Security Professionals - ipfw add deny all from eindgebruikers to any

Graag uitleg over Dial-out Trigger

04-04-2011, 16:01 door Above, 20 reacties
Ik zou graag willen weten wat nu precies deze functie verteld:
Diagnostics >> Dial-out Trigger

Hier staat dus maar 1 ip-nummer van een Chinese stageloper vermeld die een verbinding heeft met een ip-nummer in China.
Sinds dat hij er is heb ik alleen overdag last van continue uitval van het internet. De router geeft netjes aan dat hij verbonden is met de provider om ons van internet te voorzien maar toch heeft het bedrijf geen internet. In de router zelf zie je nog wel pakketjes heen en weer gaan. Alleen een reboot van de Draytek helpt om weer internet te krijgen.

We gebruiken allemaal streaming muziek, inloggen bij dealers en in de pauzes privé-internet.
Het vreemde vind ik juist dat alleen het ip-nummer (welke gegeven is door onze DHCP-scope op de server) van deze Chinese stageloper met een privé laptop vanuit China(ook de taal van het os helaas) vermeld staat in de router onder Diagnostics >> Dial-out Trigger.

192.168.20.93,1863 -> 125.xx.xxx.xx,8000
Pr UDP HLen 20 TLen 89
Ik heb even van het adres kruisjes gemaakt vanwege privacy.

Wat houdt het nu precies in?
Hij staat nu nog steeds vermeld onder Dial-out Trigger.

Ik heb het uitgeprint en laten zien en hij deed heel onschuldig en dat hij alleen iets in de ochtend wilde downloaden. Nu hij het gezien heeft heb ik geen disconnects meer welke ook alleen plaatsvinden op werkdagen als hun er zijn. Twee stagelopers totaal vanuit China welke een studie in Nederland volgen.
Alvast bedankt.
Reacties (20)
04-04-2011, 16:37 door [Account Verwijderd]
[Verwijderd]
04-04-2011, 17:02 door EDLIN
Uh Cyrler, dit gaat over heel iets anders hoor.
04-04-2011, 17:30 door [Account Verwijderd]
[Verwijderd]
04-04-2011, 17:48 door EDLIN
@ Cyrler
Wel, Above vraagt om informatie over een functie in het menu van een
router van de fabrikant Draytek. Er is een chinese collega die contact maakt met het thuisfront via een bepaald ip-adres en Above heeft sterke vermoedens dat dit contact er de oorzaak van is dat in zijn netwerk het internet overdag plat gaat.
04-04-2011, 18:52 door [Account Verwijderd]
[Verwijderd]
04-04-2011, 19:01 door ej__
Ik gok er op dat hij een vpn opzet naar china waar al het verkeer overheen gestuurd gaat worden. Dat loopt daar vast (iets met een grote chinese firewall ofzo) of de andere kant wil niet routeren. Dat lijkt me geen gewenst verkeer....
04-04-2011, 22:16 door Above
Door ej__: Ik gok er op dat hij een vpn opzet naar china waar al het verkeer overheen gestuurd gaat worden. Dat loopt daar vast (iets met een grote chinese firewall ofzo) of de andere kant wil niet routeren. Dat lijkt me geen gewenst verkeer....

Bedankt voor deze informatie. Ik zal het morgen proberen om het aan ze te vragen want ze spreken gebrekkig Engels.
Ik was bang dat ze dadelijk ingebroken hadden op de servers en ze belangrijke data aan het uploaden waren naar China :-).
Geen gewenst verkeer vanwege niet kunnen routeren verklaard een hoop dat de Draytek 2820Vn over zijn nek gaat. Op moment dat ze weg zijn is er helemaal niets aan de hand en is de verbinding uiterst stabiel. Dat een verbinding naar China zoveel ellende kan veroorzaken zeg.
04-04-2011, 23:42 door Anoniem
Door Above:

Ik heb het uitgeprint en laten zien en hij deed heel onschuldig en dat hij alleen iets in de ochtend wilde downloaden. Nu hij het gezien heeft heb ik geen disconnects meer welke ook alleen plaatsvinden op werkdagen als hun er zijn. Twee stagelopers totaal vanuit China welke een studie in Nederland volgen.
Alvast bedankt.

Als U Chinezen vertrouwd, dan bent U erg naïef...
05-04-2011, 07:27 door Syzygy
Door ej__: Ik gok er op dat hij een vpn opzet naar china waar al het verkeer overheen gestuurd gaat worden. Dat loopt daar vast (iets met een grote chinese firewall ofzo) of de andere kant wil niet routeren. Dat lijkt me geen gewenst verkeer....


Het geeft aan dat iemand een VPN verbinding wilde opzetten (misschien met het bedrijf waarvoor hij werkt)
05-04-2011, 09:29 door ej__
Maar waarom heeft die meneer toegang tot de router configuratie?

En ja, je moet je toch echt ernstig afvragen of er geen bedrijfsdata wordt geupload!

@syzygy: je zegt niets nieuws. Dat is precies hetzelfde als wat ik schreef.
05-04-2011, 10:14 door Above
Door ej__: Maar waarom heeft die meneer toegang tot de router configuratie?

En ja, je moet je toch echt ernstig afvragen of er geen bedrijfsdata wordt geupload!

@syzygy: je zegt niets nieuws. Dat is precies hetzelfde als wat ik schreef.


Toegang tot de router hebben ze niet. Wachtwoord beveiligd(niet standaard wachtwoord natuurlijk) en gisteren voor de zekerheid het wachtwoord veranderd.

Ik heb ze net gesproken en zeer moeilijk communiceren zeg. Ze wisten niet wat een VPN-verbinding was. Al die Chinese snelkoppelingen op het bureaublad. Ik zag een soort icoontje op het bureaublad wat op VPN leek en wees hem dat aan. Hij beweerde dat het voor chatten was. Sinds de melding van gisteren naar hun toe geen last meer gehad. Ben benieuwd.

Stagelopers hebben helaas internet nodig. Je zou zowat overwegen om een hele aparte internetverbinding aan te schaffen voor dit soort lui. Compleet afgesloten van het bedrijf.
05-04-2011, 10:20 door Anoniem
"Als U Chinezen vertrouwd, dan bent U erg naïef..."

Indien je iedere Chinees wantrouwt op basis van etniciteit, dan ben je paranoide.
05-04-2011, 10:26 door Anoniem
"125.xx.xxx.xx,8000"

Ik zou juist graag weten naar welk IP adres het verkeer toegaat; op basis daarvan is wellicht meer te vertellen over de achtergrond van dit verkeer.
05-04-2011, 11:01 door Above
Door Anoniem: "125.xx.xxx.xx,8000"

Ik zou juist graag weten naar welk IP adres het verkeer toegaat; op basis daarvan is wellicht meer te vertellen over de achtergrond van dit verkeer.

125.39.123.36 was het adres.
China Tianjin Shenzhentengxun Computer Ssystem Co. Ltd
05-04-2011, 11:25 door Syzygy
Door ej__: Maar waarom heeft die meneer toegang tot de router configuratie?

En ja, je moet je toch echt ernstig afvragen of er geen bedrijfsdata wordt geupload!

@syzygy: je zegt niets nieuws. Dat is precies hetzelfde als wat ik schreef.


Jij zegt IK GOK

Ik zeg dat het zeker is ;-)
05-04-2011, 16:46 door Anoniem
Kan je die VPN verbinding niet gewoon blokkeren ?
06-04-2011, 06:34 door Above
Door Anoniem: Kan je die VPN verbinding niet gewoon blokkeren ?

Doe ik ook :-)
Ieder ip-nummer waar hun verbinding mee maken naar China toe voeg ik in de firewall toe als "block immediately".
06-04-2011, 10:37 door Anoniem
Door Above: Doe ik ook :-)
Ieder ip-nummer waar hun verbinding mee maken naar China toe voeg ik in de firewall toe als "block immediately".
Zei die trots...
Je ontneemt hun misschien wel de mogelijkheid om hun versie van security.nl of tweakers.net te bekijken.
En je doet daarmee precies hetzelfde als hun eigen regering. Regel een tolk en vraag/kijk wat ze nu precies doen.
Of laat het systeem op Engels zetten. Eis dit desnoods omdat je wilt kijken wat er gaande is en je vreemd verkeer/gedrag waarneemt op je netwerk. Nu maak je hun leven zuur. En zullen ze niet positief zijn over je bedrijf buiten de deur - mogelijk mis je daardoor op een later tijdstip kansen met hun opkomende/aanstormende economie?

Tuurlijk onacceptabel als jullie verbinding eruit vliegt door hun toedoen. Maar zoek de oorzaak i.p.v. zo maar alles blokkeren wat naar China gaat, dat vind ik klinken als chineesjes pesten...
06-04-2011, 10:54 door Anoniem
Je kunt ws met wireshark kijken wat de inhoud van het verkeer is. Wat ik denk dat er gebeurt is dat je routing aangepast wordt op het moment dat die twee hun machine starten. Dat verkeer kan je dan ook zien op je wireshark. Kijk eens in je archief en zoek een ouderwetse hub en zet die tussen je lan en je dreytec, sluit je monitoring pc met wireshark ook aan op die hub en dan zie je al het verkeer voorbij komen. (er zijn ook andere methoden, maar die zijn potentieel schadelijk).
06-04-2011, 10:59 door ej__
Door Above:
Door Anoniem: Kan je die VPN verbinding niet gewoon blokkeren ?

Doe ik ook :-)
Ieder ip-nummer waar hun verbinding mee maken naar China toe voeg ik in de firewall toe als "block immediately".
Dat is een onhandige actie. Zo wordt je blocklist alleen maar langer en langer. Dan beter een landenblock toepassen. Niet dat dat je helpt hoor, dan gaan ze via een proxy gewoon door.

PC'tje op eigen verbinding zetten, usb blokkeren, cd blokkeren en ze daarmee laten rommelen tot ze een ons wegen is handiger en veiliger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.