LANCOM-Forum.de
http://www.lancom-forum.de/

Komische Intruder-Meldungen
http://www.lancom-forum.de/fragen-zum-thema-firewall-f15/komische-intruder-meldungen-t16293.html
Seite 1 von 1

Autor:  egli [ 14 Sep 2017, 18:40 ]
Betreff des Beitrags:  Komische Intruder-Meldungen

Hallo zusammen,
seit einigen Wochen häufen sich bei uns merkwürdige Intruder-Meldungen. Meist sind das irgendwelche Anfragen von Privaten IP-Adressen auf dem als Internetzugang verwendeten Gateway. Da ich zuvor da nie Mails bekommen habe, war ich etwas verwundert.
Diese Meldungen sehen so aus:
Code:
Date: 9/14/2017 7:05:49

The packet below

Src: 172.28.37.11:49384  Dst: [UNSERE IP]:23 {Lancom.intern} (TCP)

IP-Packet (44 Bytes):

   45 00 00 2c fb 2c 00 00  f0 06 44 bd ac 1c 25 0b | E..,.,.. ..D...%.
   4f c2 69 f8 c0 e8 00 17  00 00 6c 50 00 00 00 00 | O.i..... ..lP....
   60 02 39 08 a7 8c 00 00  02 04 05 14             | `.9..... ....   

matched this filter rule: intruder detection
filter info:              packet received from invalid interface INTERNET

because of this the actions below were performed:
   drop
   send SNMP trap
   send email to administrator


Oder aber auch

Code:
Date: 9/13/2017 4:41:43

The packet below

Src: 192.168.122.127:53345  Dst: [UNSERE IP]:2772 {Lancom.intern} (TCP)

IP-Packet (40 Bytes):

   45 00 00 28 61 a0 00 00  f5 06 62 6e c0 a8 7a 7f | E..(a... ..bn..z.
   4f c2 76 d7 d0 61 0a d4  f2 df 1d a3 00 00 00 00 | O.v..a.. ........
   50 04 04 b0 bd b6 00 00                          | P.......         

matched this filter rule: intruder detection
filter info:              packet received from invalid interface INTERNET

because of this the actions below were performed:
   drop
   send SNMP trap
   send email to administrator



Ist das nur das übliche Hintergrund-Rauschen, sprich die Anfrage nach Ports, die nicht geöffnet sind, oder muss man sich da sorgen machen?

Vielen Dank für Hinweise!

Peter

Autor:  backslash [ 15 Sep 2017, 15:55 ]
Betreff des Beitrags:  Re: Komische Intruder-Meldungen

Hi egli,

das IDS springt nunmal an, wenn Pakete mit Quell-Adressen die im Lokalen Netz liegen über das Internet rein kommen und ungekehrt.
Bei dem UDP: hängst du an einem Kabelanschluß? Das ist ein Antwort-Paket eines DHCP-Servers an einen Host mit der MAC-Adresse 24:65:11:25:0a:32...

alles in allem kannst du das sicherlich ignorieren - zumal das LANCOM die Pakete ja geblockt hat...

Gruß
Backslash

Autor:  Jirka [ 15 Sep 2017, 17:13 ]
Betreff des Beitrags:  Re: Komische Intruder-Meldungen

Hi Backslash,

aber das letzte Paket scheint ja vom LANCOM selber zu kommen (mit seiner WAN-IP) und an die interne IP einer Außenstelle zu gehen. Da stimmt doch was mit dem Dynamic VPN nicht, also ist was nicht korrekt konfiguriert meine ich.

Viele Grüße,
Jirka

Autor:  backslash [ 15 Sep 2017, 17:27 ]
Betreff des Beitrags:  Re: Komische Intruder-Meldungen

Hi Jirka,

das ist zwar offensichtlich ein dynamic-VPN-Paket, aber es wird (zumindest laut Mail) auf dem LAN empfangen - und da sollte kein Paket mit einer öffentlichen Quell-Adresse ankommen, es sei denn die Default-Route zeigt ins LAN... Aber ohne genauere Angaben zum Netzaufbau ist alles reine Spekulation.

Gruß
Backslash

Autor:  rrr [ 27 Nov 2017, 05:11 ]
Betreff des Beitrags:  Re: Komische Intruder-Meldungen

Ich hab auch seit Monaten mehrfach täglich IDS-Meldungen von der IP 192.168.11.27 welche immer den SSH-Port anfragt.

Prüft da evtl. die Telekom ob der SSH-Port erreichbar ist?

Autor:  egli [ 30 Dez 2017, 18:25 ]
Betreff des Beitrags:  Re: Komische Intruder-Meldungen

Ich habe in den vergangenen Wochen versucht, bei der Telekom etwas in Erfahrung zu bringen. Leider ohne Erfolg.
Der Reihe nach: Das UDP-Paket sollte von der Betrachtung ausgeschlossen werden (ich habe es aus dem Post oben gelöscht). Diese Meldung habe ich fälschlicherweise eingefügt; das Paket ging bei einem unserer Filialstandorte ein, der in der Tat per Kabel angebunden ist und damit war die Vermutung DHCP vollständig richtig. Sorry, da habe ich beim Post schreiben nicht richtig aufgepasst.

Zur sonstigen Netztopologie: In unserem Netz gibt es zwei per ARF getrennte Netze, 192.168.1.0 und als Gastnetz 192.168.100.1. Es sind zwei Filialstandorte per VPN angebunden. Diese haben die IP-Adressbereiche 192.168.200.0 und 192.168.250.0. Ich hatte auch erst an "Irrläufer" meiner eigenen Konfiguration geglaubt, aber die IP-Adressbereiche aus den gegebenen Intruder-Meldungen werden bei uns im Netz gar nicht vergeben.

Könnt Ihr mir weiterhelfen?

Seite 1 von 1 Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/