Eingehende Ereignisse trotz HW-Firewall

#1 Hallo,

es handelt sich um einen Einzelrechner (ohne weitere angeschlossene Geräte), welcher über die FritzBox SL, konfiguriert als Router, mit dem Internet verbunden ist. Zusätzlich habe ich noch eine einfache Desktopfirewall installiert. Desweiteren sind keinerlei Portfreigaben eingerichtet.
Was mich jedoch irritiert ist, das sich im Ereignisprotokoll der Desktopfirewall gelegentlich und auch nur für einen bestimmten Zeitraum Einträge von Adressen finden, die versucht haben, eine nicht angeforderte Verbindung zu meinem Rechner herzustellen. Hauptsächlich nur über Port 80 oder Port 443. Sollten diese Verbindungsversuche nicht bereits durch die in der FritzBox integrierte "Hardware-Firewall" geblockt werden, zumal keine Portfreigaben eingerichtet sind? Diverse Portscans zeigen mir an, das sämtliche Ports
gefiltert werden. Darunter auch Port 80 und 443. Weiterhin antwortet mein System auf ICMP-Pakete, was doch eigentlich heist, das keine Firewall vorgeschaltet ist. So wird es jedenfalls vom heise ct-Netzwerkcheck
beschrieben. Wäre nett, wenn mir jemand erklären könnte, wieso sich dies so verhällt und ob dies normal ist. Ich sitze nun bereits mehrere Stunden an meinem Rechner und habe heute noch keine Ereignisse im Protokoll meiner Desktopfirewall finden können. Dies geschieht, wie bereits erwähnt, nur gelegentlich.
Das Ereignisprotokoll meiner Desktopfirewall habe ich mal als Anhang beigefügt.

Gruß filou

#2 Wenn Du eine Internetseite aufrufst (http = Port 80; https = Port 443), dann erhälst Du vom angesteuerten Server immer eine Rückantwort. Mehr ist es nicht

Ich würde sogar soweit gehen und behaupten, wenn Du komplett alle eingehenden Verbindungen blockierst (also auch auf Port 80 und 443), dann kannst Du auch gleich Dein Netzwerkkabel ziehen
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo filou,

Zitat

Was mich jedoch irritiert ist, das sich im Ereignisprotokoll der Desktopfirewall gelegentlich und auch nur für einen bestimmten Zeitraum Einträge von Adressen finden, die versucht haben, eine nicht angeforderte Verbindung zu meinem Rechner herzustellen. Hauptsächlich nur über Port 80 oder Port 443. Sollten diese Verbindungsversuche nicht bereits durch die in der FritzBox integrierte "Hardware-Firewall" geblockt werden, zumal keine Portfreigaben eingerichtet sind?

Soweit ich es deinem Protokoll entnehmen kann sehe ich keine ankommende Anfragen auf Port 80 oder 443. Das sind lediglich Antworten auf Anfragen die du auf Port 80 oder 443 gemacht hast.
Beispiel:

Code

Date/Time            Source IP       Host name                                SPort  DPort
2008/12/31 10:32:50  212.73.209.9                                             80     1912

Ich lese daraus:
Die IP 212.73.209.9 schickt dir eine Antwort (die du an Port 80 der IP gesendet hast) an deinen Destination Port 1912.

Das scheint Werbung von irgendeiner besuchten Internetseite zu sein: bom-proxy-fr2.bestofmedia.com [212.73.209.9]

Demnach ist noch alles in Ordnung. Du hast eine Anfrage mit dem Initialisierung- Port 1912 an 212.73.209.9 auf Port 80 gemacht.
Die Antwort kommt natürlich dann auf deinem Port 1912 an.
Da du die Anfrage ursprünglich gestellt hast läßt die fritzBox die Antwort durch. Warum deine SoftFW da meckert kann ich nicht erklären. Vielleicht hat sie die Anfrage nicht mehr im Speicher oder irgendein anderes Modul schlägt Alarm.[Werbemodul?]

Zitat

Weiterhin antwortet mein System auf ICMP-Pakete, was doch eigentlich heist, das keine Firewall vorgeschaltet ist. So wird es jedenfalls vom heise ct-Netzwerkcheck
beschrieben. Wäre nett, wenn mir jemand erklären könnte, wieso sich dies so verhällt und ob dies normal ist

Das bedeutet eigentlich nur, dass deine FritzBox auf Ping- Pakete antwortet. Das ist eigentlich gut so, da es in RFC 792 so beschrieben ist.

Zitat

http://www.networksorcery.com/enp/protocol/icmp/msg8.htm
RFC 792, page 15:

The data received in the echo request message must be returned in the echo reply message.

The identifier and sequence number may be used by the echo sender to aid in matching the replies with the echo requests. For example, the identifier might be used like a port in TCP or UDP to identify a session, and the sequence number might be incremented on each echo request sent. The echoer returns these same values in the echo reply.

Code 0 may be received from a gateway or a host.

Der ct Netzwerkcheck will mit der Meldung mE nur eine Warnung geben, falls man nicht mit einem Router mit dem INet verbunden ist.
Es gibt auch die Ansicht, daß 'stealth' besser ist. Nach der o.g. RFC ist das aber nicht so.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#4 Hallo,

ich hatte bereits verschwommen in diese Richtung gedacht, war mir allerdings nicht sicher. Jetzt wird mir das ganze natürlich klar.

Recht vielen Dank für diese ausführliche und verständliche Erklärung

Gruß filou

#5 Hallo,

leider muß ich das Thema nochmals aufnehmen. Man vergebe mir meine Unwissenheit.

Ich verstehe immer noch nicht ganz, warum beim Aufruf von Webseiten jede Menge verschiedener Computer versuchen, eine nicht angeforderte Verbindung zu meinem Rechner herzustellen, die in der Box integrierte HW-Firewall passieren und erst von der Desktop FW (McAfee Plus) mit eben dieser Ereignisangabe -Ein Computer mit der IP Adresse xyz hat versucht, eine nicht angeforderte Verbindung zu ihrem Computer herzustellen-, geblockt werden.
Wäre es nicht möglich, das solche nicht angeforderten Verbindungsversuche Schaden verursachen könnten, wenn ich keine Desktop FW installiert hätte?
Ich denke da an irgendwelche hackermäßige Schnüffelaktionen etc.
Die Box würde diese Verbindungen doch dann ohne weiteres zulassen, oder verstehe ich das immer noch falsch?
Das ganze scheint jedenfalls Werbung zu sein (TALNET, GSI, Myrtle, upradio usw. usw.).

Gruß filou

#6 Wenn dir doch alles klar war (siehe dein posting vom 06.01.), wieso stellst du nun erneut die gleiche frage?
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#7 Also was dei McAfee FW da macht kann ich ehrlich gesagt auch nicht deuten.
Auf alle Fälle sollte ein Router nur Antwortpakete auf gestellte Anfragen annehmen.
Eine kleine Erklärung, was da von statten geht findet man z.B. hier (Wikipedia).

Inwiefern sich dieses "connection tracking" austricksen läßt, oder ob es evtl. im Router fehlerhaft implementiert ist, läßt sich schlecht einschätzen.

Da in deinem Log anscheinend hauptsächlich Werbeserver vorhanden sind gehe ich davon aus, daß die Werbung schon irgendwie angefordert wurde.
Vermutlich ist sie in den Seiten, die du besuchst implementiert.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#8 Die Erläuterungen von HeVTIG sind mir schon verständlich. Trotzdem bleibt das ganze recht verwirrend.
Sollte es sich so verhalten, das bereits das Aufrufen einer Webseite als
gestellte Anfrage gewertet wird, ist es natürlich klar, das eine Antwort erfolgt. Mir will nur nicht in den Kopf, warum die Desktopfirewall diese Antworten als nicht angeforderte Verbindungsversuche blockt und die HF der Box sie ungehindert passieren läßt.
Letztendlich interessiert mich lediglich, ob diese nicht angeforderten Verbindungen oder meinetwegen "Antworten" eine evtl. Gefahr für meinen Rechner darstellen könnten, wenn ich sie denn durch Deaktivierung oder Deinstallation der DF ungehindert passieren lasse.
Selbst der A.V.M FritzBox Supporter fand hierzu keine Erlärung.

Gruß Mike

#9 Eventuell hat deine Desktop-Firewall einen Werbe- oder Contentblocker der auf die Werbebanner die in irgendwelchen iframes auf den angesurften Ursprungsseiten anspricht. Da hilft ein Blick ins Handbuch oder der Mcafee support weiter.

Eine Gefährdung ist auszuschliessen, da es sich um normale antworten auf von die ausgeschickte anfragen handelt. Auf jeden Fall bringt deine zusätzliche "Firewall" nicht mehr Schutz, sondern verwirrt höchstens, aber das ist ein anderes Thema.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...

#10 Ich vermute ähnliches und verspreche mir von einem Gespräch mit dem McAfee Support ehrlich gesagt auch am meisten, wenn man einen kompetenten Gegenüber bekommt
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#11

Zitat

heptamer666 postete
Eventuell hat deine Desktop-Firewall einen Werbe- oder Contentblocker der auf die Werbebanner die in irgendwelchen iframes auf den angesurften Ursprungsseiten anspricht.
Eine Gefährdung ist auszuschliessen, da es sich um normale antworten auf von die ausgeschickte anfragen handelt.

Das könnte bzw. wird wohl die Lösung sein, da es sich lediglich um abgefangene Werbung handelt.

Ich hoffe, eure Nerven nicht allzu sehr strapaziert zu haben und danke für eure Hilfestellung.

Gruß filou