Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall blockt mir unbekannt Ports

Frage Sicherheit Firewall

Mitglied: jenni

jenni (Level 1) - Jetzt verbinden

27.04.2011, aktualisiert 09:00 Uhr, 6590 Aufrufe, 10 Kommentare

Moin @ All!

Ich habe seit einiger Zeit einige Anfragen von IP-Adressen mit mir unbekannten Ports.
Die Firewall macht was sie soll und blockt diese.
Trotzdem möchte ich gerne wissen für was diese Ports stehen.

hier ein Auszug aus dem Log.

Ziel ist jedesmal das OWA meines Exchangeserver
f3c36e844404b6c3c0d5ff81332661bd - Klicke auf das Bild, um es zu vergrößern

gruß Jens
Mitglied: macowear
27.04.2011 um 09:13 Uhr
Vielleicht hilft dir diese Liste weiter:
http://www.iana.org/assignments/port-numbers
Bitte warten ..
Mitglied: jenni
27.04.2011 um 09:19 Uhr
Danke dir,

aber die habe ich schon durchgesehen, leider ohne erfolg.
das war das Erste was ich gemacht habe.

gruß Jens
Bitte warten ..
Mitglied: Nagus
27.04.2011 um 09:36 Uhr
Moin,
vermutlich versucht jemand einen Port-Scan bei dir, bzw. sucht nach Lücken ...

Mir ist auch nicht ganz klar was Du eigentlich wissen willst: es können sich viel Applikationen oder Dienste hinter verschiedenen Ports verstecken. Bspw. ist das Webinterface unsers Mailservers intern über Port 80 zu erreichen, aber nach "draußen" sieht das ganz anders aus ...

Gruß
Nagus
Bitte warten ..
Mitglied: jenni
27.04.2011 um 09:42 Uhr
Danke für deine Antwort.

es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das OWA war.
Bitte warten ..
Mitglied: Nagus
27.04.2011 um 10:52 Uhr
Zitat von jenni:
Danke für deine Antwort.

es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das
OWA war.

Naja - der wird die IP Deines OWA "mitbekommen" haben und darauf den Scan machen um raus zu bekommen was sich dahinter verbirgt um darauf einen möglichen Angriff auszuprobieren.
Bitte warten ..
Mitglied: brammer
27.04.2011 um 10:52 Uhr
Hallo,

da eigentlich nur die ersten 1024 als sogenannte "Well Known" Ports gelten, was bedeuten soll das hinter einem der 1024 Ports immer dieselbe Standardanwendung lauschen sollte,
und alle Ports oberhalb dieser Range nicht fest zugeordnet sind wird eine sichere Zuordnung schwierig.

Was da an Ports im Screenshot aber zulesen ist sind typische P2P Ports die für EMule und konsorten verwendet werden.
Das ist anscheinend an einfacher netscan über alle Ports, frei nach dem Motto "mal schauen wer antwortet..."

brammer
Bitte warten ..
Mitglied: sk
27.04.2011 um 11:13 Uhr
Zitat von jenni:
es ging mir darum ob jemand weiss wozu die Ports gehören bzw. welche Applikation dahinter steckt, weil das Ziel jedesmal das OWA war.

Ich nehme an, es geht Dir um die Source-Ports, denn die Destination-Spalte ist im Log unkenntlich gemacht.
Bei HTTP/S-Zugriffen (hier OWA) sind die Source-Ports (wie bei fast allen Protokollen) dynamisch. Für jede Session wird zwecks Unterscheidbarkeit wahlfrei ein anderer unprivilegierter Port größer 1023 benutzt. Je nach OS und Applikation mag dahinter auch mal ein wiedererkennbares Muster stecken, so dass man daraus mittels entsprechender Werkzeuge mit einiger Wahrscheinlichkeit auf das verwendete OS oder gar auf die Applikation schließen könnte (sog. Fingerprinting). Dass dafür aber das Muster der verwendeten Source-Ports genügt, halte ich für sehr unwahrscheinlich (zumal dies auch davon abhängig ist, welche Sockets gerade von anderen Applikationen benutzt werden). Zumindest beim OS-Fingerprinting werden jedenfalls ganz andere Kriterien herangezogen. Siehe z.B. http://www.computec.ch/_files/downloads/dokumente/auswertung/erkennen_v ...

Gruß
sk
Bitte warten ..
Mitglied: Ausserwoeger
27.04.2011 um 15:25 Uhr
Falls es dich intressiert was er genau macht meld dich bei Vodafone D2 Germany Gmbh sag ihnen das einer ihrer Kunden einen Portscan auf deine Firewall durchführt und das sie das unterbinden sollen oder die daten des kunden der zu der Zeit wo der Portscan ausgeführt wurde die IP 109.40.182.61 hatte herausgeben sollen. !

Komisch ist nur das die 80.187 usw. von T-Mobile ist und die 2.206 usw. bzw.die 109.40 von Vodafone.

Kannst ja mal bei vodafone anfragen. Gibt ja genug kontakte zu den IPs

person: Christoph Leifeld
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D-40547 Duesseldorf
address: Germany
phone: +49 211 533 3008 begin_of_the_skype_highlighting              +49 211 533 3008      end_of_the_skype_highlighting begin_of_the_skype_highlighting              +49 211 533 3008      end_of_the_skype_highlighting
e-mail:
nic-hdl: LEIF-RIPE
mnt-by: MMO-MNT
source: RIPE # Filtered

person: Herwarth Krey
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D-40547 Duesseldorf
address: Germany
phone: +49 211 533 2224
e-mail:
nic-hdl: KRHE1-RIPE
mnt-by: MMO-MNT
source: RIPE # Filtered

person: Stephan Braehler
address: Vodafone D2 GmbH
address: Am Seestern 5
address: D- 40547 Duesseldorf
phone: +49 211 533 2224

LG Andy
Bitte warten ..
Mitglied: sk
27.04.2011 um 17:29 Uhr
Zitat von Ausserwoeger:
Falls es dich intressiert was er genau macht meld dich bei Vodafone D2 Germany Gmbh sag ihnen das einer ihrer Kunden einen
Portscan auf deine Firewall durchführt und das sie das unterbinden sollen oder die daten des kunden der zu der Zeit wo der
Portscan ausgeführt wurde die IP 109.40.182.61 hatte herausgeben sollen. !

Zur allgemeinen Belustigung der dortigen Supportmitarbeiter.... *kopfschüttel*
Bitte warten ..
Mitglied: Ausserwoeger
27.04.2011 um 18:22 Uhr
Genau einfach nur um lestig zu sein !!

Was zu lachen ist doch auch was schönes !

LG Andy
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Exchange Server
gelöst Hosted Exchange Firewall Ports (4)

Frage von Axel90 zum Thema Exchange Server ...

Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (5)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...