Firewallereignisse erklären

Hallo,
mich irritieren einige Firewallereignisse:

Das abrupte Ende dieser fraglichen „Intruder“ um 16:56 Uhr lässt mich davon ausgehen, dass die Ursache in einem der eigenen internen Netze zu suchen ist.

Keine der beteiligten IP-Adressen ist (oder war) dem Anschluss zugeordnet.
Es gibt auch kein internes Netz 192.168.0.0

Gerät ist ein Lancom 1781EF+ mit FW 10.42.0473RU3 an einem FTTH-Anschluss der DTAG.

Hi!

Das 37er Netz gibt es wohl auch nicht?

Die 144er IP gehört einem Rechner von Hetzner, die oberste 185er gehört einem Rechner, dessen Domain zumindest mit ntp anfängt. Die anderen habe ich nicht geprüft. Aber da auch der Zielport ntp ist, würde ich davon ausgehen, dass tatsächlich wer versucht, eine Uhrzeit abzurufen.
Ohne Blick in die Pakete lässt sich da wenig sagen.
Allerdings ist die Auswahl merkwürdig. Man nutzt normalerweise die großen, bekannten Zeit-Server, oder irgendwas im eigenen Netz. Sowas verstreutes ist ungewöhnlich.

Die Anfragen kommen auch vom ntp-Port. Das bedeutet, daß Programm, das die Anfragen schickt, läuft mit Admin-Rechten, denn sonst dürfte es ihn kaum benutzen dürfen.

Wenn du die Quelle im eigenen Netz vermutest, könnte das ein angeschleppter Rechner oder eine kopierte virtuelle Maschine sein. Die Quelladresse ist schon ungewöhnlich.

Und du bist dir sicher, dass das nicht aus dem Internet rein kam?

Davon habe ich gestern 47 Stück gehabt.
Von extern sollten Pakete ja eigentlich gar nicht zu mir geroutet werden, deren Ziel-IP so ganz und gar nicht passt.

Groß beunruhigt bin ich nicht.

Bei sowas denke ich immer zuerst an einen Rechner, der eine NTP-Anfrage an einen Rechner unter pool.ntp.org macht. Das wird auch gerne von Hardwareherstellern in deren Firmware fest eingebaut.

pool.ntp.org ist ein Pool an NTP-Servern, an dem sich jeder beteiligen kann, die Zuordnung verläuft per DNS im Round-Robin-Verfahren. Daher können alle möglichen Zieladressen auftauchen.

Was meinst Du mit dem Satz?

1 Like

ist das diese Großveranstaltung?

Naja, dann würde ich mir erst recht keine Gedanken machen. Irgendein Rechner hatte aus irgendwelchen gründen die 37er IP, die nebenbei aus dem Adressbereich der Telekom stammt. Warum da ein Rechner war, der der Meinung war, noch diese IP zu haben? Keine Ahnung.

Aus dem WAN sollten keine Pakete zum Router geroutet werden, deren Ziel-IP-Adresse in keinster Weise zur WAN IP des Routers gehören.

Hat sich geklärt:
Ein mitgebrachter PC, der mit eben dieser 37er IP fest konfiguriert war. Der hing vorher direkt an einer SDSL-Leitung (da bekommst du von DTAG ein /29 Netz, also 8 IP Adressen, davon fünf nutzbar).
Und der suchte verzweifelt nach einer Zeitsynchronisation.

Groß ist relativ.
2. Bundesliga ist größer, Handball kleiner.
Irgendwo dazwischen.

Für einen Ort wie Balve ist das natürlich das jährliche Großereignis.
Für Reitfans auch.

Um das mal klar zu sagen: Ich gehöre nicht dazu.
Ich bin seit 8 Uhr hier, habe da mal eben schnell noch 90m Kabel verlegt und einen weiteren AccessPoint in Betrieb genommen. Seit 9:30 Uhr sitze ich hier im „Stand by“.

Das Aufregendste am ganzen Tag war ein AccessPoint, der auf einmal nicht mehr erreichbar war.
„Jemand“ (niemand, auf Nachfrage) hatte den abgesteckt und einen gammeligen Switch eingesteckt, damit er einen PC ins Netz bringen konnte. Am billigen Switch läuft der AP natürlich nicht, der hätte schon ganz gerne PoE oder zumindest ein Netzteil.

Natürlich niemand, wer sonst?!
Wir haben Access Points in der Schule bekommen, relativ viele, auch mit PoE. Letztens meldet ein Kollege, da stünde ein Router, der keine oder eine fehlerhafte LAN-Verbindung habe, er befürchtet auch, dass das Netzteil fehlt, aber auf jeden Fall hat der PC im Raum kein Internet. Ich traute meinen Augen nicht: der „Router“ (wie gesagt, eigentlich AP) hat zwei eingehende Netzwerkstecker. Hä?
„Ja, ich habe doch den PC am Router angeschlossen!“ Äh, Kollege, ihr sollt die Verkabelung in Ruhe lassen. Erstens ist das kein Router und zweitens fehlt dem Ding auch kein Strom. Gut, es stellte sich heraus, dass in dem Raum tatsächlich eine Netzwerkdose fehlte (es gibt noch ein drittes Gerät, welches LAN braucht, es gibt aber nur zwei Dosen), und wir haben das mit einem Miniswitch gelöst, aber ich könnte jeden Tag Bücher schreiben über Kollegen, die es nur gut meinen und mal eben irgendwelche Stecker umstecken. :face_with_symbols_over_mouth: Und dann kommt der Nächste und beschwert sich, dass nichts läuft.

Ein Client hat gestern versucht, sich beim Router einzuloggen.
Aussichtslos, das Kennwort ist ziemlich sicher, denn ich überwache den auch übers Internet. Nach dem dritten Versuch stellt sich der Router für 5min taub.

Na, ich habe dann gleich mal die betroffene MAC-Adresse kalt gestellt.

Das wird ja fast ein Tagebuch…

Falls sich jemand wundert, warum in der ARD-Sportschau um 16:28 ein Interview abgebrochen ist und kurz nur ein blauer Bildschirm zu sehen war:
Stromausfall im ganzen Ort.

Vorletztes Jahr regte ich die Anschaffung einer USV an, aber „Wir hatten hier noch nie Stromausfall.“

Was sonst noch war: Neuer Rekord, 282 GB Datenübertragung an einem Tag. Das entspricht ziemlich genau der Menge, die wir 2019 hatten - an allen fünf Tagen zusammen. Dabei kommen die beiden starken Tage noch.
Grob addiert bislang über 200 Clients, aber nur eines der VLANs könnte morgen kritisch werden, da hatte ich heute bereits knapp 90 Clients. Ich bin mir noch nicht sicher, ob ich morgen einen ganzen Bereich in ein Reserve-VLAN schmeiße oder an der Subnetzmaske schrauben soll.