Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall blockt Anfragen zum Verbindungsaufbau von verschiedenen IPs

Frage Sicherheit Firewall

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

29.08.2013, aktualisiert 09:04 Uhr, 2810 Aufrufe, 3 Kommentare

Hallo!

Ich habe soeben zum Troubleshooting das Liveprotokoll unserer Sophos-UTM geöffnet. Dabei ist mir aufgefallen, dass die FW immer wieder Anfragen von verschiedenen IP's mit dem Protokoll "Bittorrent" blockt.

Läuft bei uns etwa ein BitTorrent-Client wo gerade über P2P etwas geteilt werden will? Es kommen gefühlt alle 2 sec. zwei bis maximal vier Anfragen von verschiedenen öffentlichen IP's.

Screenshot:

e0b2c2e0a55dba0eb0bf5dd68ed252c0 - Klicke auf das Bild, um es zu vergrößern

(hoffe ihr könnt trotz der schwarzen Balken etwas damit anfangen)

Danke!

P.S.:
Immerhin ist die Sophos-FW-Komponente eine SPI-FW aber seit wann gibt's auf L3 das Protokoll "Bittorrent"?!
Mitglied: Dobby
29.08.2013, aktualisiert um 09:24 Uhr
Hallo,

es kann durchaus sein das "jemand" Eure IP Adresse fälscht (spoofed) und dann damit via BitTorrent Dateien aus dem Netz zieht,
und falls das jemandem auffällt, sagen wir mal von einem Rechteverwerter, dann wird er Euch anschreiben.

Denn Eure Firewall wird mittels SPI & NAT Funktion das ganze ja abblocken, da der Verkehr ja nicht durch jemanden in
Eurem Netzwerk initialisiert, also angestoßen, wurde!

Also ich denke eher dass bei Euch alles in Ordnung ist, obwohl man so etwas ja auch nie ganz ausschließen kann,
aber man kann ja auch auf allen Switche und Firewalls sowie den Routern die die Zeit genau gleich einstellen oder dieses
durch einen Netzwerk internen NTP Server sicherstellen lassen und dann alle Protokolldateien (Logfiles) auf einem Syslogserver
sichern, so das man später genau sagen kann wer das intern aus Eurem Netzwerk und vor allem zu welcher Tageszeit gemacht hat,
wenn es denn so gewesen ist! Und mittels eines WireShark Scans könnte man auch versuchen zu ermitteln, ob es sich zum einen
denn wirklich so verhält bzw. das es sich eben so nicht verhält und beides, die Protokolldateien und die Scanergebnisse von
WireShark hebt man dann zu Dokumentationszwecken auf, falls sich ein Rechteverwerter meldet mittels einen Anwalts meldet.

Die Verbindungsdaten von Eurem Provider (ISP), für Euren Internetzugang sind in der Regel die einzigen gerichtsverwertbaren
Beweise die auch anerkannt werden und zwar vor einem Gericht in Deutschland, obwohl auch immer der Einzelfall selbst
entscheidet, was ist, wie und wo genau gelaufen. Aber die kann man sich ja bei seinem Provider auch abholen dann hat man
ja auch noch die eigenen Protokolldateien die das ganze erhärten bzw. unterfüttern, dass man eben nicht selber oder
Mitarbeiter der eigenen Firma an so etwas beteiligt waren!

Einziger Fallstrick ist jedoch der WireShark den Einsatz sollte man sich vom Betriebsrat und Chef absegnen lassen
und wenn es geht dann schriftlich.

Gruß
Dobby


Hinweis
Es handelt sich hier um keine Rechtsberatung, sondern ausschließlich nur um den Meinungsaustausch zwischen Forumsmitgliedern!
Bitte warten ..
Mitglied: aqui
29.08.2013, aktualisiert um 10:34 Uhr
Zuallererst mal ist Bittorrent kein Protokoll um deinen Irrtum (oder Unwissen) hier aufzuklären, sondern eine Anwendung wie jeder weiss:
http://de.wikipedia.org/wiki/BitTorrent
Es nutzt unterschiedliche Protokolle zum Transport ! Sollte man auch eigentlich wissen als Firewall Administrator !
Es gibt es seit gut 10 Jahren....ist also uralt und jedem Netzwerker hinreichend bekannt speziell durch die zahlreichen Gerichtsverfahren im Zusammenhang mit illegalem File Sharing.

Es sind ja eingehende Bittorrent Versuche auf die interne xyz.247 IP Adresse (oder den WAN Port der FW)
Sowas ist durchaus üblich an jeglichen öffentlichen IP Anschlüssen im Sekundentakt.
Weiss jeder der mal für 5 Minuten einen Sniffer an seinem Internet Anschluss laufen lässt.
Damit bei dir da ja Schluss ist hast du ja eine Firewall die ja auch macht was sie soll wie man oben unschwer sieht, oder ?
Alles gut also....und hätte keines Threads hier bedurft.
Bitte warten ..
Mitglied: Philipp711
29.08.2013 um 11:37 Uhr
Danke für eure Antworten!

@aqui
Meine Frage am Ende war eher darauf bezogen, dass ich das verhalten der FW nicht verstehen konnte.
Sie zeigt, wie du auf dem Screenshot siehst, in der Spalte des Protokolls eindeutig "Bittorrent" an <- das ist mir so noch nie aufgefallen.
Als Netzwerker ist mir durchaus bekannt, dass "Bittorrent" in die Anwendungsschicht (laut TCP/IP-Modell) gehört und das eine FW auf den Transportlayer / Internetlayer arbeitet.
Daher habe ich diese klein, unwichtige Frage an das Ende gepackt, in der Hoffnung es könnte mir jemand erklären warum die FW auch "Dinge" aus Layer 5-7 kennt....Aber ich werde es jetzt einfach als "ist einfach so" abhacken.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Sticky Notes - Autostart unterbinden

(1)

Tipp von Pedant zum Thema Windows 10 ...

Ähnliche Inhalte
Flatrates
DeutschlandLAN der Telekom - welche internen IPs? (19)

Frage von qualidat zum Thema Flatrates ...

Windows Server
gelöst Windows Firewall via GPO (2)

Frage von Ghost108 zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst FritzBOX VPN FritzBox kein Verbindungsaufbau (17)

Frage von Dett18 zum Thema LAN, WAN, Wireless ...

Router & Routing
Firewall-Konfig für MPLS und Internet-Outbreak (4)

Frage von condor77 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
Tipps für Router (ca. 100 clients, VPN) (18)

Frage von oel-auge zum Thema Router & Routing ...

TK-Netze & Geräte
Convert von TAPI auf CAPI gesucht (12)

Frage von StefanKittel zum Thema TK-Netze & Geräte ...