche zwischen beiden Nutzern weiterleitet, wenn diese sich nicht direkt erreichen können. Hat ein Nutzer eine besonders gute und stabile Verbindung zum Internet, so ist es möglich, dass sein Programm zum Supernode wird und damit als Einwahlknoten für Skype fungiert, was mit deutlich höherer Belastung seines Netzwerkes (mehrere Gbyte/Tag) verbunden ist. Es besteht keine Möglichkeit, durch Konfigurationseinstellungen diesen Vorgang zu verhindern. 
    Quelle: Skype: Grenzenlose Kommunikation mit Gefahrenpotenzial

    Prüfe doch bitte mal Deine Einstellungen im Menü [B]IM/P2P[/B]
    Hast Du diesen aktiviert und wenn ja, welche Einstellung hast Du bei Skype vorgenommen ?

    @moddix:
    Vielleicht einen eigenen Thread wert, mit etwas mehr Details ?
    Bei mir läuft ASG 7.500 mit Messenger 2009 (Build 14.0.8064.206) und alles funktioniert zur vollsten Zufriedenheit.
    MSN Messenger steht in meiner ASG mit "Do not control".

    Gruss, Karsten
  • 0
    Habe noch eine klasse Aussage gefunden, die ich Euch nicht vorenthalten möchte !!
    Im Idealfall sind TCP-Verbindungen für alle Anschlüsse (1.65535) geöffnet. Diese Option sorgt dafür, dass Skype verlässlich funktioniert. Dies ist nur nötig, damit sich Skype mit dem Skype-Netzwerk verbinden kann, und hat keine Auswirkung auf die Sicherheit Ihres Netzwerks.
     Quelle: Skype und Firewalls

    Ich schmeiß mich weg !! Einfach allen Usern eine *ANY *ANY Regel geben und Skype funktioniert !![:O]  [H]  
    LOL
  • 0 in reply to KKnecht

    Prüfe doch bitte mal Deine Einstellungen im Menü [B]IM/P2P[/B]
    Hast Du diesen aktiviert und wenn ja, welche Einstellung hast Du bei Skype vorgenommen ?

    Steht nur auf "Log" ... ich will es aber auch nicht ganz deaktivieren!
    Ich werd mal ein Case bei Astaro selbst aufmachen, sonst ersticken wir noch in den Log-Meldungen.

    Habe noch eine klasse Aussage gefunden, die ich Euch nicht vorenthalten möchte !!
     Quelle: Skype und Firewalls

    Ich schmeiß mich weg !! Einfach allen Usern eine *ANY *ANY Regel geben und Skype funktioniert !![:O]  [H]  
    LOL

    Die haben fast schon Recht. Auswirkungen wird es nicht geben, wenn das schon immer so gehandhabt wurde, denn es kann einfach nicht schlimmer werden [;)] [:D]
Unfiltered HTML