Jump to content


Inbraak preventie - Actieve blokkeer lijst


martis

Recommended Posts

Hallo

 

Ik heb hier een linux server met clarkconnect draaien.

Nu heeft de firewall iemand geblokkerd , met inbraak preventie

alleen ik kan nergens iets weer vinden in de logs files wat er aan de hand is..

 

Iemand een idee waarom deze is geblokkeerd , en waar ik het kan vinden mischien in de logs van clarkconnect , ben ze allemaal bij langs geweest

 

alvast bedankt

Je moet niet steeds dezelfde fouten maken, er is keus genoeg.

 

Link to comment
Share on other sites


Bij reports, intrusion prevention kun je zien om welke IP adressen het gaat. Bij reports, logs kies je de file 'secure' en even zoeken wat er is gebeurd. Deze file is te vinden in \var\log, waar ook de 'messages' file staat.

Als het al langer geleden gebeurd is: secure.1 etc....

 

Succes!

 

Daar vind je dit soort meldingen:

Nov 26 02:03:44 kerberos snort[4471]: [1:2009584:1] ET SCAN NMAP -sS window 4096 [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 213.8.92.145:46656 -> 192.168.178.2:12174

 

Mijn ervaring is dat je daar de meeste poortscans tegenkomt die de firewall actief 24 uur blokkeert.

Link to comment
Share on other sites

DNS SPOOF query response with TTL of 1 min. and no authority [Classification: Potentially Bad Traffic] [Priority: 2]: {UDP} 192.168.*.*:53 -> 192.168.*.*:35924

 

dit komt ook vaak voor mijn adsl/router die verbinding maakt met de server is hier wat niet goed

Je moet niet steeds dezelfde fouten maken, er is keus genoeg.

 

Link to comment
Share on other sites

en dit is de persoon die word geblokt door de firewall dit staat er.

 

ET SCAN NMAP -sA (2) [Classification: Attempted Information Leak] [Priority: 2]: {TCP} 81.70.206.165:2276 -> 192.168.*.*

 

en

 

(portscan) TCP Portsweep[Priority: 3]: {PROTO:255} 192.168.*.*-> 81.70.206.165

 

heb met de sterren mijn ip adress verborgen

Je moet niet steeds dezelfde fouten maken, er is keus genoeg.

 

Link to comment
Share on other sites

De alarmeringen op poort 53 heb ik ook, clarkconnect denkt dat het DNS antwoord van je eigen router niet helemaal te vertrouwen is. Vals alarm, kun je rustig negeren.

Overigens zijn je 192.168 adressen veilig hoor, hoef je geen sterretjes voor neer te zetten. Deze zijn namenlijk uit de private range die iedereen gebruikt. Als je het echt vervelend vind kun je al het verkeer dat afkomstig is uit je eigen netwerk negeren met een negeer regel. Zoek maar eens op bpf.conf bestanden op internet. Regel om dit soort meldingen te negeren is dan: not src net 192.168

 

 

De laatste is ernstiger. Degene achter ip adres 81.70.xxx (van provider Online) probeert de open poortjes op jouw netwerk even uit op open poortjes. En het gekke is dat je dat zelf bij deze host terug doet. (onderste)

Toevallig een vriendje die bij je komt kijken en ietwat nieuwsgierig is?

 

Normaal zet ik dit soort grapjassen gewoon bij het inkomende IP filter in de firewall, dan gebeurt er helemaal niks meer :-).

 

 

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Lees alvorens je verder gaat onze Terms of Use en Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.