1781VAW: Intrusion Detection Ereignisse

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Pasadena
Beiträge: 23
Registriert: 13 Dez 2016, 15:49

1781VAW: Intrusion Detection Ereignisse

Beitrag von Pasadena »

Hallo,

wir betreiben einen Router 1781VAW mit mehreren VLANs und einem über die VLANs angekoppelten WLAN-Accesspoint L-1302acn.
Die WLAN-Clients können zwischen dem 1781VAW und dem L-1302acn "roamen". Bei beiden Geräten sind unterschiedliche WLAN-Interfaces den VLANS zugeordnet (z.B. WLAN-1-2 am Router dem VLAN 20).
Die VLANs sind außerdem drahtgebunden am Interface LAN-1 des Routers angeschlossen, worüber der Accesspoint Verbindung zum Router hat.

Ich habe nun - wie mehrmals täglich in ähnlicher Weise - folgende Intruder Detection Ereignisse gemeldet bekommen:

Code: Alles auswählen

Date: 10/4/2018 12:38:20

The packet below

Src: 192.168.220.102:55773 {huawei_p9_lite}  Dst: 35.201.97.85:443 (TCP)

MAC-Header (14 Bytes)

   02 a0 57 24 48 bb 8c eb  xx xx xx xx xx xx       | ..W$H... .<d...  

IP-Packet (80 Bytes):

   45 00 00 50 6f c3 40 00  40 06 a8 b7 c0 a8 dc 66 | E..Po.@. @......f
   23 c9 61 55 d9 dd 01 bb  b3 9b ff 8b a3 43 33 94 | #.aU.... .....C3.
   80 18 05 f8 bb e8 00 00  01 01 08 0a 01 47 9a f8 | ........ .....G..
   68 94 a6 b1 17 03 03 00  17 08 e4 48 d4 7d 53 e6 | h....... ...H.}S.
   10 d8 f2 32 b1 ca f1 24  76 3a 6c 53 4f 7d 6b af | ...2...$ v:lSO}k.

matched this filter rule: intruder detection
filter info:              packet received from invalid interface WLAN-1-2

because of this the actions below were performed:
   drop
   send SNMP trap
   send email to administrator
und

Code: Alles auswählen

Date: 10/4/2018 12:36:59

The packet below

Src: 192.168.220.102:42514 {huawei_p9_lite}  Dst: 74.125.206.188:5228 (TCP)

MAC-Header (14 Bytes)

   02 a0 57 24 48 bb 8c eb  xx xx xx xx xx xx       | ..W$H... .<d...  

IP-Packet (128 Bytes):

   45 00 00 98 5b e7 40 00  40 06 28 30 c0 a8 dc 66 | E...[.@. @.(0...f
   4a 7d ce bc a6 12 14 6c  13 c6 80 3b 2c 4f 34 cc | J}.....l ...;,O4.
   80 18 07 1f 90 f8 00 00  01 01 08 0a 01 47 81 01 | ........ .....G..
   68 84 47 f3 17 03 03 00  5f 00 00 00 00 00 00 00 | h.G..... _.......
   13 6e 59 f4 f4 a7 a2 4f  a4 ef dd 29 2f a4 31 0c | .nY....O ...)/.1.
   19 02 27 e2 10 43 57 8c  2f 52 fc 9c a9 dc de bd | ..'..CW. /R......
   62 b0 89 26 cb ef bf 44  3d e8 92 cc 21 be 38 98 | b..&...D =...!.8.
   2b 2f 9c 19 3b 84 39 81  f1 46 ed c0 40 8f 34 41 | +/..;.9. .F..@.4A

matched this filter rule: intruder detection
filter info:              packet received from invalid interface LAN-1

because of this the actions below were performed:
   drop
   send SNMP trap
   send email to administrator
Beim ersten Event wurde ein Paket von einem WLAN-Client (Android-Mobilgerät) zurückgewiesen, das über ein WLAN-Interface direkt am Router ankam. Das WLAN-Interface war für den Client korrekt, also gehört zum korrekten erwarteten VLAN.

Beim zweiten Event war derselbe WLAN-Client betroffen, wobei hier das Paket am Router über LAN-1 ankam, also vom Accesspoint.

Da die WLAN-Clients roamen dürfen, ist es ja nicht erstaunlich, dass die Pakete von ihnen mal über LAN-1 (vom Accesspoint) oder direkt über ein WLAN-Interface beim Router landen. Ist da evtl. bzgl. des Roaming der WLAN-Clients etwas nicht korrekt eingestellt?
Ich habe IAPP Kommunikation zwischen Accesspoint und Router über das INTRANET (Default-VLAN 1) eingestellt.
Gilt es sonst noch etwas zu beachten in dem Zusammenhang?

Die Intrusion Detection Events mehrmals täglich sind schon recht lästig.

Viele Grüße, Hans-Georg
Nach oben
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1979
Registriert: 12 Nov 2004, 16:04

Re: 1781VAW: Intrusion Detection Ereignisse

Beitrag von MoinMoin »

Moin Hans-Georg,

ich beobachte bei meinem Android-Telefon, daß es das erste Paket nach dem Einbuchen im WLAN immer mit der IP-Adresse aus dem Mobilfunknetz verschickt. Das Paket läuft dann natürlich in den Filter. Passt bei dir die IP-Adresse zum Interface?

Ciao, Georg
Nach oben
Pasadena
Beiträge: 23
Registriert: 13 Dez 2016, 15:49

Re: 1781VAW: Intrusion Detection Ereignisse

Beitrag von Pasadena »

Hallo,
ja bei mir passt die IP des Mobilgeräts in den Intrusion Meldungen zum (WLAN-)Interface des Smartphones.
Viele Grüße, Hans-Georg
Nach oben
Pasadena
Beiträge: 23
Registriert: 13 Dez 2016, 15:49

Re: 1781VAW: Intrusion Detection Ereignisse

Beitrag von Pasadena »

Hallo,

der LANCOM-Support hat sich des Problems angenommen und mir jetzt wohl den entscheidenden Hinweis gegeben:

Ich hatte im Accesspoint analog zur Konfiguration auf dem Router außer INTRANET (und DMZ) Pendants zu den weiteren logischen Netzen angelegt. Der Support riet mir, diese zu löschen:
Bitte löschen Sie auf dem Access Point die beiden Netzwerke GAST und GERAETE. Diese Netzwerke müssen nur auf dem Router hinterlegt werden nicht aber auf dem Access Point. Dort wird die Zuweisung rein anhand der VLAN-Konfiguration vorgenommen.
Ich werde das weitere Verhalten bzgl. der Intrusion Detection nun beobachten.

Viele Grüße, Hans-Georg
Nach oben
Antworten

Zurück zu „Fragen zur LANCOM Systems Routern und Gateways“