Hallo zusammen,
habe ein merkwürdiges Phänomen bei 2 verschiedenen Installationen.
In beiden Installationsn werden Apple Geräte (iPhones) im Netz verwendet.
Regelmäßig schlägt die Port Scan Detection am Lancom Router (1900EF) Alarm, da in Richtung ext. Apple Server IP (bpsw.: "17.248.209.73" ein UDP 443 geht.
LCOS Version ist 10.80. RU11, das Verhalten war aber auch schon in früheren Versionen so.
Kennt hier jemand die Ursache und wie das "Problem" zu lösen ist, sodass die Fehlerkennungen aufhören ?
Eine Firewall Regel, die UDP 443 in dem Netz in richtung ext. / Internet erlaubt hat das Problem nicht lösen können.
Die Port Scan Detection schlägt auch dann wieder Alarm, was mich zur Frage bringt:
Kann man für die Port-Scan-Detection überhaupt keine Ausnahmen definieren ?
Würde mich über Feedback von eurer Seite freuen.
VG
Port Scan Detection / Apple UDP 443
Moderator: Lancom-Systems Moderatoren
Re: Port Scan Detection / Apple UDP 443
Hi geforce28
die Portscan-Detection ist eine Heuristik, die anschlägt, wenn von einem Host innerhalb von 30 Sekunden mehr unbeantwortete Anfragen an einen Server gehen, als in der Portscan-Schwelle angegeben (CLI: /Setup/IP-Router/FirewallPort-Scan-Threshold, LANconfig: Firewall/QoS -> IDS -> Maximalzahl der Portanfragen).
UDP Port 443 klingt nach QUICC - untersützt dein Server das überhaupt? Wenn nicht dann, dann wäre es ggf. sinnvoller einfach das QUICC zu filtern (also keine Allow- sondern eine Deny-Regel für den Port)
Gruß
Backslash
die Portscan-Detection ist eine Heuristik, die anschlägt, wenn von einem Host innerhalb von 30 Sekunden mehr unbeantwortete Anfragen an einen Server gehen, als in der Portscan-Schwelle angegeben (CLI: /Setup/IP-Router/FirewallPort-Scan-Threshold, LANconfig: Firewall/QoS -> IDS -> Maximalzahl der Portanfragen).
UDP Port 443 klingt nach QUICC - untersützt dein Server das überhaupt? Wenn nicht dann, dann wäre es ggf. sinnvoller einfach das QUICC zu filtern (also keine Allow- sondern eine Deny-Regel für den Port)
Gruß
Backslash
Re: Port Scan Detection / Apple UDP 443
Guten Morgen,
es ist in der Tat QUIC-Protokoll, ausgelöst durch die Aktivierung von "iCloud Privat-Relay" auf den Apple-Geräten.
Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports:
https://support.apple.com/de-de/103229
Informationen zu iCloud Privat-Relay:
https://support.apple.com/de-de/102602
Grüße
Dr. Zett
es ist in der Tat QUIC-Protokoll, ausgelöst durch die Aktivierung von "iCloud Privat-Relay" auf den Apple-Geräten.
Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports:
https://support.apple.com/de-de/103229
Informationen zu iCloud Privat-Relay:
https://support.apple.com/de-de/102602
Grüße
Dr. Zett
Re: Port Scan Detection / Apple UDP 443
Also "iCloud Privat-Relay" ist deaktiviert, das kann nicht die Ursache sein.
Also auch wenn ich ein DENY in der Firewall anlege für das Netz und UDP 443, schlägt trotzdem die Port Scan Detection an.
Wie kann das sein ?!
Also auch wenn ich ein DENY in der Firewall anlege für das Netz und UDP 443, schlägt trotzdem die Port Scan Detection an.
Wie kann das sein ?!
Re: Port Scan Detection / Apple UDP 443
Hi geforce28,
Damit wird aber (für matchende Pakete) das IDS abgeklemmt, was ggf. nicht gewollt ist. Man könnte sich aber auch sagen: wenn die Regel das eh verwirft, dann ist das IDS auch egal...
Aber statt an den Symptomen zu "doktorn" solltest du leibver prüfen was in deinem Netz los ist und die Ursache für die Portscan-Meldung suchen...
Gruß
Backslash
die Heuristrik arbeitet immer - du kannst die aber austricksen, indem du an der Regel das Häkchen bei "diese Regel hält Verbindungszustände nach" entfernst.Also auch wenn ich ein DENY in der Firewall anlege für das Netz und UDP 443, schlägt trotzdem die Port Scan Detection an.
Wie kann das sein ?!
Damit wird aber (für matchende Pakete) das IDS abgeklemmt, was ggf. nicht gewollt ist. Man könnte sich aber auch sagen: wenn die Regel das eh verwirft, dann ist das IDS auch egal...
Aber statt an den Symptomen zu "doktorn" solltest du leibver prüfen was in deinem Netz los ist und die Ursache für die Portscan-Meldung suchen...
Gruß
Backslash
Re: Port Scan Detection / Apple UDP 443
Kurz: Apple disable QUICgeforce28 hat geschrieben: 09 Jun 2025, 11:10 Kennt hier jemand die Ursache und wie das "Problem" zu lösen ist, sodass die Fehlerkennungen aufhören ?
Re: Port Scan Detection / Apple UDP 443
Schade, ich dachte da kommt noch eine Antwort ...
Ich hatte damals das Problem mit Samsung (Android) - Geräten.
Nach dem De-Aktivieren von QUIC im Chrome-Browser tauchte das Problem nicht mehr auf.
Kommt hier noch eine Antwort zum Thema Apple und QUIC ?
Ich hatte damals das Problem mit Samsung (Android) - Geräten.
Nach dem De-Aktivieren von QUIC im Chrome-Browser tauchte das Problem nicht mehr auf.
Kommt hier noch eine Antwort zum Thema Apple und QUIC ?
Re: Port Scan Detection / Apple UDP 443
Sorry, ich war etwas mit anderen Themen beschäftigt...
Also das Problem besteht nach wie vor...
Egal, ob ich Eine Deny Regel mit Hält Verbindungszustände nach mit oder ohne Haken mache für udp 443, es lässt sich nicht verhindern, dass die Port Scan Detection anspringt...
Das kann doch nicht sein oder ?
Es sind alle iOS Geräte die das machen, also ein Fehlverhalten auf zig Apple Geräten ist auszuschließen.
Also das Problem besteht nach wie vor...
Egal, ob ich Eine Deny Regel mit Hält Verbindungszustände nach mit oder ohne Haken mache für udp 443, es lässt sich nicht verhindern, dass die Port Scan Detection anspringt...
Das kann doch nicht sein oder ?
Es sind alle iOS Geräte die das machen, also ein Fehlverhalten auf zig Apple Geräten ist auszuschließen.
-
GrandDixence
- Beiträge: 1180
- Registriert: 19 Aug 2014, 22:41
Re: Port Scan Detection / Apple UDP 443
Eine ordentlich konfigurierte Firewall wird mit einer DENY_ALL/BLOCK_ALL-Strategie betrieben. Siehe:
fragen-zum-thema-firewall-f15/schulnetz ... ml#p106924
Ist auch bei der DENY_ALL-Firewallregel der Haken bei der Einstellung "Diese Regel hält die Verbindungszustände nach (empfohlen)" entfernt worden?
Im abgebildeten Bespiel wurde der genannte Haken bei der DENY_ALL-Regel nicht entfernt, was nach der Aussage von Backslash am "10 Jun 2025, 17:06" zur Aktivierung vom IDS führt.
Mit der Zustandstabelle kontrollieren, ob die Firewallregeln korrekt "greifen":
fragen-zum-thema-firewall-f15/firewall- ... ml#p109378
fragen-zum-thema-firewall-f15/schulnetz ... ml#p106924
Ist auch bei der DENY_ALL-Firewallregel der Haken bei der Einstellung "Diese Regel hält die Verbindungszustände nach (empfohlen)" entfernt worden?
Im abgebildeten Bespiel wurde der genannte Haken bei der DENY_ALL-Regel nicht entfernt, was nach der Aussage von Backslash am "10 Jun 2025, 17:06" zur Aktivierung vom IDS führt.
Mit der Zustandstabelle kontrollieren, ob die Firewallregeln korrekt "greifen":
fragen-zum-thema-firewall-f15/firewall- ... ml#p109378
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Port Scan Detection / Apple UDP 443
Also in der Deny All Regel ist der Haken tatsächlich noch drin.
Aber die Regel "Deny_UDP_443" habe ich mit höchster Prio definiert.
Quelle Any, Ziel any, Zielport UDP 443... und Deny und den Haken für Verbindungszustände raus.
Ich hatte gedacht, dass genau das gemeint war ?
Und diese Regel matcht doch auch als erstes.
Wieso ist dann die Deny All Regel relevant ?
Aber die Regel "Deny_UDP_443" habe ich mit höchster Prio definiert.
Quelle Any, Ziel any, Zielport UDP 443... und Deny und den Haken für Verbindungszustände raus.
Ich hatte gedacht, dass genau das gemeint war ?
Und diese Regel matcht doch auch als erstes.
Wieso ist dann die Deny All Regel relevant ?