Hallo allerseits,
ich habe derzeit das Problem das in unsere Aussenstellen Kombidrucker eines Dienstleisters aufgestellt werden. Diese werden Seitenweise abgerechnet, was durch die Software Kyocount per SNMP über den VPN Tunnel zur Zentrale funktioniert. Das Tool als solches funktioniert auch, löst jedoch immer einen Intruder Alert wie den folgenden aus:
Date: 7/17/2008 11:15:34
The packet below
Src: 192.168.x.x:4839 Dst: 172.17.3.247:161 (UDP)
45 00 00 4a ce 9d 00 00 7e 11 bc 31 c0 a8 41 23 | E..J.... ~..1..A#
ac 11 03 f7 12 e7 00 a1 00 36 e0 03 30 2c 02 01 | ........ .6..0,..
00 04 06 70 75 62 6c 69 63 a0 1f 02 02 31 c0 02 | ...publi c....1..
01 00 02 01 00 30 13 30 11 06 0d 2b 06 01 04 01 | .....0.0 ...+....
8a 43 2b 05 01 01 01 01 05 00 | .C+..... ..
matched this filter rule: intruder detection
filter info: packet to local broadcast address received from interface TELENET22
because of this the actions below were performed:
reject
send syslog message
send SNMP trap
send email to administrator
Bekommt man das weg, ohne jetzt entweder auf alle Meldungen zu verzichten oder das IDS abzuschalten ?
Grüße
Dirk
Seitenzählung von Kyocera löst Intruder Alert aus.
Moderator: Lancom-Systems Moderatoren
Hi reuter
die Firewall lehnt zunächsat alle Pakete an die lokale Broadcstadresse ab, wie auch schon in der Mail steht "packet to local broadcast address", da sich darüber das Netz ausspähen läßt.
Du hast jetzt zwei möglichkeiten, das zu umgehen:
1) Trage in den Druckern die korrekte IP-Adresse des Abrechnungsservers ein (und nicht die Broadcastadresse des Netzes in dem er steht)
2) erstelle eine Firewallregel, die diesen Traffic zu läßt:
ich frage mich natürlich, warum man überhaupt ein privates Netz (172.16.3.24x) mit einer Netzmaske 255.255.255.240 aufspannt...
Gruß
Backslash
die Firewall lehnt zunächsat alle Pakete an die lokale Broadcstadresse ab, wie auch schon in der Mail steht "packet to local broadcast address", da sich darüber das Netz ausspähen läßt.
Du hast jetzt zwei möglichkeiten, das zu umgehen:
1) Trage in den Druckern die korrekte IP-Adresse des Abrechnungsservers ein (und nicht die Broadcastadresse des Netzes in dem er steht)
2) erstelle eine Firewallregel, die diesen Traffic zu läßt:
Code: Alles auswählen
Aktion: übertragen, nur auf VPN
Quelle: alle Stationen
Ziel: 172.17.3.247
Dientse: UDP, Zielport 161Gruß
Backslash
Hi Backslash,
das sind 255.255.255.248er Netze unsere Heimarbeiter und Aussendienstler. Dort brauch ich nicht mehr als 8 Adressen und auf dem LANCOM bei uns in der Zentrale kassen sich ein Haufen Heimchen über Firewall Regeln mit 255.255.255.0 er Maske abfackeln, um unterschiedlichen Aufgabenbereichen unterschiedliche Netzzugriffe zu gestatten.
Im Drucker ist keine Adresse eingetragen. Im Tool die IP des jeweiligen Druckers beim Heimarbeiter.
Die 192.168.x.x ist bei uns in der Zentrale, wo sich auch der Kyocount-Server befindet,, die 172.17.3(4,5,6,7,8,9).x/29 bei unseren Heimarbeitern, wo dann 1-2 PCs, eine Druckerkombi und in zukunft eventuell ein SIP-Telefon angeschlossen sind.
Die Intruder Meldung bekomme ich nicht von userem 8011er, sondern von den 1721ern der Aussenstellen... von allen, mehrmals täglich, was lästig ist.
Grüße
Dirk
das sind 255.255.255.248er Netze unsere Heimarbeiter und Aussendienstler. Dort brauch ich nicht mehr als 8 Adressen und auf dem LANCOM bei uns in der Zentrale kassen sich ein Haufen Heimchen über Firewall Regeln mit 255.255.255.0 er Maske abfackeln, um unterschiedlichen Aufgabenbereichen unterschiedliche Netzzugriffe zu gestatten.
Im Drucker ist keine Adresse eingetragen. Im Tool die IP des jeweiligen Druckers beim Heimarbeiter.
Die 192.168.x.x ist bei uns in der Zentrale, wo sich auch der Kyocount-Server befindet,, die 172.17.3(4,5,6,7,8,9).x/29 bei unseren Heimarbeitern, wo dann 1-2 PCs, eine Druckerkombi und in zukunft eventuell ein SIP-Telefon angeschlossen sind.
Die Intruder Meldung bekomme ich nicht von userem 8011er, sondern von den 1721ern der Aussenstellen... von allen, mehrmals täglich, was lästig ist.
Grüße
Dirk
Hi Backslash,
das Tool bekommt die Zählerstände vom Drucker unter der richtigen Adresse, die nicht die Broadcastadresse ist, schickt aber, wozu und zu welchem Zweck auch immer, ein Paket an die Broadcast-Adresse.
Und da es für das Tool in absehbarer zeit kein Update gibt bleibt mir nur die Meldung wegzubekommen.
Grüße
Dirk
das Tool bekommt die Zählerstände vom Drucker unter der richtigen Adresse, die nicht die Broadcastadresse ist, schickt aber, wozu und zu welchem Zweck auch immer, ein Paket an die Broadcast-Adresse.
Und da es für das Tool in absehbarer zeit kein Update gibt bleibt mir nur die Meldung wegzubekommen.
Grüße
Dirk