Nachdem ich für meine Server nun auch den ausgehenden Verkehr auf der Firewall geblockt habe, sehe ich nun, was da alles ins Internet will. Legitim oder nicht, das ist hier die Frage …
Am Beispiel meines NAS mit OpenMediaVault sehe ich eine stündliche Verbindung 193.1.193.64:80
Ein nslookup 193.1.193.64 zeigt mir ftp.heanet.ie - das sagt mir nichts. Aber vermutlich laufen mehrere Domains auf diesen Rechner, nur per Reverselookup bekomme ich die nicht heraus. Also muss ich bei der DNS-Auflösung am Server ansetzten. Dazu könnte ich mir einen eigenen DNS-Server mit entsprechenden Logging einrichten - zu viel Aufwand finde ich. Im Netz habe ich dann folgende Methode gefunden:
Am NAS-Server folgenden Befehl aufrufen, um die DNS-Aufrufe anzuzeigen (per Pipe kann man die Ausgabe auch in eine Datei umleiten und dann per grep nach der IP Suchen):
tcpdump -vvv -s 0 -l -n port 53
Als Ergebnis erhalte ich nun alle DNS-Aufrufe:
192.168.1.1.53 > 192.168.1.2.44877: [udp sum ok] 29459 q: A? database.clamav.net. 3/0/0 database.clamav.net. [19s] CNAME db.local.clamav.net., db.local.clamav.net. [38m32s] CNAME db.at.clamav.net., db.at.clamav.net. [39s] A 193.1.193.64 (116)
13:57:01.286330 IP (tos 0x0, ttl 63, id 10757, offset 0, flags [DF], proto UDP (17), length 128)
Hier sehen wir die gesuchte IP 193.1.193.64 (als Ergebnis der DNS-Auflösung) und den ursprünglichen DNS-Namen database.clamav.net.
Also wird hier vermutlich versucht die Viren-Datenbank zu aktualisieren - ein legitimer Aufruf also.
Nun kann ich ohne schlechten Gewissen die IP auf der Firewall freischalten. Leider kann sich die IP für einen Domainnamen ändern, eine Freischaltung für DNS-Namen bekommen die meisten Firewalls leider nicht hin. Besser wäre hier also den http-Verkehr über einen Proxy zu leiten, ein HTTP-Proxy kann meist nach Domännamen filtern, aber das ist eine andere Geschichte.