Webbox ( Fortsetung )

  • Ich mache noch mal ein neues Thema auf, weil mein Problem doch ehr abweichend ist und ich neue Erkenntnisse berichten kann.


    Plötzlich mal wieder, und es war in der Vergangenheit schon mal, antwortete die Webbox auf Port 443 nicht konstant, das führte auf den mobilen Endgeräten per EAS (ActiveSync) zum "Accountfehler" und dazu das Mails nicht im 1. Anlauf versendetwerden konnten und auch der Empfang hakt. Ich habe mit einem Portscanner sowohl von der Konsole des Mailservers als auch aus dem Internet festgestellt, das der Port 443 nicht durchgehend antwortete. Nehme ich im Router temporär die Portweiterleitung raus, funktioniert im lokalen der Portping an 443 des Mailservers EINWANDFREI.


    Es muss also irgendetwas mit der Kommunikation von außen auf die Webbox zu tun haben. Nur was. Die Auswertung der Protokolldatei brachte mir IP Adressen zum Vorschein, die weder Vodafone, Telekom, O2, 1&1 zuzurechnen sind. Nur was wollen diese IP Adressen von meiner Webbox. Mich würde interessieren, wie man an eine vernünftige Auswertung kommt, welche IP wann was von meiner Webbox will und ob die Anfrage an der Passwortschranke passiert oder zurückgewiesen wurde. Ich habe vorerst alle mir nicht bekannten IP-Adressräume in der Routerfirewall geblockt. Scheinbar ist im Moment Ruhe in meiner Webbox. Ich hoffe niemand zu Unrecht ausgesperrt zu haben.


    Übrigens ein Anruf bei Tobit brachte außer "wir können da nicht viel machen" oder "installieren Sie die neusten Windows Updates" wirklich nichts außer das ich mich wegen meiner Vehemenz auch noch beschimpfen lassen musste.


    Hat jemand von Euch schon mal ein ähnliches Problem gehabt oder vielleicht hilfreiche Denkanstöße?


    Update:

    Mit dem Kommandozeilentool PPING Latest (Heise Download) kann man Port 443 anpingen,

    beispielsweise 100 mal:

    >pping_latest.exe <host> <port443> repeats=100, ich hatte 30 "open" und 70 "close". Daraufhin habe ich im Webbox-Log gesucht nach "new Connection" und alle IP-Bereiche nacheinander in der Router-Firewall verworfen, die aus Ländern kommen die verdächtigt cheinen. Ich hatte IP Adressen aus Korea, aber auch ein Netz von Amazon und Hetzner. Auf alle Fälle kamen noch alle Handyuser rein, und der Portping ergab 100 mal OPEN.

    Die Möglichkeiten im David Administrator, was Auswertung darüber erlaubt, was bei der Webbox anliegt sind nicht gerade hilfreich. Es wäre gut, bei den Activ Sync Usern die IP-Adresse und die Anmeldevorgänge mit aufzunehmen, und vor allem nur die IP zu sperren, die mit falschen Anmeldungen versuchen die Webbox zu attackieren. Nur redet man bei Tobit gegen die Wand. Und immer die aktuellsten Windows Updates und Netzwerkkartentreiber.

  • Hallo,

    was für eine Firewall hast du den?

    Endian Firewall, Sophos, oder irgend was ganz was anderes?


    Bei mir hatte ich diese Anfragen von Extern auch immer wieder, China, Japan, Russland usw.

    In der Firewall habe ich dann https Zugriff von Extern die Entsprechenden Länder gesperrt.

    Seither ist ruhe der Störtraffic ist weg.

    Tobit FX12 auf W2016 an VMWare ESXI6.5 Essentials,
    ActiveSync über Sophos SG210 /Reverse Proxy(WAF) - SMTP Proxy TLS

  • Moin, ich habe hier einen Lancom Router, den "Türsteher" kann ich manuell konfigurieren aufgrund der eingehenden Verbindungen, aber es kommen dann andere IP Bereiche hinzu, etwas verzögert. Ich kann die Länderliste noch ergänzen, Korea (weiss nicht ob Süd oder Nord), Türkei aber auch vereinzelnt Deutschland. Ich vermute, das es zu fehlerhaften Anmeldungen kommt und dadurch die Webbox blockiert. Nur warum den auch die guten? Oder das Ding macht bei Überlastung dicht. Ich werde heute nochmal versuchen, bei Tobit jemand kompetenten ans Telefon zu bekommen, der mir vielleicht sagen kann, wie die Webbox tickt in solchen Fällen.



    meine Ping liste (Auszug) (PPING latest aus Heise Download)


    Starting pinging host <öffentl webboxhost adr> on TCP port(s) 443 36 times:

    # 1 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 2 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 3 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 4 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 5 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 6 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 7 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 8 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 9 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 10 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 11 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 12 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 13 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 14 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 15 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 16 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 17 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 18 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 19 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 20 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 21 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 22 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN

    # 23 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 24 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 25 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 26 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 27 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 28 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 29 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 30 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 31 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 32 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 33 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 34 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 35 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: CLOSED

    # 36 -> Pinging host <öffentl webboxhost adr> (IP:-) on TCP port 443 with timeout 1: OPEN


    Wenn Closed, ist die Webbox nicht erreichbar und das mobile Endgerät meldet das der Server nicht erreicht wird, bzw. es kommt mitten in der Kommunikation zum Abbruch.

  • Hallo,

    also bei mir ist es so wenn ich von Außen zugreife sehe ich an der Webbox die IP der Firewall die den Zugriff macht.

    Die öffentliche IP des Besuchers wird nicht an die Webbox geschickt.


    ich kann mir nur vorstellen das die Webbox dann einfach eine weile lang die IP Adresse sperrt oder verlangsamt.

    Sprich wenn ständig falsche Anfragen kommen über den Lancom und der Lancom intern an die Webbox mit internen IP spricht blockt die Webbox (Sicherheit RemoteAccess) das irgend wann bei zu viel Fehler.



    Ist bei dir in der Webbox im Log, wenn von Extern jemand zugreift die Interne IP (ip des Lancoms zu sehen oder eine Externe des Besuchers ?

    Tobit FX12 auf W2016 an VMWare ESXI6.5 Essentials,
    ActiveSync über Sophos SG210 /Reverse Proxy(WAF) - SMTP Proxy TLS

  • ComputerManni wesentlich sinnvoller als da eine verbotene Länderliste zu pflegen ist es schlicht ausschließlich bekannte Aufenthaltsländer Eurer Nutzer freizugeben.

    Bei uns war die Webbox vorher auch extrem mit solchen Anfragen beschäftigt bevor ich dazu übergegangen bin nur noch die Länder auf die Webbox zugreifen zu lassen in denen sich bekannter maßen gerade mindestens einer unserer Mitarbeiter aufhält.
    Selbst in unseren Betrieb mit internationaler Reisetätigkeit hab ich da selten gleichzeitig mehr als ein halbes dutzend Länder in der positivliste stehen. Der Nachteil ist halt das man die Liste regelmäßig anpassen muss.

    Generell können solche Portscans und bruteforce Angriffe auf Nutzerpostfächer allerdings jederzeit auch aus Deutschland oder anderen unverdächtigen Ländern kommen, aber da muss man dann halt gezielt drauf reagieren wenn die Webbox dann mal wieder zu sehr mit solchen Tätigkeiten beschäftigt ist um sich noch um die legitimen Nutzer zu kümmern.
    Das ich gezielt einzelne IPs oder IP Ranges blockieren muss um Ruhe vor Angreifern zu haben kommt seit ich nur noch gezielt bestimmte Länder freigebe nur noch alle par Wochen bis Monate mal vor.

  • Ich bekam noch den Hinweis von Tobit das im David Admin unter Systm/Konfigurieren/Sicherheit unten in der Abteilung Web Access noch eingestellt werden kann, unter Brutforce Angriff: Konto für eine Stunde sperren. Das ist zwar gut gemeint, aber es hat mir nicht wirklich geholfen. Man müsste tatsächlich alle ausländischen IP in der Firewall blocken. User, die im Ausland nicht reikommen, müssten Ihre IP Adressen mitteilen, denn kann man die freigeben. Ich muss sagen das ich momentan immer wieder angegriffen werde und ich ständig stopfen muss.


    Zur Frage von Black Shadow: Bei mir im Lancom ist ein Portforwardeing eingetragen. Die öffentliche IP wird im Webbox Log angezeigt. Wenn man oben im Filterfeld "new connection" eingibt bekommt an alle eingehenden Verbindungen angezeigt. Und ich hatte IP Adressen aus aller Welt, Türkei, Trump, Korea aber auch Deutschland. Jedes Mal nach dem ich auffällige IP geblockt habe, war erst mal Ruhe.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!