Portscan legt meine int. Kommunikation lahm

Anmeldungsdatum: 09.12.2004 Beiträge: 17

Hallo !

Leider wusste ich nicht wie ich Überschrift nennen sollte.

Also:

Ich habe in der FW Portscan und IDS so gesetzt, das bei Versuchen der Absender 20 Minuten gesperrt wird.

Leider passierte eben folgendes. Ich habe Skype gestartet und dieses Programm versucht über etliche Ports nach draussen zu kommen (Port-Scan).
Also von intern nach extern. Und was mein Router: Ah, Portscan detectet, Absender Adresse gesperrt, nämlich die IP meines PCs.

Kann ich das irgendwie verhindern ?

Gibt es irgendeine Regel die ich setzten kann, damit das nicht wieder passiert ?

Gruss mark13

Anmeldungsdatum: 10.11.2004 Beiträge: 968 Wohnort: Hessen

Sicher das die DoS, IDS Protection angesprochen hat? Habe mich gerade auch mit Skype beschäfitgt. Es ist wohl eher so, daß bei einer Deny_All Strategie der Firewall unter gewissen Umständen die CPU Last auf 100% schnellt und der Router schlicht nicht mehr reagiert bzw. abstürzt.

Probiere mal folgendes:
- Schalte bei vorhandener Deny_All die SNMP Event Benachrichtigung aus oder
- erstelle eine Allow Regel für Skype, die alle Ziele Ports über 1024 umfasst UND als Quell Port denjenigen, den du in Skype vergeben hast.

Dann sollte das laufen...

Gruß
COMCARGRU

Anmeldungsdatum: 09.12.2004 Beiträge: 17

Hi !

Ne, das war schon wegen dem Portscan.
Werde aber mal Deine Config ausprobieren.

Gruss mark13

Zitat:

Date: 2/27/2005 14:03:55

The packet below

Src: 192.168.1.50:1133 Dst: 66.235.181.59:30528 (TCP)

45 00 00 30 03 1d 40 00 80 06 3d aa c0 a8 01 32 | E..0..@. ..=....2
42 eb b5 3b 04 6d 77 40 85 2c 44 5e 00 00 00 00 | B..;.mw@ .,D^....
70 02 ff ff 83 e6 00 00 02 04 05 b4 01 01 04 02 | p....... ........

matched this filter rule: port scan detection
filter info: possible TCP portscan from 192.168.1.50

because of this the actions below were performed:
reject
send email to administrator
send SNMP trap
block source address for 20 minutes

Anmeldungsdatum: 10.11.2004 Beiträge: 968 Wohnort: Hessen

Interessant, was hast du für FW Regeln? Bei mir hatte ich diesen Effekt nicht! Allerdings ist Skype eine unsägliche Software...

Gruß
COMCARGRU

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4564 Wohnort: Aachen

Hi mark13

Das Blocken der Absender-Adresse ist immer eine schlechte Idee, da damit ein DoS-Angriff tatsächlich funktioniert. Stell dir vor, jemand fälscht die Absenderadresse bei einem Scan auf die IP-Adresse des DNS-Servers deines Providers - damit ist automatisch dein Internetzugang derartig gestört, daß er de fakto nicht mehr genutzt werden kann. Von daher: entferne als erstes die Blockierung (die hat eh nur Marketingtechnisch eine Bedeutung und ist ansonsten eher schädlich, wie du selbst gemerkt hast).

Ich selbst kenne Skype nicht, aber wenn es in dem Progremm eine Möglichkeit gibt, die Anzahl der genutzen Verbindungen zu beschränken, dann setze diese auf einen Wert < 50

Als nächstes hast du noch die Möglichkeit, im LANCOM die Schwelle, ab der ein Portscan erkannt, wird heraufzusetzen (Default ist 50 Anfragen in 30 Sekunden)

Gruß
Backslash

Anmeldungsdatum: 10.11.2004 Beiträge: 968 Wohnort: Hessen

Eine Möglichkeit Skype zu begrenzen habe ich nicht entdecken können, aber die Software ist in der Lage die Hardware von Lancom gehörig unter Last zu setzen... - bis zum Ausstieg der Box!!!

Gruß
COMCARGRU