Hallo Forum,
ich hätte eine Frage zu den Meldungen der DoS Protection.
Bei meinem R883+ habe ich eine Deny-All Regelung nach den Best Praktice Angaben von LanCom und den Tipps aus dem Forum hier angewendet. (Vielen Dank dafür!)
Wenn ich mir die LanMonitor Firewall Loggings aber genauer ansehe werden mir ca 3-6 mal pro Tag mögliche TCP-SYN Flood Meldungen angezeigt, auf Ports welche nach Deny-All und auch nach NMAP eigentlich geschlossen sind. Bspw. 22 oder 80 TCP.
Meine Frage ist:
Meldet mir die DoS Protection hier bloß, dass es mehr als 100 (der DoS Grenzwert) SYN Pakete empfangen hat, aber nicht darauf reagiert.
Oder bedeutet die Meldung der R883+ sendet ACK Pakete zurück und baut, trotz eigentlich gegensätzlicher Config, die halb-offenen Verbindungen auf?
Danke für eure Zeit.
gruß
daniel
DoS Meldung auf geschlossenen Ports
Moderator: Lancom-Systems Moderatoren
-
Daniel_383
- Beiträge: 3
- Registriert: 11 Nov 2024, 17:04
DoS Meldung auf geschlossenen Ports
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: DoS Meldung auf geschlossenen Ports
Hi Daniel_383,
Backslash
- ein geschlossener TCP-Port bedeutet *NICHT* daß das Gerät nicht reagiert, sondern daß auf ein TCP-SYN ein TCP-RST geschickt wird.
- "nicht reagieren" würde Nutzung des sog. "Stealth-Mode" bedeuten, was allerding keinerlei Sicherheit bringt - es bedeutet schon gar nicht, daß da niemend wäre... Vielmehr ist es ein roter blinkender Pfeil auf ein intessantes Ziel...
- die IDS/DOS-Erkennung sitzt natürlich *vor* dem "Protokoll-Dispatcher", d.h. sie sieht *alle* Pakete, unabhängig davon, ob Ports offen oder geschossen sind
- ein SYN-Flooding wird dann gemeldet, wenn mehr als die für DoS konfigurierten Anfragen (100) an einen Port von verschiedenen Quelladressen kamen, die *NICHT* zu einer etablierten TCP-Session (abgeschlossener Handshake: SYN -> SYN/ACK -> ACK) führten.
- entsprechend wird ein Portscan gemeldet wenn mehr als die für IDS konfigurierten Anfragen (50) von einer Quelladresse an verschiedene Ports kamen, die *NICHT* zu einer etablierten TCP-Session führten.
Backslash
-
Daniel_383
- Beiträge: 3
- Registriert: 11 Nov 2024, 17:04
Re: DoS Meldung auf geschlossenen Ports
Hallo Backslash
vielen dank für deine Antwort!.
Der Stealth-Modus ist auf dem Gerät für die Default-Route aktiviert. Wenn ich dich richtig verstehe, sendet der Router also keine TCP-RST Pakete auf unberechtigte Anfragen und die Meldungen im Log könnte man als normales Rauschen am WAN betrachten, bzw. vernachlässigen?
Interessenfrage dazu.
Wie viel von diesen 100+ TCP-SYN Flood versuchen seht ihr in diesem Zusammenhang als "normale" Menge an, bei einem Anschluss mit fester IP-Adresse?
gruß
daniel
vielen dank für deine Antwort!.
Der Stealth-Modus ist auf dem Gerät für die Default-Route aktiviert. Wenn ich dich richtig verstehe, sendet der Router also keine TCP-RST Pakete auf unberechtigte Anfragen und die Meldungen im Log könnte man als normales Rauschen am WAN betrachten, bzw. vernachlässigen?
Interessenfrage dazu.
Wie viel von diesen 100+ TCP-SYN Flood versuchen seht ihr in diesem Zusammenhang als "normale" Menge an, bei einem Anschluss mit fester IP-Adresse?
gruß
daniel
Re: DoS Meldung auf geschlossenen Ports
Hi Daniel_383,
Deine 3..6 Meldungen pro Tag würde ich eher als gering ansehen... (BTW: einmal 100+ SYNs ist *EIN* SYN-Flooding-Versuch)
Du kannst natürlich die Schwelle hochsetzen. Bei den Central-Side-Geräten (z.B. ISG8000), ist sie im Default auf 1000 gesetzt, weil hinter solchen Geräte i.A. größere und somit bekanntere Firmen stehen, bei denen sonst normale Zugriffe auf deren Web-Server bereits die Meldung auslösen könnten. Diese Geräte haben auch auch genügend Speicher, damit sie dabei nicht in die Knie gehen
Gruß
Backslash
korrekt, bei aktivem Stealth-Mode kommen keine Antworten zurück... hat zumindest den Vorteil, daß der Upstream nicht auch noch zugemüllt wird, bringt aber - wie gesagt - sonst kein Plus an Sicherheit...Der Stealth-Modus ist auf dem Gerät für die Default-Route aktiviert. Wenn ich dich richtig verstehe, sendet der Router also keine TCP-RST Pakete auf unberechtigte Anfragen
Portscans und Syn-Floodings wirst du immer haben - insbesondere bei fester IP-Adresse...die Meldungen im Log könnte man als normales Rauschen am WAN betrachten, bzw. vernachlässigen?
das dürfte vom Bekanntheitsgrad der Adresse abhängen... bei Google z.B. wird das vermutlich ein Dauerzustand sein...Wie viel von diesen 100+ TCP-SYN Flood versuchen seht ihr in diesem Zusammenhang als "normale" Menge an, bei einem Anschluss mit fester IP-Adresse?
Deine 3..6 Meldungen pro Tag würde ich eher als gering ansehen... (BTW: einmal 100+ SYNs ist *EIN* SYN-Flooding-Versuch)
Du kannst natürlich die Schwelle hochsetzen. Bei den Central-Side-Geräten (z.B. ISG8000), ist sie im Default auf 1000 gesetzt, weil hinter solchen Geräte i.A. größere und somit bekanntere Firmen stehen, bei denen sonst normale Zugriffe auf deren Web-Server bereits die Meldung auslösen könnten. Diese Geräte haben auch auch genügend Speicher, damit sie dabei nicht in die Knie gehen
Gruß
Backslash
-
Daniel_383
- Beiträge: 3
- Registriert: 11 Nov 2024, 17:04
Re: DoS Meldung auf geschlossenen Ports
Super vielen Dank!
Das hat mir sehr geholfen.
gruß
daniel
Das hat mir sehr geholfen.
gruß
daniel