Alarmer i brannmur

[nomore]

Hei

 

Har installert tre nye brannmurer ute hos kunder som har mellomstor til stor belastning på linja med ca 10-20 brukere internt. (tidligere har de brukt en billig router m/ brannmur eller SBS2003)

 

Etter noen dager å uker nå med å følge med i alarmloggen får eg en del treff som i hodet mitt virker ulogisk og kanskje bør være en god grunn til å mistenke virus/spyware.

 

Uansett, de siste to alarmene/filterloggingen er som følger:

 

En maskin har nå i de siste 5 timene hatt en connection ut via brannmuren til adressen 127.0.0.1, altså localhost(på brannmur går et ut i fra da), via port 8080. Brannmuren logger dette som MSN Messenger Service og Client, og lar pakkene passere. Det eg reagerer på er adressen og porten.. er det bra?

 

En annen sender hvert minutt ut 4 udp pakker mot adressen 255.255.255.250 via port 1200(ssdp). Disse pakkene blir blokkert med meldingen "IP address spoofing". Hva skjer her?

 

Det var det som låg der nå, men i tillegg får eg en annen som eg reagerer kraftig på:

 

Tilfeldige maskiner på innsiden sender pakker til hverandre som blir sperret, og merket med "Port Probe". På disse maskinene vet eg at brukerene ikke kjører portscan av noen type, så dette må være noe automatisk på maskinen. Tips?

 

Eg har ikke sjekket hver enkelt maskin og antivirus løsning enda, men på bakgrunn av disse filtertreffene og alarmene kommer eg nok til å planlegge et besøk for en liten sjekk.

 

Andre tips å komme med? Takker for all hjelp