IDS Meldungen (gelöst)

[fotokroth]

Hallo,

da mir als Newbie bei der letzten Anfrage so gut geholfen wurde, versuche ich es erneut:

-> Ich habe pro Tag mehrere intruder detection Einträge in meinem Syslog.
Ausnahmslos kommen diese über unterschiedliche Ports, jedoch ist immer mit gleichen IP eines fremden Netzes herein: 192.168.2.102

z.B: Src: 192.168.2.102:2067 Dst: 159.253.XXX.XXX:443 (TCP) oder Src: 192.168.2.102:2378 Dst: 159.253.XXX.XXX:443 (TCP)

-> Im weiteren Verlauf der Meldung steht:

MAC-Header (14 Bytes)

00 a0 57 1f 30 79 c8 60 00 6d 9a 0a 08 00 | ..W.0y.` .m....

IP-Packet (48 Bytes):

45 00 00 30 67 22 40 00 80 06 93 18 c0 a8 02 66 | E..0g"@. .......f
9f fd 9d 81 09 4a 01 bb 0f e4 54 8e 00 00 00 00 | .....J.. ..T.....
70 02 40 00 d3 1a 00 00 02 04 05 b4 01 01 04 02 | p.@..... ........

matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1

because of this the actions below were performed:
drop
send syslog message


->Was ist darunter zu verstehen?


-> ... und was bedeutet eigentlich "drop"? rejected würde mich ja beruhigen, aber mit "drop" kann ich nix anfangen.

LG
fotokroth

[Bernie137]

Hallo fotokroth,

matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1

D.h. über eine verkehrte Schnittstelle kommt eine Anfrage von einer überlicherweise "lokalen IP Adresse". Die Lancom Firewall hat das bemerkt.

because of this the actions below were performed:
drop
send syslog message

Und deshalb das Paket verworfen und per Syslog Alarm geschlagen.

Reject = Paket verwerfen und Absender informieren
Drop = Paket stillschweigend verwerfen (ein potentielle Angreifer erhält also nicht noch eine Info, dass er ein Opfer gefunden hat)

vg Bernie

[fotokroth]

vielen Dank Berni, Deine Erklärungen haben mir sehr geholfen.

LG
fotokroth