 |
|
|
|
| Autor |
Nachricht |
goermet
Anmeldungsdatum: 29.01.2005
Beiträge: 210
Wohnort: Halle/S.
|
 Verfasst am:
Fr 28 Okt, 2005 10:38 |
  |
|
Kennt jemand eine Möglichkeit, das IDS für VPN Verbindungen auszuschalten oder noch besser, für bestimmte Quellhosts zu deaktivieren. Hintergrund: Unser NIS scann regelmäßig bestimmte Subnetze ab, was natürlich zu einem Block führt. Abschalten an sich will ich es aber auch nicht, das es doch wertvolle Infos über Würmer im internen Netz liefern kann. |
_________________
Goermet (LCS) |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4567
Wohnort: Aachen
|
| Verfasst am:
Fr 28 Okt, 2005 15:26 |
|
|
Hi goermet,
nein, eine solche Möglichkeit gibt es nicht.
Es stellt sich natürlich die Frage, wozu du Portscans im eigenen Netz benötigst, außer um herauszufinden ob irgendwelche Rechner "verbotene" Software installiert haben. Dazu kannst du dann auch in jedem Subnetz einen eigenen Scanner aufstellen...
Gruß
Backslash |
|
|
|
|
goermet
Anmeldungsdatum: 29.01.2005
Beiträge: 210
Wohnort: Halle/S.
|
| Verfasst am:
Fr 28 Okt, 2005 19:47 |
|
|
Hallo
da liegt ein Mißverständis vor. Ich habe HP Insight Manager (NIS=Network Informatin System nicht Network Intrusion Detection System) im Einsatz (warum ich den nicht in jedem Subnetz einzeln installieren will ist klar denke ich) und der "scannt" die Subnetze ab bzw. fragt die Verfügbarkeit der entsprechenden Dienste ab. Das interpretiert die Lancom jedoch als Portscan (was es ja quasi auch ist), jedoch kann ich dem das schlecht verbieten. Und ich will die Portscan-Erkennung nicht abschalten, weil die mir schon Würmer angezeigt hat, die im internen Netz waren.
Das selbe in grün ist es mit dem HP Webadmin und z.B. den Verwaltungstools der Ricoh (Drucker) Clone. Von daher ist es denke ich nicht so ganz unerheblich. |
_________________
Goermet (LCS) |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4567
Wohnort: Aachen
|
| Verfasst am:
Fr 28 Okt, 2005 20:57 |
|
|
Hi goermet,
| Zitat:
|
|
und der "scannt" die Subnetze ab bzw. fragt die Verfügbarkeit der entsprechenden Dienste ab
|
wie viele Dienste sucht er denn so?
| Zitat:
|
|
Das interpretiert die Lancom jedoch als Portscan (was es ja quasi auch ist)
|
Das LANCOM interpretiert mehr als 50 Ports die ein Rechner bei einem anderen Rechner innerhalb kürzester Zeit abfragt als Portscan - und ein Programm daß soetwas macht, ist mindestens schlecht designed, wenn mir da nicht noch schlimmere Bezeichnungen einfallen...
| Zitat:
|
|
jedoch kann ich dem das schlecht verbieten
|
wie wäre es damit, die Software so zu konfigurieren, daß sie nur die Dienste scannt, die auch benötigt werden und nicht alles, was irgendwann mal erfunden wurde...
| Zitat:
|
|
Das selbe in grün ist es mit dem HP Webadmin und z.B. den Verwaltungstools der Ricoh (Drucker) Clone. Von daher ist es denke ich nicht so ganz unerheblich.
|
Also beim Namen "Webadmin" denke ich da eher ein Programm, daß alle möglichen Rechner auf Port 80 abfragt - aber soetwas wird ja vom LANCOM auch nicht als Portscan gewertet (ganz alte Versionen hatten da ein paar Probleme mit, das ist aber schon lange her...)
Gruß
Backslash |
|
|
|
|
goermet
Anmeldungsdatum: 29.01.2005
Beiträge: 210
Wohnort: Halle/S.
|
| Verfasst am:
Fr 28 Okt, 2005 21:23 |
|
|
Hallo Backslash
da werden verschiedene Hardwareparameter, Netbios, DNS, Clusterdienste, ....... Zustand der ORA -DB, Festplatten Speicherplatz, .... CPU AUslastung, Stand des danebenstehende Colaautomaten, .... Verfügbarkeit der SAP Dienste, ... und so weiter von jeweils ca. 10 Servern + Drucker + Clients etc. in 15 Niederlassungen abgefragt und was soll ich sagen, das ist nicht so einfach konfigurierbar, mal davon abgesehen, das das halt in Echtzeit überwacht werden soll.
Webadmin (nicht webmin) ist das HP System zur Druckerüberwachung (Füllstand, der Toner, Papapier, Druckweg .... nächster Kaffeautomat, ... Letzte Wartung, aktuelle Druckseiten, ...
Was soll ich sagen: Es gibt halt Programme die sind dafür vorgesehen, möglichst viele Informationen von vielen Systeme in möglichst kurzer Zeit zu bekommen - und das ist legitim, wie soll ich sonst wissen, was in meinem Netzwerk abgeht. Ich hab nicht 2, nicht 20 nicht 200 sondern noch viel mehr Systeme und Drucker zu überwachen! Das kann ich nicht per Hand und mit 2 Mitarbeitern, da muß ich automatsieren. Und jedes System hat halt andere Dienste. Und da will ich nicht bei jedem neuen System alles per Hand einstellen - desweg hab ich ja z.B. den Insight Manager!
Und Lancom-Geräte sind ja nicht für den Home-User sondern für Professionals?!! Und da ich den lancom-Geräten (und den Entwicklern) mittlerweile mehr zutraue als z.B. Cisco (gott hab die Geräte selig) versuche ich hier halt eine Lösung für mein Problem zu finden - und wenn ich sie selber implementieren muß! |
_________________
Goermet (LCS) |
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 973
Wohnort: Hessen
|
| Verfasst am:
Fr 28 Okt, 2005 22:11 |
|
|
Nur mal so eine Frage: Heist das Ding nicht korrekt HP WebJETadmin?
Unsägliche Software - kennt einer was besseres?
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Sa 29 Okt, 2005 09:26 |
|
|
Hallo Goermet,
| Zitat:
|
|
Ich habe HP Insight Manager (NIS=Network Informatin System nicht Network Intrusion Detection System) im Einsatz (warum ich den nicht in jedem Subnetz einzeln installieren will ist klar denke ich) und der "scannt" die Subnetze ab bzw. fragt die Verfügbarkeit der entsprechenden Dienste ab.
|
Und der scannt die Systeme auf so vielen unterschiedlichen Ports? Macht der das nicht eigentlich per SNMP?
| Zitat:
|
|
versuche ich hier halt eine Lösung für mein Problem zu finden - und wenn ich sie selber implementieren muß!
|
Vielleicht hilft ja ein analoges Vorgehen zum Broadcast-Ping. Hier kann man ja seit der 5.x eine Firewall-Regel anlegen, damit bei einem Ping auf die Broadcastadresse des Lans hinter dem Lancom nicht das IDS anspringt.
Noch schöner wäre es natürlich, wenn man das IDS im Lancom feiner konfigurieren könnte. Mich interessieren Portscans überhaupt nicht - trotzdem bekomme ich jedesmal einen Eintrag in der Firewall, da man nur global SNMP-Traps ein- oder ausschalten kann.
Gruß
Mario |
|
|
|
|
goermet
Anmeldungsdatum: 29.01.2005
Beiträge: 210
Wohnort: Halle/S.
|
| Verfasst am:
Sa 29 Okt, 2005 14:15 |
|
|
Ja, es Heißt webjetadmin. Ist aber nicht unsäglich, sondern perfekt auf HP geräte abgestimmt. |
_________________
Goermet (LCS) |
|
|
|
COMCARGRU
Anmeldungsdatum: 10.11.2004
Beiträge: 973
Wohnort: Hessen
|
| Verfasst am:
So 30 Okt, 2005 12:05 |
|
|
Äh ich weis nur, daß man bei Benutzung oft Kaffee holen kann - die Software ist nämlich sehr "gemütlich"...
Gruß
COMCARGRU |
_________________
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet??? |
|
|
|
goermet
Anmeldungsdatum: 29.01.2005
Beiträge: 210
Wohnort: Halle/S.
|
| Verfasst am:
So 30 Okt, 2005 12:47 |
|
|
Deswegen ja auch der Stand des Kaffeeautomaten :-> Jedoch brauch ich dir nur seleten um die Einstellungen zu ändern - alles andere macht sie sehr zuverlässig. |
_________________
Goermet (LCS) |
|
|
|
|
|
|
|
| |
|
|
