Hallo, ich bin echt anfänger was sicherheit betrifft. Beim durchsehen von /var/log/warn idt mir jedoch folgendes aufgefallen:

Nov 26 01:43:31 s169 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:c0:df:13:32:80:0
0:c0:49:14:38:9e:08:00 SRC=131.159.72.23 DST=10.1.101.169 LEN=60 TOS=0x00 PREC=0
x00 TTL=42 ID=25595 DF PROTO=TCP SPT=20 DPT=1242 WINDOW=57344 RES=0x00 SYN URGP=
0 OPT (020405B4010303000101080A0531369800000000)
Nov 26 01:43:44 s169 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:c0:df:13:32:80:0
0:c0:49:14:38:9e:08:00 SRC=131.159.72.23 DST=10.1.101.169 LEN=60 TOS=0x00 PREC=0
x00 TTL=42 ID=11788 DF PROTO=TCP SPT=20 DPT=1245 WINDOW=57344 RES=0x00 SYN URGP=
0 OPT (020405B4010303000101080A05313B9500000000)
Nov 26 01:43:48 s169 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:c0:df:13:32:80:0
0:c0:49:14:38:9e:08:00 SRC=131.159.72.23 DST=10.1.101.169 LEN=60 TOS=0x00 PREC=0
x00 TTL=42 ID=29081 DF PROTO=TCP SPT=20 DPT=1248 WINDOW=57344 RES=0x00 SYN URGP=
0 OPT (020405B4010303000101080A05313D4E00000000)
Nov 26 01:43:51 s169 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:c0:df:13:32:80:0
0:c0:49:14:38:9e:08:00 SRC=131.159.72.23 DST=10.1.101.169 LEN=60 TOS=0x00 PREC=0
x00 TTL=42 ID=40722 DF PROTO=TCP SPT=20 DPT=1254 WINDOW=57344 RES=0x00 SYN URGP=
0 OPT (020405B4010303000101080A05313E8600000000)
Nov 26 01:43:57 s169 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:c0:df:13:32:80:0
0:c0:49:14:38:9e:08:00 SRC=131.159.72.23 DST=10.1.101.169 LEN=60 TOS=0x00 PREC=0
x00 TTL=42 ID=64142 DF PROTO=TCP SPT=20 DPT=1260 WINDOW=57344 RES=0x00 SYN URGP=
0 OPT (020405B4010303000101080A053140D500000000)
...
Was hat das zu bedeuten?

Ich befinde mich hinter einem NAT-Gateway, eigentlich sollte niemand ausserhalb des Gateways meine IP kennen, und 131.159.72.23 gibts nicht bei uns im netz. will mich da einer nerven?

hi

das dürfte eine ftp-verbindung sein, ob die allerdings von innen gestartet wurde, kann ich dir nicht sagen.

131.159.72.23 => ftp.leo.org


Gruß HL

Hi,

ftp.leo.org bietet der SuSE YOU zur Auswahl an, vermutlich kommt das daher.

Ciao, Bernie

Hallo felix_do,

dein Logeintrag ist eine ftp-Verbindung, bei der sich jemand Daten vom Server 137.159.72.23 (ftp.leo.org lt. HangLoose) gezogen hat.

Die Ziel-IP ist eine sogenannte "private"-IP. Sie ist im Internet nicht vorhanden, sondern nur in (diversen) Firmennetzen (und privaten Netzen).

Wenn du die Möglichkeit hast, kannst du ja mal einen Ping von aussen auf die IP 10.1.101.169 machen.


Viele Grüße,
CEROG

Original geschrieben von felix_do
Ich befinde mich hinter einem NAT-Gateway, eigentlich sollte niemand ausserhalb des Gateways meine IP kennen, und 131.159.72.23 gibts nicht bei uns im netz. will mich da einer nerven?
In diesem einen Satz hast Du sowohl eine Frage formuliert, als auch die Antwort selbst gegeben :D
Niemand aus dem externen Netzwerk kennt Deine IP-Adresse; das NAT-Gateway jedoch sehr wohl.

Und: Das NAT-Gateway scheint recht schlau zu sein, da es offensichtlich ein Connection-Tracking für FTP macht, denn die geloggten Pakete sind TCP-Verbindungsaufbaupakete vom externen Server auf Deinen Rechner und ein solcher rückwärtiger Connect wird nur dann gemacht, wenn Dein Client vorher ein entsprechendes Kommando an den FTP-Server übermittelt hat. Der Absenderport des Externen ist 20, der Zielport auf Deinem Rechner > 1023.

Das alles sind Indizien für eine aktive FTP-Session. bernie hat hier wohl den Treffer gelandet, denn:
1. hat der Host ftp.leo.org die IP-Adresse 131.159.72.23
2. bietet das YOU tatsächlich u.a. diesen Server als Download-Server an
3. benutzt YOU zum Download das Tool wget
4. benutzt wget per Default aktives FTP

Jedoch: Warum wurden nun genau diese Pakete geloggt? Nun ja, es ist normalerweise ungewöhnlich, wenn ein Externer eine Verbindung in das interne Netz aufbaut; in diesem Fall ist es jedoch ok.

Harry

jo. das kann sein ich habe kurz vorher noch you benutzt. jetzt werde ich aber schon wieder von der susefw genervt. deshalb nochmal ein paar fragen zum format der sosefw log meldungen am besten an zwei beispielen:

Nov 26 21:23:19 s169 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:c0:df:13:32:80:00:c0:49:14:38:9e:08:00 SRC=10.1.101.228 DST=10.1.101.169 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31625 DF PROTO=TCP SPT=4011 DPT=10000 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

Nov 26 21:23:19 s169 kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT= MAC=00:c0:df:13:32:80:00:c0:49:14:38:9e:08:00 SRC=10.1.101.228 DST=10.1.101.169 LEN=48 TOS=0x00
PREC=0x00 TTL=127 ID=31625 DF PROTO=TCP SPT=4011 DPT=10000 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

- Was ist der Unterschied zwischen drop-default-in und accept-in
- spt = quellport dpt = zielport
- Was kann man noch interessantes aus diesen Informationen hervornehmen?

Danke

Hallo felix_do

[
Nov 26 21:23:19 s169 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:c0:df:13:32:80:00:c0:49:14:38:9e:08:00 SRC=10.1.101.228 DST=10.1.101.169 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=31625 DF PROTO=TCP SPT=4011 DPT=10000 WINDOW=16384 RES=0x00 SYN URGP=0 OPT (020405B401010402)

Datum: 26. November
Uhrzeit: 21:23:19
s169 : Name des Rechners, der den Logeintrag erzeugt
Die Firewall hat das Paket akzepiert
IN= Name der Schnittstelle (hier: Ethernet)
MAC= Hardware-Adressen von Empfänger und Sender
SRC= IP-Adresse des sendenden Computers (hier: private IP in eurem Netz)
DST= IP-Adresse des Empfängers
LEN= Länge des Paketes in Byte (hier 48)
TOS= Type of Service (Steuerung, ob das Paket vorrangig behandelt werden soll)
PREC= weiß ich nicht
TTL= Time To Live (Lebensdauer eines Paketes, Standard 64 bei Unix, 128 bei Windoof
ID= Name des Paketes
PROTO= Protokoll des Datentransfers (hier TCP)
SPT= Source-Port
DPT= Ziel-Port

Ich hoffe, das reicht dir.

Anscheinend werden bei euch auch die internen Datentransfers durch die Firewall überwacht.
Ich kann dir aber nicht sagen, warum das Paket einmal akzeptiert wurde und mal verworfen wurde.

Viele Grüße,
CEROG

Original geschrieben von CEROG
Ich kann dir aber nicht sagen, warum das Paket einmal akzeptiert wurde und mal verworfen wurde.
Das Paket wurde nicht verworfen. Es handelt sich um verschiedene FTP-Datentransfers, die allesamt aus dem externen Netz initiiert wurden.

Harry

die logs die ich beim zweiten post eingefügt hab sind keine ftp datentransfers mehr.

Original geschrieben von CEROG


Anscheinend werden bei euch auch die internen Datentransfers durch die Firewall überwacht.

Und woran erkennst du DAS?

moin moin


Original geschrieben von felix_do
Und woran erkennst du DAS?


SRC=10.1.101.228 DST=10.1.101.169

sind beides ip's aus dem privaten adressbereich.

Gruß HangLoose

Hallo zusammen,

@Hari:

woran erkennst du, daß die beiden Log-Einträge zu unterschiedlichen FTP-Verbindungen gehören?

Soweit ich das erkennen kann, sind beide Einträge bis auf das SuSE-FW-DROP bzw. SuSE-FW-ACCEPT-IN identisch (wieso eigentlich???). Nicht nur die IP-ADDRESSEN sind gleich, sondern auch die Hardware-Addressen (MAC=).

@felix_do:

wenn du dich in die Firewall-Geschichte einarbeiten willst, wäre die Investition in ein Buch zu empfehlen, z.B. das Firewall-Buch von Wolfgang Barth (es gibt bestimmt auch noch andere).

Viele Grüße,
CEROG

firewall buch öhm.. :o :o :o