wir betreiben einen Router 1781VAW mit mehreren VLANs und einem über die VLANs angekoppelten WLAN-Accesspoint L-1302acn.
Die WLAN-Clients können zwischen dem 1781VAW und dem L-1302acn "roamen". Bei beiden Geräten sind unterschiedliche WLAN-Interfaces den VLANS zugeordnet (z.B. WLAN-1-2 am Router dem VLAN 20).
Die VLANs sind außerdem drahtgebunden am Interface LAN-1 des Routers angeschlossen, worüber der Accesspoint Verbindung zum Router hat.
Ich habe nun - wie mehrmals täglich in ähnlicher Weise - folgende Intruder Detection Ereignisse gemeldet bekommen:
Code: Alles auswählen
Date: 10/4/2018 12:38:20
The packet below
Src: 192.168.220.102:55773 {huawei_p9_lite} Dst: 35.201.97.85:443 (TCP)
MAC-Header (14 Bytes)
02 a0 57 24 48 bb 8c eb xx xx xx xx xx xx | ..W$H... .<d...
IP-Packet (80 Bytes):
45 00 00 50 6f c3 40 00 40 06 a8 b7 c0 a8 dc 66 | E..Po.@. @......f
23 c9 61 55 d9 dd 01 bb b3 9b ff 8b a3 43 33 94 | #.aU.... .....C3.
80 18 05 f8 bb e8 00 00 01 01 08 0a 01 47 9a f8 | ........ .....G..
68 94 a6 b1 17 03 03 00 17 08 e4 48 d4 7d 53 e6 | h....... ...H.}S.
10 d8 f2 32 b1 ca f1 24 76 3a 6c 53 4f 7d 6b af | ...2...$ v:lSO}k.
matched this filter rule: intruder detection
filter info: packet received from invalid interface WLAN-1-2
because of this the actions below were performed:
drop
send SNMP trap
send email to administrator
Code: Alles auswählen
Date: 10/4/2018 12:36:59
The packet below
Src: 192.168.220.102:42514 {huawei_p9_lite} Dst: 74.125.206.188:5228 (TCP)
MAC-Header (14 Bytes)
02 a0 57 24 48 bb 8c eb xx xx xx xx xx xx | ..W$H... .<d...
IP-Packet (128 Bytes):
45 00 00 98 5b e7 40 00 40 06 28 30 c0 a8 dc 66 | E...[.@. @.(0...f
4a 7d ce bc a6 12 14 6c 13 c6 80 3b 2c 4f 34 cc | J}.....l ...;,O4.
80 18 07 1f 90 f8 00 00 01 01 08 0a 01 47 81 01 | ........ .....G..
68 84 47 f3 17 03 03 00 5f 00 00 00 00 00 00 00 | h.G..... _.......
13 6e 59 f4 f4 a7 a2 4f a4 ef dd 29 2f a4 31 0c | .nY....O ...)/.1.
19 02 27 e2 10 43 57 8c 2f 52 fc 9c a9 dc de bd | ..'..CW. /R......
62 b0 89 26 cb ef bf 44 3d e8 92 cc 21 be 38 98 | b..&...D =...!.8.
2b 2f 9c 19 3b 84 39 81 f1 46 ed c0 40 8f 34 41 | +/..;.9. .F..@.4A
matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1
because of this the actions below were performed:
drop
send SNMP trap
send email to administrator
Beim zweiten Event war derselbe WLAN-Client betroffen, wobei hier das Paket am Router über LAN-1 ankam, also vom Accesspoint.
Da die WLAN-Clients roamen dürfen, ist es ja nicht erstaunlich, dass die Pakete von ihnen mal über LAN-1 (vom Accesspoint) oder direkt über ein WLAN-Interface beim Router landen. Ist da evtl. bzgl. des Roaming der WLAN-Clients etwas nicht korrekt eingestellt?
Ich habe IAPP Kommunikation zwischen Accesspoint und Router über das INTRANET (Default-VLAN 1) eingestellt.
Gilt es sonst noch etwas zu beachten in dem Zusammenhang?
Die Intrusion Detection Events mehrmals täglich sind schon recht lästig.
Viele Grüße, Hans-Georg