Alive Funktion in 4.12

Anmeldungsdatum: 01.02.2005 Beiträge: 18

Seit der 4.12 bekomme ich bei der Webkonfiguration statt der Alive-Konfiguration die Trace-Mac
Seite. Bei Konfiguration per Telnet lassen sich die Werte einstellen.

Volker

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Hi,

ist ein Bug, ist bekannt und wird gefixed.

Ciao
LoUiS

Anmeldungsdatum: 14.01.2005 Beiträge: 325 Wohnort: Stuttgart

@ volker,
kannst du mal den Pfad im Webconfig zum Trace-Mac bzw. Alive-Konfig posten,
ich kann das nicht recht zuordnen und würde es mir mal gerne anschauen.
Hintergrund:
Aktuell suche ich eine Möglichkeit die Mac Adresse zu einer IP herauszufinden, die nicht existieren sollte und die einen Intruder Alarm ausgelöst hat.
Das gibt evtl. Aufschluss über die Geräteart.
Jemand ne Idee wie ich die Loggen lassen kann?
Ich habe noch keinen Anlass so früh auf die Jagt nach Eindringlingen zu gehen, jetzt hab ich mal eine Mailbenachrichtigung ins IDS gesetzt. Wielange behält der Lancom denn die MACs in seiner internen Übersetzungstabelle?
Der verdächtige Eintrag ist:

Code:

Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 6.4.2005 6:17:15 192.168.1.50 84.160.203.240 6 4332 135 intruder detection 00000001 0 40000800
IDS Wert war 500, ist jetzt 50

Richt ein wenig nach dem Versuch Daten abzutransportieren.
Hoffentlich bin ich blos paranoid. -> Dann sagt mir das bitte.
Gruß
Michael

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Hi,

war das ein IDS aus dem WAN? Auf welchem Interface wuerde das empfangen? Evtl. war der nicht in Deinem LAN, sondern der Absender hat eine IP angegeben, die zufaellig in Deinem LAN liegt, 192.168.1.0 ist ja nicht so ein seltenes Netz.
Sonst schau doch mal in die ARP Tabelle des LANCOM /Status/TCP-IP-statistics/ARP-statistics/Table-ARP

Ciao
LoUiS

Moderator Anmeldungsdatum: 07.11.2004 Beiträge: 4500 Wohnort: Aachen

Moin,

Mift, bei den SNMP-IDs nicht aufgepaßt...kümmere ich mich am Montag drum...

Gruß Alfred

Anmeldungsdatum: 14.01.2005 Beiträge: 325 Wohnort: Stuttgart

@ Louis,
ich hoffe nicht das der aus dem WAN kam.
Um das zu verhindern habe ich in der Firewall...
DENY-ALL (misst, war nicht aktiv gesetzt Embarassed

)
Manche Clients haben uneingeschränkten Internet Zugang
Für andere Clients sind per IP-Range nur die SMTP/POP freigegeben.
Manche Server haben auch noch extra erlaubte Ports.

Maskiert ist dank PPTP nur noch Port 311 für ASIP Administration.

Die freie DHCP Range liegt höher, die IPs dürfen dann nichts und alle anderen Stationen haben eine MAC/DHCP Kopplung.

In der Arp Tabelle (config/1/9/1/7/) ist nur ein Eintrag vorhanden, den ich aber zuordnen kann.

Code:

IP-Adresse Node-ID Letzter-Zugriff Anschluss
192.168.1.XXX 00a057xxxxxx 334755504 tics LAN

Es ist ein Office 1000 zur Wartungs-ISDN-Einwahl, die letzte war im März, da dyndns seither problemlos läuft. Smile

Abgesehen von einem LAN Zugang, wie ich es Vermute fällt mir nur noch PPTP ein, dass man sich hierbei als Client beliebige IPs auch außerhalb der Range zuordnen kann wurde glaube ich als Bug aufgenommen.

In den Accounting Infos taucht die XXX.XXX.1.50 nicht auf. Komisch, da hier auch Drucker auftauchen, die gesperrt sind, war wohl das GW nicht gesetzt.

Was kann ich denn machen um wenn es wieder vorkommt mehr Client-Infos, wenigstens die MAC zu bekommen?
Danke
Michael

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Hi,

ich verstehe Deine Aufregung nicht, da das Paket vom WAN kam, dann hat die Firewall es doch so oder so nicht durchgelassen, sondern verworfen. Pakete mit der LAN Absenderadresse sind ja nun auch nichts besonderes, das passiert doch bei M$ OS schon mal oefters.

Ciao
LoUiS

Anmeldungsdatum: 14.01.2005 Beiträge: 325 Wohnort: Stuttgart

Woher sehe ich, ob es aus dem WAN kam?
Ich denke das kam aus dem LAN von einem unberechtigten/unbekannten Client.
Die IDS schlägt schon ab und zu mal aus dem LAN zu, das ist aber erklärbar und ungefährlich, siehe

Code:

Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 9.4.2005 13:13:33 169.254.157.176 239.255.255.253 17 49161 427 intruder detection 00000001 0 40000800
0002 7.4.2005 11:16:01 192.168.000.254 192.168.001.001 17 37652 2208 intruder detection 00000001 0 40000800

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Hi,

wieso sollte jemand aus dem LAN mit Absenderport 4332 auf die WAN IP und Port 135 Deines Routers zugreifen? Das macht aus dem LAN doch keinen Sinn.

Code:

Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 6.4.2005 6:17:15 192.168.1.50 84.160.203.240 6 4332 135 intruder detection 00000001 0 40000800
IDS Wert war 500, ist jetzt 50

Ciao
LoUiS

Anmeldungsdatum: 01.03.2005 Beiträge: 1201 Wohnort: Mont de Cerf

LoUiS hat folgendes geschrieben:

Pakete mit der LAN Absenderadresse sind ja nun auch nichts besonderes, das passiert doch bei M$ OS schon mal oefters.

Ach so, was läuft da?
Ich dachte, es wird immer die ISP-IP verwendet?! Shocked

Ich hatte auch letztlich ein IDS von 192.168.1.1(Port 6000) an meine WAN-IP(Port 1433). Wie kann man das erklären?
Denn dummerweise hatte mein Server danach 30min kein Connect mehr zum Router, da das in der FW von mir so geregelt wird Evil or Very Mad

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Hi,

Zitat:

Denn dummerweise hatte mein Server danach 30min kein Connect mehr zum Router, da das in der FW von mir so geregelt wird

dann hast Du Deine Firewall aber falsch konfiguriert! Ein Angreifer haette dann ja genau das geschafft was er mit einem DoS- Angriff will, Dich auszuschalten. Deshalb ist es gefaehrlichmit dem "Absender Adresse sperren" Feature zu arbeiten, weil genau sowas passieren kann. Wenn jemand eine gefakete Adresse (oder weil zufaellig ein Paket mit der falschen Absenderadresse raus geht) benutzt, die zufaellig zu Deinem Server im LAN passt, dann wir diese Adresse fuer die angegebene Zeit gesperrt.

Zitat:

Ach so, was läuft da?
Ich dachte, es wird immer die ISP-IP verwendet?! Shocked

Es kommt halt bei Windows schon mal gerne vor, dass Pakete auf dem falschen Interface rausgehen, oder die falsche IP als Absender-Adresse verwendet wird.

Ciao
LoUiS

Anmeldungsdatum: 01.03.2005 Beiträge: 1201 Wohnort: Mont de Cerf

LoUiS hat folgendes geschrieben:

dann hast Du Deine Firewall aber falsch konfiguriert! Ein Angreifer haette dann ja genau das geschafft was er mit einem DoS- Angriff will, Dich auszuschalten. Deshalb ist es gefaehrlichmit dem "Absender Adresse sperren" Feature zu arbeiten, weil genau sowas passieren kann. Wenn jemand eine gefakete Adresse (oder weil zufaellig ein Paket mit der falschen Absenderadresse raus geht) benutzt, die zufaellig zu Deinem Server im LAN passt, dann wir diese Adresse fuer die angegebene Zeit gesperrt.

Also meinst Du, es ist besser, diese Funktion nicht zu verwenden?
Gibt es keine Möglichkeit, die FW so zu konfigurieren, dass diese erkennt, ob die IP aus dem LAN oder WAN kommt?
Ich fande es eigentlich bisher nicht verkehr, die IP des Angreifers für eine gewisse Zeit zu sperren.

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Zitat:

Gibt es keine Möglichkeit, die FW so zu konfigurieren, dass diese erkennt, ob die IP aus dem LAN oder WAN kommt?

Nein, die gibt es fuer IDS nicht. Ich meine Backslash hatte den Grund mal irgendwo hier im Forum erklaert. (Kann auch im Router-Forum gewesen sein.)

Zitat:

Ich fande es eigentlich bisher nicht verkehr, die IP des Angreifers für eine gewisse Zeit zu sperren.

Tja und hast selbst erlebt was dabei passiert. Wozu sollte die Funktion gut sein? Wenn der Angreifer Dich per DoS lahm legen will schafft er das auch wenn Du Ihn sperrst.

Ciao
LoUiS

Anmeldungsdatum: 01.03.2005 Beiträge: 1201 Wohnort: Mont de Cerf

LoUiS hat folgendes geschrieben:

Nein, die gibt es fuer IDS nicht.

Danke, wieder was dazu gelernt Very Happy

LoUiS hat folgendes geschrieben:

Wozu sollte die Funktion gut sein?

Hab´s eben für DOS und IDS abgeschaltet Wink

Anmeldungsdatum: 14.01.2005 Beiträge: 325 Wohnort: Stuttgart

@ Louis,
die Meldungen

Code:

Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 9.4.2005 13:13:33 169.254.157.176 239.255.255.253 17 49161 427 intruder detection 00000001 0 40000800
0002 7.4.2005 11:16:01 192.168.000.254 192.168.001.001 17 37652 2208 intruder detection 00000001 0 40000800

Habe ich selbst im LAN produziert, das sind unkonfigurierte bzw. falsch konfigurierte Geräte gewesen.
Wie ist denn die Logik, das dann eine Meldung wie diese

Code:

Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 6.4.2005 6:17:15 192.168.1.50 84.160.203.240 6 4332 135 intruder detection 00000001 0 40000800

nicht aus dem LAN sondern aus dem WAN kommen soll?
Sollte das etwa ein Angriff aus dem WAN mit gefälschter Quell IP darstellen?
Viel naheliegender ist da doch ein unerlaubt ins Netz eingesteckter Laptop, der eine freie IP geraten hat und der ein paar Daten nach Hause schicken möchte oder vielleicht nach dem Ruhezustand noch eine offene Verbindung checkt.
Gruß
Michael