Packet matched rule intruder detection

Henri · Beitrag von **Henri** » 11 Feb 2016, 02:40

Hallo,

ich habe hier einen 7100 mit einigen VLANs und eine Firewall (UTM Appliance, AV, IPS, IDS, Reverse Proxy etc.) ebenfalls mit einigen VLANs installiert.
Im 7100 ist einen statische Route zu 172.20.55.0/24 (VLAN55) via UTM Appliance ("DMZ", 172.20.5.xx, VLAN5) eigerichtet. Das VLAN55 hängt nur an der Appliance mit dieser als Default Route. Ist alles aus LANCOM Sicht LAN-1, "DMZ", RTG-Tag:55. Interessant: bisher habe ich nur SRCip: 172.20.55.111
IDS Messages gefunden, keine DSTip. Die 172.20.55.111 IP wird via IP Masq. für bestimmte Ports vom 7100 angesprochen.
Der Routing Tag wird benötigt, da auf der UTM Appliance 3 VLANs (aus unterschiedlichen Gründen) ankommen die von 7100 gerouted werden und sonst die Firewall das IP Spoofing anschlägt. Das Gerät wird nur für ein paar Server und Clients genutzt, der Rest läuft direkt über den 7100 ( aus Kostengründen ).

Nun schlägt ca. 1-5*/h das LANCOM IDS zu. Besteht die Möglichkeit an Hand der Trace Einträgt zu sagen, was hier das LCOS nicht mag und wieso?

Es gibt hier kein permanentes Problem ([11/Feb/2016 01:48:35] HTTP/ActiveSync: User xxx authenticated from IP address 176.6.19.119; Apple-iPhone4C1/1304.15, [11/Feb/2016 02:17:26] HTTP/ActiveSync: User xxx authenticated from IP address 176.6.19.119; Apple-iPhone4C1/1304.15
).

Danke

Henri

[Firewall] 2016/02/11 02:00:02,827 Devicetime: 2016/02/11 02:00:03,639
Packet matched rule intruder detection
DstIP: 176.6.19.119, SrcIP: 172.20.55.111, Len: 409, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 53564, SrcPort: 4443, Flags: PA
Seq: 2877921977, Ack: 2963717330, Win: 4104, Len: 357
Option: NOP
Option: NOP
Option: 08 = 07 0c 6d 1e 4a b6 66 75

Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
packet dropped

[IP-Router] 2016/02/11 02:00:02,827 Devicetime: 2016/02/11 02:00:03,638
IP-Router Rx (LAN-1, DMZ, RtgTag: 55):
DstIP: 176.6.19.119, SrcIP: 172.20.55.111, Len: 409, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 53564, SrcPort: 4443, Flags: PA
Seq: 2877921977, Ack: 2963717330, Win: 4104, Len: 357
Option: NOP
Option: NOP
Option: 08 = 07 0c 6d 1e 4a b6 66 75
Filter (Port)

UTM Appliance Debug:

[11/Feb/2016 02:00:47] {pktdrop} packet dropped: 3-way handshake not completed (from Local Network Access DMZ (VLAN55), proto:TCP, len:483, 172.20.55.111:4443 -> 176.6.19.119:53564, flags:[ FIN ACK PSH ], seq:2877921977 ack:2963717330, win:4104, tcplen:431)
[11/Feb/2016 02:00:48] {pktdrop} packet dropped: 3-way handshake not completed (from Local Network Access DMZ (VLAN55), proto:TCP, len:396, 172.20.55.111:4443 -> 80.187.105.23:24994, flags:[ FIN ACK PSH ], seq:1110542842 ack:683887297, win:4109, tcplen:344)