IGMP, UPNP-MCAST - Porta 49000 e Porta 1900 [Risolto]

Ciao, ho il Router Fritz!Box Fon Wlan 7140 e come firewall software ho installato su PC XP SP2, OVVIAMENTE, Comodo.

Noto che quando avvio il PC mi trovo nei Logs di Comodo parecchi messaggi relativi al protocollo IGMP che viene bloccato :

Date/Time :2007-08-11 10:44:14
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, Protocol = IGMP)
Protocol:IGMP
IncomingSource: 192.168.178.1
Destination: 224.0.0.1
Reason: Network Control Rule ID = 7

“Il Network Control Rule ID 7 è Block and Log IP IN or OUT from IP ANY to IP ANY where IPPROTO is ANY”

Questi messaggi appaiono ogni pochi secondi per poi diventare sempre meno frequenti con l’andare del tempo …

Il problema è, perchè il router mi invia questi pacchetti ? Ho letto che si consiglia di bloccare questo traffico se non è necessario … ma io non so se è necessario dato che non conosco la provenienza …

Altro traffico che all’avvio del PC mi viene richiesto da Comodo di definire “allow” o “deny” è il traffico UPNP-MCAST a cui ho deciso di dare il “deny” ma senza il “remember” , infatti mi appare nel log :

Date/Time :2007-08-11 10:42:09
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, IP = 192.168.178.1, Port = upnp-mcast(1900))
Protocol: UDP Incoming
Source: 192.168.178.1:upnp-mcast(1900)
Destination: 239.255.255.250:upnp-mcast(1900)
Reason: Network Control Rule ID = 7

Posso dare il consenso o no secondo voi ?

Come ultima cosa, sul pannello di controllo del Fitz!Box mi mostra come “recommended” la funzione “status information over upnp” solo che io l’ho disattivato perchè quando era attiva vedevo sempre tramite Comodo che si generava un intenso traffico sulla porta 49000, troppo intenso per essere normale … ho lo bloccavo da Comodo ho disattivavo la funzione da Fritz!Box.

Io ho scelto di disattivare la funzione dal Fritz!Box … Ho fatto bene ? perchè mi succcede questa cosa ?

Spero proprio che mi possiate aiutare … Grazie.

Ciao e benvenuto,

Noto che quando avvio il PC mi trovo nei Logs di Comodo parecchi messaggi relativi al protocollo IGMP che viene bloccato .. ..Il problema è, perchè il router mi invia questi pacchetti ? Ho letto che si consiglia di bloccare questo traffico se non è necessario ... ma io non so se è necessario dato che non conosco la provenienza ...

La provenienza si conosce perchè è segnalata nel log del firewall e, come al solito, si tratta di tentativi di accesso (intrusione) da parte dei cosiddetti “IANA Special Use”, numeri IP assegnati a non ben identificati enti, come quello che hai riportato (basta controllare con un Whois):

[b]192.168.178.1[/b] OrgName: Internet Assigned Numbers Authority OrgID: IANA Address: 4676 Admiralty Way, Suite 330 City: Marina del Rey StateProv: CA PostalCode: 90292-6695 Country: US NetRange: 192.168.0.0 - 192.168.255.255 CIDR: 192.168.0.0/16 NetName: IANA-CBLK1 NetHandle: NET-192-168-0-0-1 Parent: NET-192-0-0-0-0 NetType: [b]IANA Special Use[/b]

A questo proposito leggiti questo topic recente:
https://forums.comodo.com/italiano_italian/la_ianaorg_tenta_di_mandarmi_qualcosa-t11057.0.html

Pertanto non è il router che ti invia i pacchetti ma, semplicemente, un tentativo bloccato di accesso dall’esterno segnalato dal firewall (che ha fatto il suo dovere).

Altro traffico che all'avvio del PC mi viene richiesto da Comodo di definire "allow" o "deny" è il traffico UPNP-MCAST a cui ho deciso di dare il "deny"..

Per quanto riguarda il traffico nella porta 1900 (è di questa che si tratta), in pratica è dovuto dal servizio di Windows “Host di periferiche Plug and Play universali” che ti consiglio di disabilitare (non serve ed è pericoloso).
Per disabilitare il servizio o altri servizi inutili puoi leggere questa guida:
http://sicurezza.html.it/articoli/stampa/998/sicurezza-nei-servizi-di-wind

Inoltre pare che il tentativo d’intrusione (da come hai riportato) sia sempre ad opera dello stesso numero IP di cui sopra:
192.168.178.1

Come ultima cosa, sul pannello di controllo del Fitz!Box mi mostra come "recommended" la funzione "status information over upnp".. Io ho scelto di disattivare la funzione dal Fritz!Box ... Ho fatto bene ? perchè mi succede questa cosa?

Probabilmente ciò è dovuto al servizio su accennato, che Windows abilita di default (e che “attira” come le api sul miele).
Prova a disabilitarlo come è scritto sulla guida del link e vedi se ancora noti questo traffico…

Grazie per la risposta ! e soprattutto grazie per il link che leggerò con calma …

nel frattempo faccio le seguenti precisazioni ed aggiornamenti :

In merito al primo punto riferito al traffico IGMP bloccato da Comodo, l’indirizzo di sorgente 192.168.178.1 è l’indirizzo locale del router mentre 224.0.0.1 è l’indirizzo del multicast. Pertanto la provenienza è dal router ma non possiamo sapere prima del router da dove viene … al cosa strana inoltre è che Comodo registra nel log il blocco esattamente ogni 2 minuti (+ o - 5 secondi) … spero di essere stato chiaro … (:TNG)

Per quanto riguarda invece l’UPNP-MCAST e la funzione “status information over UPNP” del router che mi generava traffico sulla 49000, ho risolto semplicemente disattivando due servizi da services.msc (“Host di periferiche Plug and Play universali” e “Servizio di rilevamento SSDP”) e disattivando dal router la funzione “status information over UPNP” dato che tanto non avrei più attivo l’UPNP sul PC.

Ora non ho più connessioni attive “strane” e gli unici logs sono :

Date/Time :2007-08-11 14:35:32
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, Protocol = IGMP)
Protocol:IGMP
IncomingSource: 192.168.178.1
Destination: 224.0.0.1
Reason: Network Control
Rule ID = 7

Date/Time :2007-08-11 14:34:22
Severity :Medium
Reporter :Network Monitor
Description:Outbound Policy Violation (Access Denied, ICMP = PORT UNREACHABLE)
Protocol:ICMP Outgoing
Source: 192.168.178.22
Destination: 88.168.112.54
Message: PORT UNREACHABLE
Reason: Network Control Rule ID = 7

Ora le domande sono due :

  1. posso evitare che ogni due minuti Comodo debba bloccare il traffico IGMP disattivando qualcosa da qualche parte ?

  2. Come mai mi appaiono ad intervalli di tempo irregolari messaggi Outbound Policy Violation (Access Denied, ICMP = PORT UNREACHABLE) ? che cosa sta bloccando Comodo e come faccio anche in questo caso ad evitare questi inutili traffici ?

Grazie per la risposta ! e soprattutto grazie per il link che leggerò con calma ...
Non c'è di che .. ..la faccenda dei servizi inutili e pericolosi è da approfondire bene per evitare di lasciare "strade aperte" ai rompiballe che s'intrufolano. ;)
In merito al primo punto riferito al traffico IGMP bloccato da Comodo, l'indirizzo di sorgente 192.168.178.1 è l'indirizzo locale del router mentre 224.0.0.1 è l'indirizzo del multicast. Pertanto la provenienza è dal router ma non possiamo sapere prima del router da dove viene .

Sì, hai ragione, ho controllato che quel range di numeri (192.168.0.0 - 192.168.255.255) è quello che viene utilizzato dalla IANA per assegnare numeri IP privati uso internet e quindi al router:

Private Address Space

The Internet Assigned Numbers Authority (IANA) has reserved the
following three blocks of the IP address space for private internets:

 10.0.0.0        -   10.255.255.255  (10/8 prefix)
 172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
 192.168.0.0     -   192.168.255.255 (192.168/16 prefix)</blockquote>

Non possiamo quindi sapere da dove viene perchè nel traffico IGMP l’ultimo riferimento è quello del router verso il nostro numero IP come da questo schema:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/it/library/ServerHelp/images\s10ag_rt.gif

Per quanto riguarda invece l'UPNP-MCAST e la funzione "status information over UPNP" del router che mi generava traffico sulla 49000, ho risolto semplicemente disattivando due servizi da services.msc ("Host di periferiche Plug and Play universali" e "Servizio di rilevamento SSDP") e disattivando dal router la funzione "status information over UPNP" dato che tanto non avrei più attivo l'UPNP sul PC.
Esatto, come ti avevo consigliato di fare anche io ...

Ora, a questo proposito, riguardo anche al tuo ultimo quesito, prova a disabilitare anche l’inutile servizio “Routing e Accesso remoto” se gia non lo hai fatto, che è in qualche modo legato a sto cacchio di traffico IGMP e anche al più pericoloso, tra l’altro, NetBios:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/it/library/ServerHelp/c0bfeb29-c1c6-4576-8f74-2fa7e96ae2ad.mspx

Quanto alla domanda numero 2, significa che il firewall ha bloccato il signor numero ip 88.168.112.54 che desiderava avere tue informazioni ed è un bene che lo abbia fatto, pertanto non lo devi disabilitare; circa la causa che permetta al numero x ip di generare traffico verso il tuo pc può dipendere da molti fattori, tra cui l’installazione di programmi maliziosi, servizi che lasciano porte in ascolto, trojan, backdoor, ecc. che vengono sfruttati dagli hacker, craker, lamer che scansionano range di ip per entrare …

Allora … facciamo il punto della situazione a seguito anche della guida del tuo link che ho letto ed eseguito scrupolosamente … ho ripristinato i due servizi Host di periferiche Plug and Play universali e Servizio di rilevamento SSDP, ho eseguito quanto c’è scritto sulla guida + ho disattivato il servizio “Routing ed Accesso Remoto” che comunque era disabilitato, risultato :

  1. ho notato che NON SI DEVE DISATTIVARE il servizio Windows Firewall / Condivisione connessione Internet (ICS) se si vuole usare programmi p2p come emule (etc), infatti, la prima volta che ho eseguito la guida e disattivato (quasi) tutti i servizi, ho scoperto che il test delle porte di emule mi dava “non riuscito”, dopo diversi tentativi ho scoperto che è questo servizio che deve rimanere attivo, mentre il Servizio Gateway di livello applicazione puo rimanere disattivato.

  2. Ora se faccio netstat -ano ottengo come uniche porte aperte la 445 con PID 4 (SYSTEM), la 1110 con PID 1816 (il mio antivirus) ed infine la 135 con PID 1184 (SVCHOST)

  3. ovviamente non ho più la rottura di balle dell’UPNP che non mi serve, disabilitata sul PC ed anche sul router, spariti traffici 1900 e 49000

  4. Continuo però ad avere nel log :

Date/Time :2007-08-11 19:10:33
Severity :Medium
Reporter :Network Monitor
Description: Inbound Policy Violation (Access Denied, Protocol = IGMP)
Protocol:IGMP Incoming
Source: 192.168.178.1 (l’indirizzo non cambia mai, è l’indirizzo locale del router)
Destination: 224.0.0.1 (l’indirizzo non cambia mai, è quello del multicast)
Reason: Network Control
Rule ID = 7
(E’ ONNIPRESENTE, SEMPRE E COMUNQUE, QUESI OGNI DUE MINUTI, DEDUCO CHE IL “PROBLEMA” NON ERA IL SERVIZIO “ROUTING” E NEANCHE IL “NETBIOS”)

Date/Time :2007-08-11 19:10:08
Severity :Medium
Reporter :Network Monitor
Description:Outbound Policy Violation (Access Denied, ICMP = PORT UNREACHABLE)
Protocol:ICMP Outgoing
Source: 192.168.178.22 (l’indirizzo non varia mai, è il mio indirizzo locale)
Destination: 59.51.164.192 (l’indirizzo varia ogni volta che registra nel log un nuovo messaggio)Message: PORT UNREACHABLE
Reason: Network Control
Rule ID = 7
(Ho scoperto che se disattivo le porte TCP/UDP di Emule nel “port forwarding” del router, non ho più questa segnalazione, se invece avvio emule l’intensita dei messaggi aumenta di parecchio, diventano molto frequenti, non solo PORT UNREACHABLE ma anche HOST UNREACHABLE e se non sbaglio anche INCOMING)

Consigli ? Suggerimenti ?

..ho ripristinato i due servizi Host di periferiche Plug and Play universali e Servizio di rilevamento SSDP..

Non ho ben capito se per “ripristinato” intendi “disabilitato”, poichè si era detto che questo servizio è inutile e deve essere disabilitato (e rimanerci per sempre) ;D, ma presumo di sì perchè dal netstat che fornisci non ci sono porte in ascolto del servizio.

E' ONNIPRESENTE, SEMPRE E COMUNQUE, QUASI OGNI DUE MINUTI, DEDUCO CHE IL "PROBLEMA" NON ERA IL SERVIZIO "ROUTING" E NEANCHE IL "NETBIOS"

se hai disabilitato tutti i servizi che usano il protocollo IGMP è strano il fatto, a meno che non sei in una rete e hai qualche altro pc connesso al tuo, oppure sei un utente di Fastweb (mi pare di aver letto da qualche parte che questo provider genera questo tipo di traffico).

Circa il secondo log è normale, mettiti l’anima in pace che se usi spesso emule non si possono evitare segnalazioni di traffici di questo tipo, anzi …

Triste è se hai traffico intenso anche quando il pc non è in attività da e verso l’esterno.

Prova ad usare anche un firewall tipo Peerguardian quando usi emule, non da noia a Comodo e filtra diversa “mondezza” (tipo l’IP cinese che hai riportato).