Intruder detection und Portscan erkannt

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
NiklasL
Beiträge: 6
Registriert: 30 Mär 2022, 22:25

Intruder detection und Portscan erkannt

Beitrag von NiklasL »

Hallo,

ich bin ein Neuling im LANCOM Router Segment, jedoch besitze ich gute Kenntnisse in der Netzwerktechnik.
Ich besitze den LANCOM 1793VAW Router.

Ich habe neulich etwas an der Firewall experimentiert und bin bei der IDS Einstellung hängen geblieben. Seitdem ich in dem IDS Segment den Hacken bei SNMP gesetzt habe, und mir etwas den LANmonitor angeschaut habe, ist mir aufgefallen das ständig das IDS System getriggert wird.
Ich nutze den Router in einer Testumgebung und habe nur meinen PC, mit dem ich spiele, angeschlossen. Oft erhalte ich folgende zwei Meldungen:

Code: Alles auswählen

22:38: port scan detection - UDP packet from 192.168.1.31:65471 to 148.251.151.125:2403 - Packet accepted
25:55: intruder detection - Packet of protocol 139 from 0.0.0.0:0 to 255.255.255.255:0 - Packet accepted
Zum Portscan kann ich sagen, dass ich in meinem Computerspiel eine große Serverliste habe, wo ich mehrmals hintereinander den Serverstatus abfrage, weshalb sich die erste Meldung wahrscheinlich erklären lässt. Gibt es eine Möglichkeit, Portscans nach extern freizuschalten da es mich nicht interessiert, ob ich einen Portscan an einem Gerät im Internet durchführe?

Jedoch verstehe ich nicht, warum die Intruder detection getriggert wird. Diese wird, auch wenn ich normal YouTube Videos schaue, getriggert. Soll das so oder darf man diese Meldung so ignorieren? Meine maximalen Port-Anfragen Wert liegt bei 100

Wäre cool, wenn mich jemand zu dem Thema aufklären könnte.
Grüße
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Intruder detection und Portscan erkannt

Beitrag von backslash »

Hi NiklasL
Gibt es eine Möglichkeit, Portscans nach extern freizuschalten da es mich nicht interessiert, ob ich einen Portscan an einem Gerät im Internet durchführe?
nein... Du könntest höchstens die Schwelle hochsetzen... Es wundert mich aber, daß es zu einer Portscan-Erkennung führen soll, wenn du die Spieleserver abfragst... Ein Portscan zeichnet sich dadurch aus, daß von einer Quell-Adresse auf einer Ziel-Adresse mehrere Ports nacheinander abgefragt werden, was beim Abfragen der Spiele-Server eher nicht passiert - da fragt eine Quell-Adresse mehrere Ziel-Adressen auf dem selben Port an...
Jedoch verstehe ich nicht, warum die Intruder detection getriggert wird. Diese wird, auch wenn ich normal YouTube Videos schaue, getriggert.
Das hat nicht mit Youtube zu tun. Das ist ein kaputtes Gerät, daß keine IP-Adresse hat, aber NetBIOS Datagramme an die globale Broadcast-Adresse verschickt. Das wird korrekterweise vom IDS gemeldet. Das könnte z.B. ein Virus/Trojaner sein - vol allem weil du schreibst, daß du nur deinen PC am Router hängen hast - ein sauberes Windows verschickt sowas nicht
Soll das so oder darf man diese Meldung so ignorieren?
du solltest eher suchen, was die wirkliche Ursache der Meldungen ist. Es ist jedenfalls nicht das, was du annimmst....

Gruß
Backslash
NiklasL
Beiträge: 6
Registriert: 30 Mär 2022, 22:25

Re: Intruder detection und Portscan erkannt

Beitrag von NiklasL »

Hallo,

ich habe mal alles überprüft und auf meinem PC alle restlichen und nicht benötigten Netzwerkadapter deaktiviert, mit meinem Antivirus und Windows Defender den kompletten PC gescannt und NetBios in den Adaptereinstellungen deaktiviert. Auch ohne den PC oder anderen Client in dem Netzwerk erhalte ich weiterhin Intruder Detections. Ich habe mir mal die Zeiten notiert, in den die Warnungen auftauchen und das sind, mit oder ohne Client im Netzwerk, ca. alle 2 Minuten.

Ich nutze den Router aktuell in einer Testumgebung. Sprich, der Router ist über einen kleinen unmanaged 5-Port Switch von tp-link an einer FRITZ!Box angeschlossen. Liegt es daran, dass der Switch oder die FRITZ!Box jede zwei Minuten überprüft, ob und welches Gerät noch angeschlossen ist?
Grüße
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Intruder detection und Portscan erkannt

Beitrag von backslash »

Hi NiklasL

woher soll ich wissen, wass in deinem Netz läuft...
Wenn das alle zwei Minuten auftruitt, dann kannst du je einfach mal einen Ethernet- und Firewall-Trace starten und alles mitzschneiden, was da läuft. Dann wirst du auch das Paket sehen, das das IDS triggert...
Anhand dessen Quell-MAC-Adresse kannst du dann suchen woher das Paket kam...

Gruß
Backslash
Antworten