Hallo,
ich habe hier einen 1721er mit zwei DSL Verbindungen, auf die ein Netz geroutet wird, dabei werden vom ISP die Pakete auf beide Kanäle verteilt. So weit, so gut, funktioniert auch (fast) alles prima.
Nun ergibt sich folgendes Problem: Wir haben hier etliche FW Regeln eingetragen, da die DMZ relativ viele verschiedene Server beherbergt und nur die wirklich absolut notwendigen Ports geöffnet werden. Als letzte Regel kommt ein DENY-ALL.
Soweit funktioniert noch alles. Kommen die Pakete allerdings auf den beiden Interfacen unterschiedlich rein, dann kriegt das IDS manchmal leicht die Krise und meldet einen Einbruchsversuch. Nun habe ich das IDS auf "Erlauben" umgestellt - erstes Problem: Einige Ports werden trotzdem einfach durchgeroutet obwohl es dedizierte FW Regeln dazu gibt. (Beispielsweise Port 135, auch VNC war schon dabei - trotz "extra" Regeln werden die Pakete weitergeleitet).
Ziemlich störend finde ich die Tatsache, dass z.B. Anfragen auf den Port 135 ca. 20 Mal über die FW Regeln abgelehnt werden und plötzlich das IDS anspringt und ein (!) Paket durchleitet, danach die FW Regeln wieder greifen und dann beispielsweise die nächsten 10 oder 20 Pakete wieder blockieren (?)....
Nun frage ich mich, ob es eine Möglichkeit gibt, das IDS komplett abzuschalten, so dass im Prinzip einfach "nur" die FW Regeln abgearbeitet werden. Falls das noch nicht vorhanden ist, wäre es möglich, diese Funktionalität in einer der nächsten Firmwares aufzunehmen?
Für ein Feedback im voraus besten Dank!
/Marc
IDS "abschalten"
Moderator: Lancom-Systems Moderatoren
Hi Marc
Bist du dir sicher, da du von dir erwähnten Pakete wirklich von der Firewall durchgelassen wurden?
Gruß
Backslash
hier wäre erstmal zu prüfen warum sich das IDS meldet und ob die Meldung nicht korrekt ist... Einfach abschalten nur weil die Meldung stört, ist nicht das wahre...Soweit funktioniert noch alles. Kommen die Pakete allerdings auf den beiden Interfacen unterschiedlich rein, dann kriegt das IDS manchmal leicht die Krise und meldet einen Einbruchsversuch. Nun habe ich das IDS auf "Erlauben" umgestellt
wie ist das mit der "extra" Regel zu verstehen? Ich dachte du hast eine Deny-All Regel und schaltest explizit Ports frei...erstes Problem: Einige Ports werden trotzdem einfach durchgeroutet obwohl es dedizierte FW Regeln dazu gibt. (Beispielsweise Port 135, auch VNC war schon dabei - trotz "extra" Regeln werden die Pakete weitergeleitet).
ich hab's mir gerade nochmal im Sourcecode angeschaut - und kann nur sagen: dem ist nicht so... In der Firewall ist ein Drop/Reject immer stärker als ein Accept - also auch wenn das IDS bei einer Deny-All Regel "Accept" sagt, wird das Paket wegen des "Reject" in der Regel verworfen...Ziemlich störend finde ich die Tatsache, dass z.B. Anfragen auf den Port 135 ca. 20 Mal über die FW Regeln abgelehnt werden und plötzlich das IDS anspringt und ein (!) Paket durchleitet, danach die FW Regeln wieder greifen und dann beispielsweise die nächsten 10 oder 20 Pakete wieder blockieren (?)....
Bist du dir sicher, da du von dir erwähnten Pakete wirklich von der Firewall durchgelassen wurden?
Ganau hierfür ist die Möglichkeit gedacht auch "Accept" als IDS-Aktion anzugeben - wie gesagt: der Sourcecode gibt das von dir beobachtete nicht her...Nun frage ich mich, ob es eine Möglichkeit gibt, das IDS komplett abzuschalten, so dass im Prinzip einfach "nur" die FW Regeln abgearbeitet werden. Falls das noch nicht vorhanden ist, wäre es möglich, diese Funktionalität in einer der nächsten Firmwares aufzunehmen?
Gruß
Backslash
Hi Backslash,
erstmal vielen Dank für Deine Antwort!
gucken lassen
Also dann nochmals vielen Dank für Deine Hilfe!
Viele Grüsse,
/Marc
erstmal vielen Dank für Deine Antwort!
Das stimmt. Weil aber im Syslog gemeldet wurde, dass das Paket durchgeleitet wurde, habe ich dann noch eine explizite Regel für diesen Port gesetzt, um das anzutestenwie ist das mit der "extra" Regel zu verstehen? Ich dachte du hast eine Deny-All Regel und schaltest explizit Ports frei...
Das wollte ich doch nur hören, ich war (zugegeben) ein bisschen faul und habe nicht geschaut, ob das Paket wirklich durchgeroutet wurde oder nicht, die Syslog-Meldung hat mich halt ein wenigIn der Firewall ist ein Drop/Reject immer stärker als ein Accept - also auch wenn das IDS bei einer Deny-All Regel "Accept" sagt, wird das Paket wegen des "Reject" in der Regel verworfen...
gucken lassen Also dann nochmals vielen Dank für Deine Hilfe!
Viele Grüsse,
/Marc
Hi Marc
Wenn du aber bei der Deny-All Regel das Logging aktivierst müßtest du für das Paket hintereinander zwei Syslogs bekommen: Eins vom IDS, das "accept" sagt, und eins von der Deny-All Regel, das "reject" sagt...
Gruß
Backslash
OK, es ist ggf. etwas ungeschickt, daß IDS und die sonstigen Regeln ihr eigenes Logging machen...die Syslog-Meldung hat mich halt ein wenig gucken lassen
Wenn du aber bei der Deny-All Regel das Logging aktivierst müßtest du für das Paket hintereinander zwei Syslogs bekommen: Eins vom IDS, das "accept" sagt, und eins von der Deny-All Regel, das "reject" sagt...
Gruß
Backslash