PACKET_Alerts fon der Intrusion Detection loswerden

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
steve.weinreich
Beiträge: 2
Registriert: 25 Sep 2009, 13:06

PACKET_Alerts fon der Intrusion Detection loswerden

Beitrag von steve.weinreich »

Hi!

Ich hab hier einen WLC-4006 auf einem Ethernet Segment im Betrieb in dem auch eine geclusterte Checkpoint FW ihren Dienst tut. Die Checkpoint FW verschickt ~ 2-3 mal pro Sekunde UDP Packete um den Interface Status zu prüfen und diese werden vom WLC als Intrusion erkannt und per Syslog geloggt

Code: Alles auswählen

Sep 25 13:01:54 wlc- PACKET_ALERT: Dst: 172.16.234.0:8116 {WLC-}, Src: 0.0.0.0:8116 (UDP): intrusion detection
Sep 25 13:01:54 wlc- PACKET_ALERT: Dst: 172.16.234.0:8116 {WLC-}, Src: 0.0.0.0:8116 (UDP): intrusion detection
Sep 25 13:01:54 wlc- PACKET_ALERT: Dst: 172.16.234.0:8116 {WLC-}, Src: 0.0.0.0:8116 (UDP): intrusion detection
Sep 25 13:01:56 wlc- PACKET_ALERT: Dst: 172.16.234.0:8116 {WLC-}, Src: 0.0.0.0:8116 (UDP): intrusion detection
Sep 25 13:01:56 wlc- PACKET_ALERT: Dst: 172.16.234.0:8116 {WLC-}, Src: 0.0.0.0:8116 (UDP): intrusion detection
Sep 25 13:01:56 wlc- PACKET_ALERT: Dst: 172.16.234.0:8116 {WLC-}, Src: 0.0.0.0:8116 (UDP): intrusion detection
Sep 25 13:01:56 wlc- PACKET_ALERT: Dst: 172.16.234.0:8116 {WLC-}, Src: 0.0.0.0:8116 (UDP): intrusion detection
Sep 25 13:01:56 wlc- PACKET_ALERT: Dst: 172.16.234.0:8116 {WLC-}, Src: 0.0.0.0:8116 (UDP): intrusion detection
Wie kann ich dem WLC nun beibringen dass das alles gar nicht schlimm ist und er sich keine Sorgen machen braucht und auch nicht loggen muss?

cheerio
Steve
backslash
Moderator
Moderator
Beiträge: 7138
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi steve.weinreich

in dem du der Ceckpoint FW beibringst, in den Paketen eine korrekte Absenderadresse einzutragen...

Gruß
Backslash
steve.weinreich
Beiträge: 2
Registriert: 25 Sep 2009, 13:06

Beitrag von steve.weinreich »

Hallo backslash,

Prinzipiell gefällt mir ja der Ansatz das Problem an der Wurzel zu packen, nur leider hat Checkpoint sich entschlossen das IP Protokoll "etwas" zu verbiegen um ihren State Check zu realisieren, und man kann an dieser Ecke leider nicht ansetzen.

Gibt es auf dem Lancom WLC eine Möglichkeit dies zu umgehen?

cheerio
Steve
backslash
Moderator
Moderator
Beiträge: 7138
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi steve.weinreich

nein, das IDS ist nicht konfigurierbar. Du könntest höchsten *alle* Meldungen des IDS abschalten.

Gruß
Backslash
Antworten