Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall blockt Anfragen zum Verbindungsaufbau von verschiedenen IPs

Frage Sicherheit Firewall

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

29.08.2013, aktualisiert 09:04 Uhr, 2773 Aufrufe, 3 Kommentare

Hallo!

Ich habe soeben zum Troubleshooting das Liveprotokoll unserer Sophos-UTM geöffnet. Dabei ist mir aufgefallen, dass die FW immer wieder Anfragen von verschiedenen IP's mit dem Protokoll "Bittorrent" blockt.

Läuft bei uns etwa ein BitTorrent-Client wo gerade über P2P etwas geteilt werden will? Es kommen gefühlt alle 2 sec. zwei bis maximal vier Anfragen von verschiedenen öffentlichen IP's.

Screenshot:

e0b2c2e0a55dba0eb0bf5dd68ed252c0 - Klicke auf das Bild, um es zu vergrößern

(hoffe ihr könnt trotz der schwarzen Balken etwas damit anfangen)

Danke!

P.S.:
Immerhin ist die Sophos-FW-Komponente eine SPI-FW aber seit wann gibt's auf L3 das Protokoll "Bittorrent"?!
Mitglied: Dobby
29.08.2013, aktualisiert um 09:24 Uhr
Hallo,

es kann durchaus sein das "jemand" Eure IP Adresse fälscht (spoofed) und dann damit via BitTorrent Dateien aus dem Netz zieht,
und falls das jemandem auffällt, sagen wir mal von einem Rechteverwerter, dann wird er Euch anschreiben.

Denn Eure Firewall wird mittels SPI & NAT Funktion das ganze ja abblocken, da der Verkehr ja nicht durch jemanden in
Eurem Netzwerk initialisiert, also angestoßen, wurde!

Also ich denke eher dass bei Euch alles in Ordnung ist, obwohl man so etwas ja auch nie ganz ausschließen kann,
aber man kann ja auch auf allen Switche und Firewalls sowie den Routern die die Zeit genau gleich einstellen oder dieses
durch einen Netzwerk internen NTP Server sicherstellen lassen und dann alle Protokolldateien (Logfiles) auf einem Syslogserver
sichern, so das man später genau sagen kann wer das intern aus Eurem Netzwerk und vor allem zu welcher Tageszeit gemacht hat,
wenn es denn so gewesen ist! Und mittels eines WireShark Scans könnte man auch versuchen zu ermitteln, ob es sich zum einen
denn wirklich so verhält bzw. das es sich eben so nicht verhält und beides, die Protokolldateien und die Scanergebnisse von
WireShark hebt man dann zu Dokumentationszwecken auf, falls sich ein Rechteverwerter meldet mittels einen Anwalts meldet.

Die Verbindungsdaten von Eurem Provider (ISP), für Euren Internetzugang sind in der Regel die einzigen gerichtsverwertbaren
Beweise die auch anerkannt werden und zwar vor einem Gericht in Deutschland, obwohl auch immer der Einzelfall selbst
entscheidet, was ist, wie und wo genau gelaufen. Aber die kann man sich ja bei seinem Provider auch abholen dann hat man
ja auch noch die eigenen Protokolldateien die das ganze erhärten bzw. unterfüttern, dass man eben nicht selber oder
Mitarbeiter der eigenen Firma an so etwas beteiligt waren!

Einziger Fallstrick ist jedoch der WireShark den Einsatz sollte man sich vom Betriebsrat und Chef absegnen lassen
und wenn es geht dann schriftlich.

Gruß
Dobby


Hinweis
Es handelt sich hier um keine Rechtsberatung, sondern ausschließlich nur um den Meinungsaustausch zwischen Forumsmitgliedern!
Bitte warten ..
Mitglied: aqui
29.08.2013, aktualisiert um 10:34 Uhr
Zuallererst mal ist Bittorrent kein Protokoll um deinen Irrtum (oder Unwissen) hier aufzuklären, sondern eine Anwendung wie jeder weiss:
http://de.wikipedia.org/wiki/BitTorrent
Es nutzt unterschiedliche Protokolle zum Transport ! Sollte man auch eigentlich wissen als Firewall Administrator !
Es gibt es seit gut 10 Jahren....ist also uralt und jedem Netzwerker hinreichend bekannt speziell durch die zahlreichen Gerichtsverfahren im Zusammenhang mit illegalem File Sharing.

Es sind ja eingehende Bittorrent Versuche auf die interne xyz.247 IP Adresse (oder den WAN Port der FW)
Sowas ist durchaus üblich an jeglichen öffentlichen IP Anschlüssen im Sekundentakt.
Weiss jeder der mal für 5 Minuten einen Sniffer an seinem Internet Anschluss laufen lässt.
Damit bei dir da ja Schluss ist hast du ja eine Firewall die ja auch macht was sie soll wie man oben unschwer sieht, oder ?
Alles gut also....und hätte keines Threads hier bedurft.
Bitte warten ..
Mitglied: Philipp711
29.08.2013 um 11:37 Uhr
Danke für eure Antworten!

@aqui
Meine Frage am Ende war eher darauf bezogen, dass ich das verhalten der FW nicht verstehen konnte.
Sie zeigt, wie du auf dem Screenshot siehst, in der Spalte des Protokolls eindeutig "Bittorrent" an <- das ist mir so noch nie aufgefallen.
Als Netzwerker ist mir durchaus bekannt, dass "Bittorrent" in die Anwendungsschicht (laut TCP/IP-Modell) gehört und das eine FW auf den Transportlayer / Internetlayer arbeitet.
Daher habe ich diese klein, unwichtige Frage an das Ende gepackt, in der Hoffnung es könnte mir jemand erklären warum die FW auch "Dinge" aus Layer 5-7 kennt....Aber ich werde es jetzt einfach als "ist einfach so" abhacken.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (5)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...