Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall blockt Anfragen zum Verbindungsaufbau von verschiedenen IPs

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

29.08.2013, aktualisiert 09:04 Uhr, 2949 Aufrufe, 3 Kommentare

Hallo!

Ich habe soeben zum Troubleshooting das Liveprotokoll unserer Sophos-UTM geöffnet. Dabei ist mir aufgefallen, dass die FW immer wieder Anfragen von verschiedenen IP's mit dem Protokoll "Bittorrent" blockt.

Läuft bei uns etwa ein BitTorrent-Client wo gerade über P2P etwas geteilt werden will? Es kommen gefühlt alle 2 sec. zwei bis maximal vier Anfragen von verschiedenen öffentlichen IP's.

Screenshot:

e0b2c2e0a55dba0eb0bf5dd68ed252c0 - Klicke auf das Bild, um es zu vergrößern

(hoffe ihr könnt trotz der schwarzen Balken etwas damit anfangen)

Danke!

P.S.:
Immerhin ist die Sophos-FW-Komponente eine SPI-FW aber seit wann gibt's auf L3 das Protokoll "Bittorrent"?!
Mitglied: 108012
29.08.2013, aktualisiert um 09:24 Uhr
Hallo,

es kann durchaus sein das "jemand" Eure IP Adresse fälscht (spoofed) und dann damit via BitTorrent Dateien aus dem Netz zieht,
und falls das jemandem auffällt, sagen wir mal von einem Rechteverwerter, dann wird er Euch anschreiben.

Denn Eure Firewall wird mittels SPI & NAT Funktion das ganze ja abblocken, da der Verkehr ja nicht durch jemanden in
Eurem Netzwerk initialisiert, also angestoßen, wurde!

Also ich denke eher dass bei Euch alles in Ordnung ist, obwohl man so etwas ja auch nie ganz ausschließen kann,
aber man kann ja auch auf allen Switche und Firewalls sowie den Routern die die Zeit genau gleich einstellen oder dieses
durch einen Netzwerk internen NTP Server sicherstellen lassen und dann alle Protokolldateien (Logfiles) auf einem Syslogserver
sichern, so das man später genau sagen kann wer das intern aus Eurem Netzwerk und vor allem zu welcher Tageszeit gemacht hat,
wenn es denn so gewesen ist! Und mittels eines WireShark Scans könnte man auch versuchen zu ermitteln, ob es sich zum einen
denn wirklich so verhält bzw. das es sich eben so nicht verhält und beides, die Protokolldateien und die Scanergebnisse von
WireShark hebt man dann zu Dokumentationszwecken auf, falls sich ein Rechteverwerter meldet mittels einen Anwalts meldet.

Die Verbindungsdaten von Eurem Provider (ISP), für Euren Internetzugang sind in der Regel die einzigen gerichtsverwertbaren
Beweise die auch anerkannt werden und zwar vor einem Gericht in Deutschland, obwohl auch immer der Einzelfall selbst
entscheidet, was ist, wie und wo genau gelaufen. Aber die kann man sich ja bei seinem Provider auch abholen dann hat man
ja auch noch die eigenen Protokolldateien die das ganze erhärten bzw. unterfüttern, dass man eben nicht selber oder
Mitarbeiter der eigenen Firma an so etwas beteiligt waren!

Einziger Fallstrick ist jedoch der WireShark den Einsatz sollte man sich vom Betriebsrat und Chef absegnen lassen
und wenn es geht dann schriftlich.

Gruß
Dobby


Hinweis
Es handelt sich hier um keine Rechtsberatung, sondern ausschließlich nur um den Meinungsaustausch zwischen Forumsmitgliedern!
Bitte warten ..
Mitglied: aqui
29.08.2013, aktualisiert um 10:34 Uhr
Zuallererst mal ist Bittorrent kein Protokoll um deinen Irrtum (oder Unwissen) hier aufzuklären, sondern eine Anwendung wie jeder weiss:
http://de.wikipedia.org/wiki/BitTorrent
Es nutzt unterschiedliche Protokolle zum Transport ! Sollte man auch eigentlich wissen als Firewall Administrator !
Es gibt es seit gut 10 Jahren....ist also uralt und jedem Netzwerker hinreichend bekannt speziell durch die zahlreichen Gerichtsverfahren im Zusammenhang mit illegalem File Sharing.

Es sind ja eingehende Bittorrent Versuche auf die interne xyz.247 IP Adresse (oder den WAN Port der FW)
Sowas ist durchaus üblich an jeglichen öffentlichen IP Anschlüssen im Sekundentakt.
Weiss jeder der mal für 5 Minuten einen Sniffer an seinem Internet Anschluss laufen lässt.
Damit bei dir da ja Schluss ist hast du ja eine Firewall die ja auch macht was sie soll wie man oben unschwer sieht, oder ?
Alles gut also....und hätte keines Threads hier bedurft.
Bitte warten ..
Mitglied: Philipp711
29.08.2013 um 11:37 Uhr
Danke für eure Antworten!

@aqui
Meine Frage am Ende war eher darauf bezogen, dass ich das verhalten der FW nicht verstehen konnte.
Sie zeigt, wie du auf dem Screenshot siehst, in der Spalte des Protokolls eindeutig "Bittorrent" an <- das ist mir so noch nie aufgefallen.
Als Netzwerker ist mir durchaus bekannt, dass "Bittorrent" in die Anwendungsschicht (laut TCP/IP-Modell) gehört und das eine FW auf den Transportlayer / Internetlayer arbeitet.
Daher habe ich diese klein, unwichtige Frage an das Ende gepackt, in der Hoffnung es könnte mir jemand erklären warum die FW auch "Dinge" aus Layer 5-7 kennt....Aber ich werde es jetzt einfach als "ist einfach so" abhacken.
Bitte warten ..
Ähnliche Inhalte
Firewall
Firewall blockt Anfragen
Frage von Jan1986Firewall4 Kommentare

Hallo zusammen, ich hab mir anzeigen lassen welche IP-Adressen unsere Firewall blockt und es sind schon mehrere Anfragen jeden ...

Netzwerke
Zywall Blockt Traffic von ASA Firewall
gelöst Frage von DoktorAerztNetzwerke7 Kommentare

Hallo Zusammen, wir sind aktuell dabei auf eine Cisco ASA 5516 umzusteigen. Unsere alte Firewall die ZyWALL USG 200 ...

Windows 10

Windows Firewall blockt, kann aber kein Zugriff gewähren

Frage von jimb0pWindows 106 Kommentare

Hallo Zusammen, nachdem ich meinen Laptop neu aufgesetzt und meine IDE installiert habe bekomme ich nach dem Starten von ...

Windows Server

Die Anfragen an DNS Resolver nur von bestimmten IPs erlauben.

gelöst Frage von unixminWindows Server4 Kommentare

Hallo zusammen, es geht um Windows Server 2008 SBS. Kann man im DNS (nicht in der Firewall) festlegen, von ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 14 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 18 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Ubuntu
Ubuntu - Routing mit 2 Netzwerkkarten?
Frage von gabrixlUbuntu13 Kommentare

Hei Folgende Situation: Ich habe zwei virtuelle Maschinen: 1 - Server für DHCP, DNS und Routing - Netzwerkkarte 1: ...