Hallo !
Leider wusste ich nicht wie ich Überschrift nennen sollte.
Also:
Ich habe in der FW Portscan und IDS so gesetzt, das bei Versuchen der Absender 20 Minuten gesperrt wird.
Leider passierte eben folgendes. Ich habe Skype gestartet und dieses Programm versucht über etliche Ports nach draussen zu kommen (Port-Scan).
Also von intern nach extern. Und was mein Router: Ah, Portscan detectet, Absender Adresse gesperrt, nämlich die IP meines PCs.
Kann ich das irgendwie verhindern ?
Gibt es irgendeine Regel die ich setzten kann, damit das nicht wieder passiert ?
Gruss mark13
Portscan legt meine int. Kommunikation lahm
Moderator: Lancom-Systems Moderatoren
Sicher das die DoS, IDS Protection angesprochen hat? Habe mich gerade auch mit Skype beschäfitgt. Es ist wohl eher so, daß bei einer Deny_All Strategie der Firewall unter gewissen Umständen die CPU Last auf 100% schnellt und der Router schlicht nicht mehr reagiert bzw. abstürzt.
Probiere mal folgendes:
- Schalte bei vorhandener Deny_All die SNMP Event Benachrichtigung aus oder
- erstelle eine Allow Regel für Skype, die alle Ziele Ports über 1024 umfasst UND als Quell Port denjenigen, den du in Skype vergeben hast.
Dann sollte das laufen...
Gruß
COMCARGRU
Probiere mal folgendes:
- Schalte bei vorhandener Deny_All die SNMP Event Benachrichtigung aus oder
- erstelle eine Allow Regel für Skype, die alle Ziele Ports über 1024 umfasst UND als Quell Port denjenigen, den du in Skype vergeben hast.
Dann sollte das laufen...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hi !
Ne, das war schon wegen dem Portscan.
Werde aber mal Deine Config ausprobieren.
Gruss mark13
Ne, das war schon wegen dem Portscan.
Werde aber mal Deine Config ausprobieren.
Gruss mark13
Date: 2/27/2005 14:03:55
The packet below
Src: 192.168.1.50:1133 Dst: 66.235.181.59:30528 (TCP)
45 00 00 30 03 1d 40 00 80 06 3d aa c0 a8 01 32 | E..0..@. ..=....2
42 eb b5 3b 04 6d 77 40 85 2c 44 5e 00 00 00 00 | B..;.mw@ .,D^....
70 02 ff ff 83 e6 00 00 02 04 05 b4 01 01 04 02 | p....... ........
matched this filter rule: port scan detection
filter info: possible TCP portscan from 192.168.1.50
because of this the actions below were performed:
reject
send email to administrator
send SNMP trap
block source address for 20 minutes
Hi mark13
Das Blocken der Absender-Adresse ist immer eine schlechte Idee, da damit ein DoS-Angriff tatsächlich funktioniert. Stell dir vor, jemand fälscht die Absenderadresse bei einem Scan auf die IP-Adresse des DNS-Servers deines Providers - damit ist automatisch dein Internetzugang derartig gestört, daß er de fakto nicht mehr genutzt werden kann. Von daher: entferne als erstes die Blockierung (die hat eh nur Marketingtechnisch eine Bedeutung und ist ansonsten eher schädlich, wie du selbst gemerkt hast).
Ich selbst kenne Skype nicht, aber wenn es in dem Progremm eine Möglichkeit gibt, die Anzahl der genutzen Verbindungen zu beschränken, dann setze diese auf einen Wert < 50
Als nächstes hast du noch die Möglichkeit, im LANCOM die Schwelle, ab der ein Portscan erkannt, wird heraufzusetzen (Default ist 50 Anfragen in 30 Sekunden)
Gruß
Backslash
Das Blocken der Absender-Adresse ist immer eine schlechte Idee, da damit ein DoS-Angriff tatsächlich funktioniert. Stell dir vor, jemand fälscht die Absenderadresse bei einem Scan auf die IP-Adresse des DNS-Servers deines Providers - damit ist automatisch dein Internetzugang derartig gestört, daß er de fakto nicht mehr genutzt werden kann. Von daher: entferne als erstes die Blockierung (die hat eh nur Marketingtechnisch eine Bedeutung und ist ansonsten eher schädlich, wie du selbst gemerkt hast).
Ich selbst kenne Skype nicht, aber wenn es in dem Progremm eine Möglichkeit gibt, die Anzahl der genutzen Verbindungen zu beschränken, dann setze diese auf einen Wert < 50
Als nächstes hast du noch die Möglichkeit, im LANCOM die Schwelle, ab der ein Portscan erkannt, wird heraufzusetzen (Default ist 50 Anfragen in 30 Sekunden)
Gruß
Backslash