Suricata - alle 5 Minuten ping von P2P Bittorrent

[Burschi]

Hallo in die Runde,

ich habe seit letztem Wochenende OPNSense installiert und dann auch Suricata ausprobiert. Jetzt scheint alles soweit zu laufen und funktionieren wie ich es mir vorstelle, aber Suricata liefert mir recht viele Hits auf  "ET P2P BitTorrent DHT ping request", und zwar von meiner Firewall IP aus. Das Setup ist

Internet --> Fritz --> APU2D4, OPNSense 19,1,7 --> LAN

Jetzt stehe ich vor der Frage, woher die dauernden Ping requests kommen, bzw. welcher Computer dafür verantwortlich ist. Die IP ist von der APU (192.168.178.40), ein beispielhafter Logeintrag ist wiefolgt:

Code: [Select]

May 14 21:16:09 suricata[18432]: [Drop] [1:2008581:3] ET P2P BitTorrent DHT ping request [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.178.40:45534 -> 83.238.73.42:6881
May 14 21:10:52 suricata[18432]: [Drop] [1:2008581:3] ET P2P BitTorrent DHT ping request [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.178.40:63885 -> 91.121.220.134:51413
May 14 21:05:34 suricata[18432]: [Drop] [1:2008581:3] ET P2P BitTorrent DHT ping request [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.178.40:51959 -> 88.195.204.74:55317
May 14 21:00:29 suricata[18432]: [Drop] [1:2008581:3] ET P2P BitTorrent DHT ping request [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.178.40:58720 -> 51.15.51.63:51413

Was kann ich tun um die Quelle zu identifizieren? Ich habe zwar rudimentäre Netzwerkkenntnisse und den Willen mich weiterzubilden, aber im Moment stehe ich auf dem Schlauch und bin auf Hilfe angewiesen...

[fabian]

würde mal ne block rule anlegen, welche die quell-ip protokolliert. dann weißt du es.

[Burschi]

Also LAN interface; aber dann auf welcher IP? 192.168.178.40 ist die IP der Firewall. Wenn ich mir die Logs im Firewallmodul anschaue ist die Source-IP immer .168.40 (was ja auch Sinn macht...). Wie kann ich jetzt dem einen Computer in meinem Netzwerk zuordnen / sollte das nicht über den port gehen?

[fabian]

nach dem NAT geht's halt nicht mehr. Die Quelladresse ist immer die der FW. Daher musst du VORHER mit einer Block-Regel das Paket protokollieren, in dem die ORIGINALEN Quell- und Zieladressen stehen. Das heißt bei nem block kannst du das Protokoll mit dem der IPS abgleichen und dann kannst du auf den internen host schließen. Wenn du dann die interne IP weißt, kannst du schauen ob da Software fälschlicherweise drauf ist, oder der Computer mit Malware infiziert ist.

[Burschi]

OK, Danke, habe ich probiert. Ist halt mühselig die einzelnen Adressen zeitnah abzutippen und in eine Regel einfügen. Aber geht.

Nächste Frage (ich packs mal in diesen Thread weils ganz gut passt):
Ich habe in Suricata auch viele DNS anfragen an meine Firewall (192.168.187.40 über DHCP Fritzbox) gefunden und eine Regel in der Firewall im WAN Bereich erstellt:

Code: [Select]

Proto Source Port Destination Port         Gateway Description
Block IPv4    *          * This Firewall 53 (DNS) * DNS Anfragen auf WAN blocken
                TCP/UDP

Sollten damit nicht alle Anfragen von aussen auf Port 53 über WAN an meinen DNS Server nicht geblockt werden? In Suricata sehe ich immer noch Port 53 Blocks...

[fabian]

suricata rennt vor der Firewall, daher ist es so, dass wenn suricata was blockiert, das gar nicht mehr bei der Firewall ankommt. Ich dachte deine Verbindung kommt von innen?

[Burschi]

Ja, die Verbindungen aus dem ersten Post kamen von innen, die Frage zu DNS bezog sich tatsächlich auf eine neue Fragestellung.
Also wenn ich das richtig verstanden habe - zuerst kommt der Netzwerkverkehr bei Suricata an, dann wird erst durch die Firewall gefiltert? Also WAN -- <Suricata>-<Firewall>-LAN?

[fabian]

wenn ich das richtig in erinnerung habe

WAN interface - netmap (suricata) - PF + Routing inbound - PF + Routing outbound - netmap (üblicherweise nicht konfiguriert) - LAN interface.