Konfiguration der Intrusion Detection

Avalanche · Beitrag von **Avalanche** » 10 Mai 2015, 09:05

Verstehe ich das richtig: Konfiguration > Firewall/QoS > IDS > Maximalzahl der Port-Anfragen gibt die Anzahl der maximal möglichen halboffenen Ports an? Auf was bezieht sich dieser Wert? Bedeuten die voreingestellten 50, dass pro Host maximal 50 offen sein dürfen, aus einem Netzwerk maximal 50 offen sein dürfen oder dass insgesamt nur 50 offen sein dürfen?

Kann ich den aktuellen Wert (d.h. wie viele tatsächlich gerade offen sind) irgendwo im LCOS einsehen?

Warum ich frage? Ich sehe im LANmonitor Einträge wie diesen hier:
05/07/2015 22:52:09: intruder detection - UDP-Paket von 192.168.1.203:59320 nach 192.168.10.2:53 - Paket verworfen

Mit anderen Worten: Ein Client im lokalen INTRANET (192.168.1.203) möchte den über VPN angebundenen DNS-Server (192.168.10.2) abfragen. Leider wird sein Paket durch IDS verworfen. Ich würde eigentlich die internen Netze gerne vollständig von der IDS ausnehmen. Lässt sich das irgendwie konfigurieren?

Dr.Einstein · Beitrag von **Dr.Einstein** » 10 Mai 2015, 09:40

Bei UDP gibt's kein halboffen. Damit sind diese DoS Angriffe gemeint mit TCP Syn, Syn ACK und dann warten.

Somit erkennt der Lancom auf einem Interface Pakete, die da eigentlich nicht hingehören. Mal als Beispiel hast LAN-1 und LAN-2, LAN-1 hat dein 192.168.1.x, Paket kommt aber über LAN-2 -> IDS Schlägt zu.

Avalanche · Beitrag von **Avalanche** » 10 Mai 2015, 10:16

Das wird ja immer kurioser! Ich kann mir nicht erklären, wie das zu Stande kommen sollte:

Alle Ethernet-Ports sind LAN-1 zugeordnet und LAN-1 ist in BRG-1
WLAN-1 ist ebenfalls in BRG-1
Netzwerk INTRANET ist mit dem entsprechenden IP-Bereich (192.168.1.0/24) konfiguriert und hat Schnittstellenzuordnung Beliebig bei Flexibler Adressprüfung
Andere lokale Netze werden im Moment nicht verwendet

Das verworfene Paket muss also von einem der Clients kommen, da nur diese 192.168.1.0/24 verwenden. Über das VPN kann ich mir beim Besten Willen nicht vorstellen, wie das möglich sein sollte... Richtig genial wäre es natürlich gewesen, wenn die Fehlermeldung noch den Namen des Interfaces mit angegeben hätte...

Auch wenn es mit den Log-Einträgen nichts zu tun hat, wäre es schön, wenn zu den IDS Fragen noch jemand was sagen könnte.

Dr.Einstein · Beitrag von **Dr.Einstein** » 10 Mai 2015, 10:22

Firewalltrace mitlaufen lassen, da steht dann alles im Klartext inkl Interface und Grund.

LANCOM-Forum.de

Konfiguration der Intrusion Detection

Konfiguration der Intrusion Detection

Re: Konfiguration der Intrusion Detection

Re: Konfiguration der Intrusion Detection

Re: Konfiguration der Intrusion Detection