Hallo,
habe folgendes Problem:
[Firewall] 2009/10/03 18:01:37,180
Packet matched rule intruder detection
DstIP: 224.0.1.76, SrcIP: 172.20.5.5, Len: 32, TOS: ----
Prot.: IGMP (2), DstPort: ---, SrcPort: ---
Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
send email to administrator
block source address for 1 hours
packet dropped
Es sind diverse Vlans, T-Home IPTV, ein paar Lancoms im Netzwerk vorhanden. Bei diesem Packet handelt es sich im einen LANCOM 1821+ VLAN 5 und der Trace stammt von einen 1823 als Gateway mit IPTV Konfiguration.
Es sind die empfohlenden 224.0.0.0/224.0.0.0 Routen für IPTV definiert.
Ich verstehe nicht ganz, wieso sich IDS für Multicasts interessiert ....
Das grössere Problem ist, dass da nach die Adresse geblockt ist.
Danke
Henri
[Firewall] 2009/10/03 18:01:37,180
Packet matched rule intruder detection
DstIP: 224.0.1.76, SrcIP: 172.20.5.5, Len: 32, TOS: ----
Prot.: IGMP (2), DstPort: ---, SrcPort: ---
Filter info: packet received from invalid interface LAN-1
send syslog message
send SNMP trap
send email to administrator
block source address for 1 hours
packet dropped
IAPP/Multicasts & IDS
Moderator: Lancom-Systems Moderatoren
Hi Henri
Diese Blockier-aktionen sind nur deshalb in der Firewall drin, weil die selbsernannten "Experten" von Computer-Bild, Chip & Co das toll finden und meinen sie würden für mehr Sicherheit sorgen. Letztendlich ist genau das Gegenteil der Fall: Sie machen DOS-Angriffe erst erfolgreich...
Stell dir dazu einfach vor, jemand fälscht die IP-Adresse des DNS-Servers deines Providers und das IDS fängt das Paket und blockiert die Adresse...
Daher:
Erstens: Finger weg von Blockier-Aktionen...
Zweitens: Wenn das IDS etwas meldet, dann hat das schon seinen Grund und du solltest die Ursache suchen und beseitigen.
In deinem Fall ist der "Schuldige" ein Accesspoint, der IAPP-Pakete mit der Absenderadresse 172.20.5.5 veschickt... Suche ihn und gib ihm entweder eine korrekte IP-Adresse oder stelle ihn ins richtigen Netz...
Gruß
Backslash
das IDS interressiert sich nicht für Multicasts, sondern für "gefälschte" Absenderadressen. Hier empfängt das LANCOM auf dem Interface LAN-1 ein Paket, das dei Absenderadresse 172.20.5.5 hat. Nur hast du an LAN-1 ein Netz gebunden, das diese adresse enthält. Daher meckert das IDS.Ich verstehe nicht ganz, wieso sich IDS für Multicasts interessiert ....
das bist du selbst schuld... (block source address for 1 hours).Das grössere Problem ist, dass da nach die Adresse geblockt ist.
Diese Blockier-aktionen sind nur deshalb in der Firewall drin, weil die selbsernannten "Experten" von Computer-Bild, Chip & Co das toll finden und meinen sie würden für mehr Sicherheit sorgen. Letztendlich ist genau das Gegenteil der Fall: Sie machen DOS-Angriffe erst erfolgreich...
Stell dir dazu einfach vor, jemand fälscht die IP-Adresse des DNS-Servers deines Providers und das IDS fängt das Paket und blockiert die Adresse...
Daher:
Erstens: Finger weg von Blockier-Aktionen...
Zweitens: Wenn das IDS etwas meldet, dann hat das schon seinen Grund und du solltest die Ursache suchen und beseitigen.
In deinem Fall ist der "Schuldige" ein Accesspoint, der IAPP-Pakete mit der Absenderadresse 172.20.5.5 veschickt... Suche ihn und gib ihm entweder eine korrekte IP-Adresse oder stelle ihn ins richtigen Netz...
Gruß
Backslash