SBS 2008 Internettraffic

[dormi98 15]

Hallo zusammen!

 

Ich hoffe der Thread passt hier rein, auch wenn es eigentlich kein echtes technisches Problem ist sondern eher die rechtliche Fragen im vordergrund stehen.

 

Ich habe Anfang Dezember für einen sehr kleinen Kunden (2 Personen - Unternehmen) einen SBS 2008 implementiert. Das System läuft einwandfrei und wurde mit allen üblichen Sicherheitskomponenten versehen (Virenscanner, Windows Server Firewall, Automatische Windows Updates, einfache Hardwarefirewall als Router)

vom internet aus sind nur HTTPS und RDP aus erreichbar. Mails werdnen per POP3 vom Provider geholt, weil der Server auch öfter mal für 2-3 Tage ausgeschalten ist.

so viel zur Umgebung

 

Jetzt Ende Jänner hat der Internetprovider eine Rechnung über 2000€ für die überschreitung des inkludierten Datenvolumens von 5GB gestellt. Für den Monat Jänner wird noch einmal eine so hohe Rechnung gestellt.

In dem Vertrag waren tatsächlich nur 5GB inkludiert und in den beiden Monaten sind angeblich jeweils 50GB angefallen.

 

In der Datenaufstellung kann man erkennen, dass täglich ziemlich genau 1,5 GB download und 50MB upload verbraucht worden sind. Da das Büro mehrmals in der Woche auch garnicht besetzt ist und sich an vielen Tagen auch die remote Arbeit (OWA) auf null beziffert, kann mit sicherheit gesagt werden, dass nicht das Userverhalten die Datenmenge verursacht hat.

 

Es bleiben also meiner Meinung nach nur 3 Quellen

A) ein Fehler beim Provider

B) jemand hat von außen Traffic verursacht (zb. Passwort brute force)

C) Der Server hat den Traffic verursacht.

da der letzte Punkt natürlich der naheliegenste ist, habe ich versucht hier einen Fehler zu finden. Ich kann mit größmöglicher Sicherheit (absulote gibt es ja nie) sagen, dass der Server frei von Viren, Würmern oder sonstiger Malware ist. Ich habe außerdem mit eine Netzwerkanalyse (Wireshark) durchgeführt und konnte nur Verbindungsversuche der Windows Updates und des Virenscanners finden. Komischerweise sehr viele und auch sehr viele die falsche Prüfsummen haben. Woher das kommt ist mir unerklärlich.

 

sonstige Fakten:

Ich wusste nicht bescheid, dass der Kunde keine Flatrate für seinen Internetanschluss hat.

Der Kunde hat einen Business Anschluss mit fixer IP Adresse.

Der Internetprovider hat bereits vor 2 Jahren viele Kunden von sich aus auf eine Flatrate umgestellt.

Ein Anwalt wird nächste Woche besucht um die Punkte auch rechtlich zu klären, allerdings denke ich dass ihr hier die technischen Umstände besser beurteilen könnt als ein Anwalt.

 

Fragen:

Verursacht jeder SBS 2008 so viel Internettraffic? Erfahrungswerte? Ist es gar eine bekannte Tatsache dass ein SBS 2008 so viel verursacht?

Hätte ich bei der Konfiguration etwas anders machen müssen?

Hätte ich mich vor der Installation eines SBS2008 davon vergewissern müssen dass eine Flatrate besteht oder kann man heute schon davon ausgehen dass dem so ist?

Der Internetprovider ist laut seinen Aussagen nicht in der Lage die Verbindungsdaten (Trafficübersicht nach IP Adressen und Ports) vorzulegen weil diese garnicht aufgezeichnet werden. Es gibt lediglich eine Aufzeichnung der Logins des Routers mit der Dauer der Verbindung und der in der jeweiligen Verbinung übertragenenen Datenmenge. Genügt dem Internetprovider diese Aufzeichnung als Beweis?

Wie soll ich und mein Kunde weiter vorgehen? Selbst eine Kulanzlösung mit 25% wäre noch immer extrem überteuert.

 

 

Ich bin dankbar über jegliche Inputs.

[mba 133]

Ich würde nie von einer Flatrate ausgehen. Ich lasse mir die Umgebungsparameter vom Kunden stets schriftlich bestätigen.

 

Wie holen die Clients die Updates? Bzw. wie sind die Updates konfiguriert. Wie ist der WSUS konfiguriert? Wieviele Clients hast Du in der Domäne?

 

Zum rechtlichen Teil werde ich definitiv keine Aussage treffen. Dafür gibt es Anwälte. Diese können Dich auch rechtssicher beraten.

[goscho 11]

Hallo dormi,

 

das ist natürlich eine üble Sache. :(

 

Ist auf dem SBS ein WSUS eingerichtet und wenn ja, was holt der alles ab?

Welcher Virenscanner wird genutzt und wie ist dort das Downloadverhalten?

 

Prinzipiell erscheinen mit 1,5 GB pro Tag für eine 2 Mann Firma relativ viel für "normales Surfen".

Und was heißt schon "normales Surfen"? Wenn sich jemand den ganzen Tag Videos reinzieht, erzeugt er ordentlich Traffic.

Allerdings wird das nicht einfach sein, genau zu trennen, wer was heruntergeladen hat.

 

 

Gerade erst gestern habe ich 2 Windows Server 2008 Images von MS heruntergeladen, jeweils 3 GB groß. Das hat keine 2 Stunden gedauert (2 x 6000 ADSL).

 

Mein Router (Netgear FVS336G) erlaubt das Einstellen eines Limits.

Ich habe dort das Monitoring eingeschaltet.

Im Februar (1.2. -5.2.) haben wir über WAN1 ca. 25 GB und über WAN2 ca. 19 GB Traffic erzeugt.

[dormi98 15]

Wie schon gesagt, die Clients kann ich mit Sicherheit als Problemquelle ausschließen, da sie an vielen Tagen überhaupt nicht eingeschalten waren und auch an diesen Tagen die gleiche Datenmenge übertragen wurde.

 

JA ein WSUS ist auf dem SBS drauf, der die beiden WinXP Clients mit Updates versorgt. WSUS synchronisiert nur die Updates für XP. Die WSUS DB hat gerade mal 2,5GB und auch an Tagen wo die WSUS Synchronisation keine neuen Updates aufweist liegt der Traffic bei den besagten 1,5GB

[Sunny61 812]

Gibts dort einen WLAN-Router? Wenn ja, möglicherweise ist der ja nicht richtig gesichert.

[dormi98 15]

Nein, WLAN Router gibt es keinen.

 

Der Server war jetzt auch mal wieder einen Tag komplett ausgeschalten (und niemand im Büro). Trotzdem liegt noch immer ein Verbrauch von 30MB vor. OK das ist natürlich nicht viel, aber es zeigt wieviel sinnloses Zeug da aus dem Internet kommt.

[XP-Fan 220]

Hi,

 

wenn der Server aus war und niemand im Büro war / PC auch aus frage ich mich

woher kommt der Traffic ?

[GuentherH 61]

Der Server war jetzt auch mal wieder einen Tag komplett ausgeschalten (und niemand im Büro).

 

Wenn dies wirklich der Fall ist, dann solltest du mal unter den Anschlüssen des Routers/Firewall nachsehen. Da müssten irgendwo 30 Mbyte herumliegen. ;)

 

Spaß beiseite. Wenn alles aus ist, dann kann es keinen Traffic geben.

 

LG Günther

[djmaker 95]

Hmm,

 

auch wennes **** klingt:

 

Router und Modem ausschalten und vom Netz trennen.

[Gadget 37]

Servus Dormi98,

 

als Techniker der täglich in SBS Umgebungen zu tun hat und diese Projektiert muss ichs leider direkt sagen.

 

Hätte ich mich vor der Installation eines SBS2008 davon vergewissern müssen dass eine Flatrate besteht oder kann man heute schon davon ausgehen dass dem so ist?

 

JA, die Internetverbindung muss überprüft werden bei einer SBS Installation.

 

Aus meiner Sicht sind zwei Pflicht-Angelegenheiten bei einer SBS Installation durchzuführen:

 

1. Breitband Anschluss mit fester IP-Adresse

 

2. Flatrate

 

(Ohne Flatrate einen Mailserver zu betreiben ist verrückt, weil Traffic auch durch Spam erzeugt wird.)

 

lg Gadget

[dormi98 15]

zuerst mal vielen Dank für die Inputs - freut mich ein paar Meinungen zu hören.

 

Meine Annahme zu dem Traffic ist, dass es einfach Netzwerkverkehr ist, der von außen kommt und der Internetprovider das wohl auch zählt. Das einzige Gerät das übers Wochenende eingeschalten war, war die Telefonalage (keine VoiP Anlage) und die hat nichtmal ein default Gateway eingetragen.

 

@Gadget

Mailserver wird zwar betrieben, aber der ruft wie gesagt über POP3 die Mails ab und die sind bereits Spam bereinigt. Nichts desto trotz kann man deine 2 Punkte:

Aus meiner Sicht sind zwei Pflicht-Angelegenheiten bei einer SBS Installation durchzuführen:

 

1. Breitband Anschluss mit fester IP-Adresse

 

2. Flatrate

so stehen lassen.

Wie gesagt, ich bin nichtmal auf die Idee gekommen, dass es nicht so sein könnte.

Kannst du bestätigen / wiederlegen, dass ein SBS 2008 derart viel Traffic produziert?

[traced82 10]

Hmm... der erste Gedanke war bei mir aber auch ein (falsch konfigurierter) WSUS?!

 

Grüsse

Basti