Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

SP sendet von Port 25

https://support.securepoint.de/viewtopic.php?t=11672

Seite 1 von 1

SP sendet von Port 25

Verfasst: Mi 18.09.2024, 10:38
von Bahlsenkeks
Hallo ich bekomme seit Tagen
Meldungen das meine Secuepoint von Port 25 zu verschiedenen IP's und Ports
Pakete sendet
leider bekomme ich das Problem nicht mit meinen FW Regeln in den Griff

meine externe Schnittstelle ist ein PPOE
Zone = external / firewall-External

ich habe schon verschiedenste Kombinationen probiert aber nichts greift

mein Gedanke ist
"versenden von Port 25 egal wo hin ins Internet drop"

allerdings finde ich nur external-Interface aber nicht external als Zone in der Liste

hat ggf jemand einen Tip

Re: SP sendet von Port 25

Verfasst: Mi 18.09.2024, 12:16
von pl85
es gibt das Netzwerkobjekt "internet" mit Adresse 0.0.0.0/0 in der Zone external, das nimmst du dafür

Gruß

Re: SP sendet von Port 25

Verfasst: Mi 18.09.2024, 12:26
von Bahlsenkeks
Hallo
Das habe ich getestet
( mit einer eigenen Dienstgruppe Quellport 25 TCP zielport von 1025 bis 65534 )
Regel von Internal-Network --> Internet --> eigene_Dinstgruppe >> Drop

nur leider greift diese nicht

Gruß

Re: SP sendet von Port 25

Verfasst: Mi 18.09.2024, 12:29
von Bahlsenkeks
NACHTRAG
Das sind die Meldungen die ich bekomme

llgemein
Firewallname xxxxxxxxxxxxxxxxxxxx
Status ALARM
Datum 18.09.2024 - 11:28:19
Quelle spsysprocd
Nachricht OUTPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface , ausgehendes Interface wan0, Quelladresse xxx.xxx.xxx.xxx, Zieladresse 4.4.89.74, Protokoll TCP, Quellport 25, Zielport 58014
Details
Programm IDS/IPS (ulogd)
Log-Nachricht LOG: CommandAndControl_LogDst IN= OUT=wan0 MAC= SRC=xxx.xxx.xxx.xxx DST=4.4.89.74 LEN=145 TOS=00 PREC=0x00 TTL=64 ID=56837 DF PROTO=TCP SPT=25 DPT=58014 SEQ=3122828482 ACK=13210505 WINDOW=503 ACK PSH URGP=0 UID=194 GID=190 MARK=0
Gruppe Threat Intelligence Filter - OUTPUT
Gruppennachricht Gefährliche Verbindung erkannt.
Pattern-Name Command & Control Server Log OUTPUT
Pattern-Muster ^(LOG: CommandAndControl\w+\s+)(?:.*IN=()\s)(?:.*OUT=(\S+)\s)(?:.*SRC=(\S*)\s)?(?:.*DST=(\S*)\s)?(?:.*PROTO=(\S*)\s)?(?:.*SPT=(\S*)\s)?(?:.*DPT=(\S*)\s)?(.*)
Pattern-Programm ulogd
Pattern-Nachricht OUTPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface , ausgehendes Interface wan0, Quelladresse xxx.xxx.xxx.xxx, Zieladresse 4.4.89.74, Protokoll TCP, Quellport 25, Zielport 58014

Re: SP sendet von Port 25

Verfasst: Do 19.09.2024, 19:20
von Mario
Wenn das Mailrelay der UTM verwendet wird wäre es gut, ein Supporticket aufzumachen. Es riecht nach einem Konfigurationsproblem.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de