Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Regelmäßiger Verbindungsaufbau über verschiedene Ports ( über ISDN VPN ) anforderung vom DC

Frage Sicherheit Firewall

Mitglied: haN85

haN85 (Level 1) - Jetzt verbinden

03.11.2006, aktualisiert 07.11.2006, 4142 Aufrufe, 5 Kommentare

Seit letztem Monat ist bei einem Kunden von uns die anzahl der aufgebauten ISDN Verbindung von ~400 auf ~1400 gestiegen.

Hallo Zusammen,

Situation:
Die Einwahl ist ausschliesslich über einen VPN Tunnel von A nach B möglich und erfolgt über einen Bianca BRICKS x3200 Router.
Dieser VPN Tunnel wird bei anfragen von jeder Seite aufgebaut.

Nach mitloggen über Syslog ist aufgefallen das der DC alle 3/4 Stunde eine Verbindung von Standort A nach Standort B aufbaut und diese für ca 60 Sekunden offen bleibt.

Der Verbindungsaufbau erfolgt allerdings immer über Verschiedene Ports.

Hier einige Beispiele:

2953
3026
3144
3261
3472

Das System bei Standort A wurde in letzter Zeit nicht verändert, es laufen keine ungewöhnlichen Prozesse, es sind keine ungewöhnlichen Autostart einträge vorhanden und es ist auch nichts im Task Planer eingerichtet.

Ein stätig aktueller Virenscanner ( McAfee ) ist ebenfalls vorhanden.

Spybot / Stinger usw. haben nichts gefunden.

Nach dem Verhaltensmuster würde ich schon auf einen Virus/Trojaner Tippen, konnte leider nach längerer Recherche im Internet nichts vergleichbares Finden.


Hat jemand vllt schon einmal so eine Erfahrung gemacht und kann mir eine Lösung für das Problem sagen oder vielleicht noch ein Paar Tips für das Troubleshooting.

Vielen Dank im Voraus

MfG

Hanno
Mitglied: Karo
03.11.2006 um 12:19 Uhr
Moin,

da es ein DC ist könnte es
ein Replication Versuch mit einem anderen (nicht vorhandenen) DC sein
DNS Service könnte versuchen sich wie o.e. abzugleichen
W32Time Server könnte auch eine Sync versuchen
.....

Karo
Bitte warten ..
Mitglied: haN85
03.11.2006 um 13:07 Uhr
Vielleicht sollte ich noch hinzufügen das dies nur einer von vielen Standorten ist, ich wiederhole noch einmal hier wurde in den letzten Monaten nichts geändert, mit einer eigenständigen Domäne in einem eigenen Subnetz.

Die Verbindung die aufgebaut wird, wird zum sogn. "Observer" aufgebaut der Quasi in der Zentrale ( Standort B ) steht und von dem aus alle Fernwartungs aufgaben erledigt werden.

Das Problem ist vorher nie aufgetreten, auch nicht in einer der zahlreichen anderen Standorte.


MfG

Hanno
Bitte warten ..
Mitglied: Karo
03.11.2006 um 13:26 Uhr
Hi,

dann solltet Ihr mal scheuen was für Pakete da gesendet werden (netmon, TCPView, Portmon etc. von MS/Sysinternals helfen da evtl weiter)

Karo
Bitte warten ..
Mitglied: gnarff
03.11.2006 um 21:49 Uhr
hallo haN85!

2953 OVALARMSRV
3026 AGRI Gateway
3144 Tarantella
3261 none
3472 unassigned
..
-offene ports des hosts auswerten und die an diesen gebundenen prozesse mit
Fport v2.0 von Foundstone: http://www.foundstone.com/
unter Resources > Free Tools > Intrusion detection Tools
log sichern und auswerten...

und dann z.b. IRIS Networkanalyzer, dieser hat die u.a faehigkeit
tcp sessions wieder herzustellen, ebenso die pakete...
ist eigentlich forensische software und teuer, gibt aber eine testversion;
http://www.eeye.com/html/products/iris/features.html

den zustand ueber eine woche hinweg protokollieren und auswerten, wenn du nicht weiterkommst oder zweifel hast, ein resume hier posten.

damit sollte es dir eigentlich gelingen der sache auf den grund zu gehen...

saludos
gnarff

[verdammt, ich lese gerade, die IRIs testversion arbeitet nur mit zufallig generierten daten. tja, muss ich nochmal schaun, was es da sonst noch gibt, was man unter windows einsetzen kann...]
Bitte warten ..
Mitglied: haN85
07.11.2006 um 09:31 Uhr
Vielen Dank für die vielen Tips,

ich habe dank tdimon herausgefunden das services.exe den verbindungsaufbau veranlasst konnte allerdings nicht herausfinden von welchem dienst genau.

Gibt es da auch noch Tools mit denen man das mitloggen kann ?

MfG

Hanno
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Sophos VPN - Interaktiver Verbindungsaufbau vor Login (8)

Frage von BirdyB zum Thema LAN, WAN, Wireless ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...

Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...