Hallo,
Frage in die Runde, gibt es eine Möglichkeit, die DoS- und die IDS-Funktion nur auf bestimmte Schnittstellen anzuwenden (Internet / WAN) oder andersrum bestimmte Schnitttellen auszunehmen (INTRANET)?
Hintergrund ist, dass bei Nutzung von Firefox offenbar bei bestimmten Internetseiten zahlreiche halboffene Verbindungen entstehen, die dann zur Sperrung der betreffenden IP für einen gewissen Zeitraum führen (wenn man diese Option aktiviert). Von extern würde ich diese Funktion gerne nutzen, aber für Stationen im eigenen Netz wären dann andere Parameter sinnvoller, nur finde ich nichts dazu, ob man das getrennt einstellen kann.
Gruß
C/5
DoS, IDS nur für bestimmte Schnittstellen möglich?
Moderator: Lancom-Systems Moderatoren
Re: DoS, IDS nur für bestimmte Schnittstellen möglich?
Hey,
keine Reaktion = 'geht nicht zu differenzieren' oder mag sich vielleicht doch noch jemand dazu äußern?
Hab das Verhalten mal an einem Beispiel dokumentiert.
Betrifft hier das Lancom-Forum. Browser ist wie gesagt Firefox. Mit anderen Browsern stelle ich das Verhalten zumindest nicht so massiv fest.
Man sieht, dass DoS und IDS eben auch nach innen greifen, statt primär oder differenzierbar nach LAN und WAN getrennt.
Würde zum Beispiel eine explizite Firewallregel für 5.9.94.149 DoS in dem Fall überstimmen?
Gruß
C/5
keine Reaktion = 'geht nicht zu differenzieren' oder mag sich vielleicht doch noch jemand dazu äußern?
Hab das Verhalten mal an einem Beispiel dokumentiert.
Betrifft hier das Lancom-Forum. Browser ist wie gesagt Firefox. Mit anderen Browsern stelle ich das Verhalten zumindest nicht so massiv fest.
Man sieht, dass DoS und IDS eben auch nach innen greifen, statt primär oder differenzierbar nach LAN und WAN getrennt.
Würde zum Beispiel eine explizite Firewallregel für 5.9.94.149 DoS in dem Fall überstimmen?
Gruß
C/5
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: DoS, IDS nur für bestimmte Schnittstellen möglich?
Hallo C/5,
(Gibt noch eine Reihe von weiteren Beiträgen von backslash zu diesem Thema...)
Gruß.
Die Default-Konfiguration bei einem LANCOM 1821n Wireless (mit LCOS 8.82) ist bei der Maximalzahl halboffener Verbindungen (DoS) bei 100 und bei der Maximalzahl der Port-Anfragen (IDS) bei 50. Bitte konfiguriere das entsprechend und teste dann erneut.C/5 hat geschrieben: 03 Apr 2020, 20:15Hintergrund ist, dass bei Nutzung von Firefox offenbar bei bestimmten Internetseiten zahlreiche halboffene Verbindungen entstehen,
Diese und alle weiteren Sperr- und Trennoptionen sollten nicht aktiviert werden. - Zu den Hintergründen äußert sich backslash immer mal wieder ziemlich eindeutig, u.a. hier: R883VAW - "intruder detection" nach Neuverbindung, muss das so sein?C/5 hat geschrieben: 03 Apr 2020, 20:15die dann zur Sperrung der betreffenden IP für einen gewissen Zeitraum führen (wenn man diese Option aktiviert).
(Gibt noch eine Reihe von weiteren Beiträgen von backslash zu diesem Thema...)
Gruß.
Re: DoS, IDS nur für bestimmte Schnittstellen möglich?
Hallo CyberT,
hab Deinem Hinweis folgend wieder die Default-Werte DoS 100 und IDS 50 eingetragen.
Beobachtung die letzten beiden Tage hat ergeben, dass damit kein weiterer DoS-Eintrag aufgetaucht ist.
Sperren hatte ich nicht gesetzt, auch weil ich um den verlinkten Beitrag von backslash weiß.
Ich möchte dennoch meinen Punkt noch mal in den Blick rücken:
Gibt es irgendeine Möglichkeit im LCOS, die Wirkungsrichtung von DoS und IDS nur auf eine bestimmte Schnittstelle auszurichten?
Also DoS und IDS nur auf der WAN-Schnittstelle nur für von extern initiierten Traffic?
Oder würde eine explizite Firewallregel für in dem Beispiel 5.9.94.149 die DoS-Erkennung in dem Fall überbrücken?
Das Schließen des Zielports für eine begrenzte Zeit würde doch eigentlich bestimmte Angriffsmuster signifikant ausbremsen. Also wäre das ein brauchbares Instrument. Es lässt sich nur nicht spezifisch genug ansetzen.
Gruß
C/5
hab Deinem Hinweis folgend wieder die Default-Werte DoS 100 und IDS 50 eingetragen.
Beobachtung die letzten beiden Tage hat ergeben, dass damit kein weiterer DoS-Eintrag aufgetaucht ist.
Sperren hatte ich nicht gesetzt, auch weil ich um den verlinkten Beitrag von backslash weiß.
Ich möchte dennoch meinen Punkt noch mal in den Blick rücken:
Gibt es irgendeine Möglichkeit im LCOS, die Wirkungsrichtung von DoS und IDS nur auf eine bestimmte Schnittstelle auszurichten?
Also DoS und IDS nur auf der WAN-Schnittstelle nur für von extern initiierten Traffic?
Oder würde eine explizite Firewallregel für in dem Beispiel 5.9.94.149 die DoS-Erkennung in dem Fall überbrücken?
Das Schließen des Zielports für eine begrenzte Zeit würde doch eigentlich bestimmte Angriffsmuster signifikant ausbremsen. Also wäre das ein brauchbares Instrument. Es lässt sich nur nicht spezifisch genug ansetzen.
Gruß
C/5
Re: DoS, IDS nur für bestimmte Schnittstellen möglich?
Hi C/5,
zunächst: Es gibt keine Möglichkeit das auf einzelnen Interfaces abzuschalten....
Du kannst aber gezielt Regeln ohne Zustandsüberwachung erstellen - dann kann auch das IDS nicht greifen, denn um einen Portscan zu detektieren, muß die Firewall die Zustände einer Session überwachen.
Das Problem dabei ist aber, daß die Firewall dann auch das Ende von TCP-Sessions nicht mehr mitbekommt und du daher die TCP-Haltezeit deutlich reduzieren mußt, damit dem Gerät der Speicher nicht ausgeht...
Gruß
Backslash
zunächst: Es gibt keine Möglichkeit das auf einzelnen Interfaces abzuschalten....
Du kannst aber gezielt Regeln ohne Zustandsüberwachung erstellen - dann kann auch das IDS nicht greifen, denn um einen Portscan zu detektieren, muß die Firewall die Zustände einer Session überwachen.
Das Problem dabei ist aber, daß die Firewall dann auch das Ende von TCP-Sessions nicht mehr mitbekommt und du daher die TCP-Haltezeit deutlich reduzieren mußt, damit dem Gerät der Speicher nicht ausgeht...
Gruß
Backslash
Re: DoS, IDS nur für bestimmte Schnittstellen möglich?
Ok, danke backslash. Die Zustandsüberwachung zu deaktivieren ist in der Tat keine Lösung.
Gruß
C/5
Gruß
C/5