IDS bei VPN per IPHONE

sandorfi · Beitrag von **sandorfi** » 05 Jan 2010, 10:37

Hallo zusammen,

ich konfiguriere derzeit einen 1711 für die Verwendung mit IPHONES per VPN.
Dies hat technisch auch wunderbar hingehauen. Nur leider spring nun ständig das IDS an:

Code: Alles auswählen

Src: IP:49898 {<RouterimLancom>}  Dst: IP:80 {<server>} (TCP)

matched this filter rule: intruder detection
filter info:              packet received from invalid interface <IPHONE>

Gibt es eine Möglichekeit hier Regeln zu erstellen, oder habe ich einfach etwas übersehen und das IDS verhält sich korrekt?

Vielen Dank für jeden Hinweis.

Grüße Simon

Beitrag von **LoUiS** » 05 Jan 2010, 10:57

Hi,

was soll denn <RouterimLancom> sein? Wenn es nicht die IP-Adresse des iPhone ist, dsnn ist die IDS Meldung ja m.E. korrekt. Wieso sollte ein Paket von einer anderen Source-Adresse als dem iPhone selbst von der Gegenstelle <IPHONE> kommen?
Das IDS meckert ja, das ein Paket von Src: IP:49898 {<RouterimLancom>} auf dem Interface <IPHONE> ankommt.

Ciao
LoUiS

sandorfi · Beitrag von **sandorfi** » 05 Jan 2010, 11:07

Hi,

es ist der Name es Routers im Lancom. (IP.Router / Routing-Tabelle)

Das Paket kommt von der (VPN)IP-Adresse des IPHONE zum Exchangeserver. Und genau da soll es ha auch hin. Mir leuchtet nicht ein, warum das für das IDS ein Problem darstellt ....

Beitrag von **LoUiS** » 05 Jan 2010, 19:19

koenntest Du Dir die IDS Meldung mal per Mail zusenden lassen und dann hier posten.

Ciao
LoUiS

sandorfi · Beitrag von **sandorfi** » 06 Jan 2010, 14:33

sehr gerne:

Date: 1/5/2010 10:26:58

The packet below

Src: 192.168.0.199:49898 {iphone} Dst: 192.168.0.254:80 {troubadix} (TCP)

MAC-Header (14 Bytes)

61 35 42 51 ef d5 27 56 19 2f f4 3f b8 c0 | a5BQ..'V ./.?..
(44 Bytes stripped by other protocols, eg. VPN)

IP-Packet (64 Bytes):

45 00 00 40 ad a1 40 00 40 06 0a 01 c0 a8 00 c7 | E..@..@. @.......
c0 a8 00 fe c2 ea 00 50 79 d2 dd db 00 00 00 00 | .......P y.......
b0 02 ff ff f7 3e 00 00 02 04 04 d8 01 03 03 02 | .....>.. ........
01 01 08 0a 32 1c 70 82 00 00 00 00 04 02 00 00 | ....2.p. ........

matched this filter rule: intruder detection
filter info: packet received from invalid interface IPHONE

because of this the actions below were performed:
reject
send SNMP trap
send email to administrator[/quote]

sandorfi · Beitrag von **sandorfi** » 08 Jan 2010, 14:19

diesmal sogar DoS:

The packet below

Src: 192.168.0.199:5353 {iphone} Dst: 192.168.0.199:5351 {iphone} (UDP)

MAC-Header (14 Bytes)

75 28 27 7f 5d c9 64 32 a3 69 80 7b 1f 4e | u('.].d2 .i.{.N
(44 Bytes stripped by other protocols, eg. VPN)

IP-Packet (30 Bytes):

45 00 00 1e 62 07 00 00 ff 11 d6 e8 c0 a8 00 c7 | E...b... ........
c0 a8 00 c7 14 e9 14 e7 00 0a 53 2b 00 00 | ........ ..S+..

matched this filter rule: DoS protection
filter info: packet with same source and destination address received from interface IPHONE

because of this the actions below were performed:
reject
send SNMP trap
send email to administrator

Beitrag von **LoUiS** » 08 Jan 2010, 14:59

Hi,

ich verstehe auch noch nicht wieso die IDS/DoS da zuschlaegt, ich denke naechste Woche kann ggf. Backslash dazu was sagen.

Ciao
LoUiS

sandorfi · Beitrag von **sandorfi** » 17 Jan 2010, 13:11

und? kann er?

Ich nehme an, dass durch diese matches das synchronisieren mit Exchange nicht sauber läuft.
Habe ich das Phone in einem WLAN und verbinde dann per VPN klappt das super und ohne IDS / DoS Meldungen.

Bin um jeden Hinweis oder auch alternativ-Voschlag zur Konfiguration dankbar

vince · Beitrag von **vince** » 26 Jan 2010, 10:10

Hallo!
Habe das gleiche Problem. Die VPN-Verbindung wurde wie in der Anleitung für das iPhone erstellt und sie kommt auch zustande. Das komische ist, dass der Zugriff vom iPhone auf den Webserver des PCs über VPN manchmal funktioniert und manchmal eben mit diesen (s.u.) IDS Meldungen geblockt wird. Ein Trennen und Neuverbinden über VPN hilft mal, mal nicht. Habe ein LCOS 7.60.0160 / 25.02.2009

Hoffe, Ihr könnt mir helfen!
Danke!

Date: 1/2/2010 14:35:38

The packet below

Src: 172.20.14.2:49216 {vpn_iphone} Dst: 172.20.14.151:80 {webserver} (TCP)

MAC-Header (58 Bytes)

ff ff ff ff ff ff ff ff ff ff ff ff ff ff 45 00 | ........ ......E.
00 6c a6 05 00 00 33 04 34 25 50 bb 6c 81 5d c0 | .l....3. 4%P.l.].
92 1d 03 82 d7 fc 00 00 00 3c 78 4d 12 83 29 60 | ........ .<xM..)`
ce 36 24 e7 62 af 07 0c 18 ba | .6$.b... ..

IP-Packet (64 Bytes):

45 00 00 40 07 5a 40 00 40 06 be 9c ac 14 0e 02 | E..@.Z@. @.......
ac 14 0e 97 c0 40 00 50 92 86 cf a3 00 00 00 00 | .....@.P ........
b0 02 ff ff c0 c7 00 00 02 04 04 d8 01 03 03 02 | ........ ........
01 01 08 0a 32 13 ad 84 00 00 00 00 04 02 00 00 | ....2... ........

matched this filter rule: intruder detection
filter info: packet received from invalid interface VPN_IPHONE

because of this the actions below were performed:
reject
send syslog message
send SNMP trap
send email to administrator

sandorfi · Beitrag von **sandorfi** » 03 Feb 2010, 13:04

Genau das ist das ärgerliche. Die Synchonisation funktioniert - jedoch manchmal bis zu 48h verzögert.