Zyxel 2602 logboek: Kan ACCESS PERMITTED kwaad?

[vivideo]

Dag allemaal,

Wie weet wat de volgende meldingen uit het logboek van mijn Zyxel P2602 kunnen betekenen?

# Time Message Source Destination Notes
1 12/25/2008 23:31:56 Access block, sent TCP RST: TCP 192.168.1.4:34329 202.180.112.189:61007 ACCESS PERMITTED
2 12/25/2008 23:31:56 Firewall default policy: TCP (W to L) 202.180.112.189:61007 192.168.1.4:34329 ACCESS REJECTED
3 12/25/2008 23:31:55 Access block, sent TCP RST: TCP 192.168.1.4:34329 202.180.112.189:61007 ACCESS PERMITTED

80 12/25/2008 22:05:00 Router reply ICMP packet: ICMP(Source Quench) 195.241.189.55 86.54.53.242 ACCESS PERMITTED

Pc 192.168.1.4 met geforwarde poort (34329)staat NIET aan.
Vooral dat 'access permitted' zint me niet, nadat ik vrijwel zeker ben alles te hebben dichtgetimmerd. Steeds wordt dit IP-adres wel aangesproken bij zowel in- als uitgaande toegang, wat die TCP RST betreft. De IP-adressen (destinations) en de erbij genoemde poorten lijken steeds erg willekeurig en komen niet voor in de netstat van de pc.

De vele meldingen (>300 per dag) doen mij vermoeden dat heel veel programma's continu en automatisch het internet afstruinen naar kwetsbare poorten en zo een mogelijke attack te kunnen voorbereiden. Klopt dit vermoeden?

Iemand ervaring hiermee?

Ik verneem het graag.

 

[roto]

Hallo vivideo.

Op zich is het geen probleem, want de verbinding die geacsepteerd wordt wordt geiniteerd vanuit de pc met ipadres 192.168.1.4. En het antwoord van de geadreseerde (202.180.112.189) van http://www.callplus.co.nz wordt geblockeerd. Dus het zou spyware kunnen zijn op de pc met ipadres 192.168.1.4, maar ook een voip applicatie.

Groetjes Erik Rothuis

 

[vivideo]

Hallo vivideo.

Op zich is het geen probleem, want de verbinding die geacsepteerd wordt wordt geiniteerd vanuit de pc met ipadres 192.168.1.4. En het antwoord van de geadreseerde (202.180.112.189) van http://www.callplus.co.nz wordt geblockeerd. Dus het zou spyware kunnen zijn op de pc met ipadres 192.168.1.4, maar ook een voip applicatie.

Groetjes Erik Rothuis

Thanx Erik!

Alleen wordt er niets vanuit pc 192.168.1.4 geïnitieerd, want die pc staat uit. Het lijkt dus echt op een afhandeling die in de router plaatsvindt. Source en destination wisselen elkaar ook willekeurig af, en zo'n vreemd extern IP-adres is ook telkens een andere. Ik noemde expres poort 34329 die vaak als standaardpoort gebruikt wordt bij P2P-cliënts, maar er worden ook andere poorten beproefd..

Ik vind het vooral tricky als er "access permitted" verschijnt, dan lijkt dat op een gat in de netwerkbeveiliging.

Any ideas?

 

[roto]

Dit wordt waarschijnlijk veroorzaakt doordat upnp, aan staat in de router. Daardoor worden door programma's als p2p, msn, poorten geforward in de router. Maar als upnp niet aan staat, moet je voor dergelijke programma de poortforwarding handmatig ingeven.

Groetjes Erik Rothuis

 

[vivideo]

Om het topic even af te ronden: ik heb het verkeer wat nader onderzocht en het een tijdje aangekeken. De zogenaamde 'attacks' die in mijn logboek veelvuldig voorkwamen blijken louter afkomstig van lokale activiteit op het netwerk. Niets aan de hand dus, case closed.