Wireless-IDS - Meldungen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
plumpsack
Beiträge: 648
Registriert: 15 Feb 2018, 20:23

Wireless-IDS - Meldungen

Beitrag von plumpsack »

LCOS 10.50.1400-RU13

Im web-interface:

Code: Alles auswählen

Status		/config/1/
WLAN		/config/1/3/
Wireless-IDS	/config/1/3/248/
Event-Table	/config/1/3/248/1/
der eine sagt:

Wireless-IDS
/config/1/3/248/1/
Event-Table
Event-Type ID Event-Time Event-Rate Interface Attacker-MAC
Null-Data-DoS-Attack 1 2024-04-11 09:58:16 831 WLAN-1 000000000000
Null-Data-DoS-Attack 2 2024-04-19 08:23:32 721 WLAN-1 000000000000
Null-Data-DoS-Attack 3 2024-04-19 08:26:33 642 WLAN-1 000000000000
Null-Data-DoS-Attack 4 2024-04-19 08:26:43 606 WLAN-1 000000000000
Null-Data-DoS-Attack 5 2024-04-19 08:26:48 998 WLAN-1 000000000000
Null-Data-DoS-Attack 6 2024-04-19 08:26:53 876 WLAN-1 000000000000
Null-Data-DoS-Attack 7 2024-04-19 08:27:08 690 WLAN-1 000000000000
Null-Data-DoS-Attack 8 2024-04-19 08:28:18 513 WLAN-1 000000000000
Null-Data-DoS-Attack 9 2024-04-19 08:28:23 1009 WLAN-1 000000000000
Null-Data-DoS-Attack 10 2024-04-19 08:28:28 1021 WLAN-1 000000000000
Null-Data-DoS-Attack 11 2024-04-19 08:28:33 1057 WLAN-1 000000000000
und er andere sagt:

Wireless-IDS
/config/1/3/248/1/
Event-Table
Event-Type ID Event-Time Event-Rate Interface Attacker-MAC
BlockAck-Attack 1 2024-04-19 16:02:10 350 WLAN-1 000000000000
BlockAck-Attack 2 2024-04-19 16:02:15 394 WLAN-1 000000000000
BlockAck-Attack 3 2024-04-19 16:02:20 336 WLAN-1 000000000000
BlockAck-Attack 4 2024-04-19 16:02:25 433 WLAN-1 000000000000
BlockAck-Attack 5 2024-04-19 16:02:30 230 WLAN-1 000000000000
BlockAck-Attack 6 2024-04-19 16:02:50 212 WLAN-1 000000000000
Mir ist das immer mal wieder aufgefallen, aber wie werte ich das aus?

Attacker-MAC 000000000000 ... ?
:G)

Kann man das verfeinern/filtern?

Leider wird das Wireless-IDS-Log irgendwann gelöscht - warum?

Aber viel wichtiger:

Warum taucht das Wireless-IDS nie im "Syslog" auf?

Danke für die Infos vorab.
ps:
aus 2019

fragen-zum-thema-firewall-f15/blockack- ... 17599.html

Ohne Antwort!

pps:
aus 2022

Wo ist eigentlich meine Anfrage "Frage zum Wireless IDS" geblieben?

Frage_zum_Wireless-IDS -> 17. Feb. 2022

Ohne Antwort - gelöscht - ohne Angabe von Gründen!

Frage_zum_Wireless-IDS.txt

17-02-2022

Frage zum Wireless IDS

Im WebInterface (WebIf) sehe ich unter
Status -> WLAN -> Wireless-IDS

Status
--> WLAN
--> --> Wireless-IDS

zahlreiche Meldungen mit "Null-Data-DoS-Attack"

AP1
2021-12-26 bis 2022-01-15

Event-Rate - von 520 bis 1603
Attacker-MAC - 000000000000

AP2
2021-12-17 bis 2022-01-15
Event-Rate - 206 bis 434
Attacker-MAC - 000000000000

A) Warum sehe ich diese Meldungen nicht im normalen Syslog des Lancom-Routers
B) Was bedeutet "Event-Rate" - sind das die Zugriffsversuche?
C) Warum wird die Mac-Adresse mit "000000000000" erfasst?


hmmm ....

Wollt ihr das jetzt wieder löschen?
:G)
Nach oben
plumpsack
Beiträge: 648
Registriert: 15 Feb 2018, 20:23

Re: Wireless-IDS - Meldungen

Beitrag von plumpsack »

So, ich habe weder bei Lancom, Hirschmann noch bei Belden weiterführende Informationen zum Thema "Wireless-IDS" - "WIDS" gefunden. :(

RM CLI HiLCOS
Release 10.12 12/2018


2.12.248.101 WIDS-White-List-Table
By entering certain stations into in a white list here, you exclude them from
the intruder identification.

2.12.248.101.1 Station-Id
Here you specify the station ID as the index of the table.

2.12.248.101.2 Station-MAC
Here you specify the MAC address of the station that is to be excluded from
intruder identification.

--> obsolete, denke ich.

2.12.248.101 WIDS-White-List-Table
By entering certain stations into in a white list here, you exclude them from
the intruder identification.

2.12.248.101.1 Station-Id
Here you specify the station ID as the index of the table.

2.12.248.101.2 Station-MAC
Here you specify the MAC address of the station that is to be excluded from
intruder identification.

RM CLI HiLCOS
Release 10.34 Revision 08/2022

--> obsolete, denke ich.

APR 16 2024
Improvements in HiLCOS 10.12.7153-RU12

DEC 20 2023
HiLCOS 10.34 Release Update 6

hmmmmm ...

Leider beschreiben weder Lancom, Hirschmann noch Belden irgendwelche Gegenmaßnahmen bei so einem Vorfall.

Ist das mit dem "Wireless-IDS" - "WIDS" nur ein Verkaufs-Gag - eine Marketingstrategie ?

Ich bitte um Klärung!

Danke.
Nach oben
plumpsack
Beiträge: 648
Registriert: 15 Feb 2018, 20:23

Re: Wireless-IDS - Meldungen

Beitrag von plumpsack »

Warum wird diese Thema so stiefmütterlich behandelt?
:G)
Nach oben
Antworten

Zurück zu „Fragen zur LANCOM Systems Routern und Gateways“