Seit der 4.12 bekomme ich bei der Webkonfiguration statt der Alive-Konfiguration die Trace-Mac
Seite. Bei Konfiguration per Telnet lassen sich die Werte einstellen.
Volker
Alive Funktion in 4.12
Moderator: Lancom-Systems Moderatoren
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
@ volker,
kannst du mal den Pfad im Webconfig zum Trace-Mac bzw. Alive-Konfig posten,
ich kann das nicht recht zuordnen und würde es mir mal gerne anschauen.
Hintergrund:
Aktuell suche ich eine Möglichkeit die Mac Adresse zu einer IP herauszufinden, die nicht existieren sollte und die einen Intruder Alarm ausgelöst hat.
Das gibt evtl. Aufschluss über die Geräteart.
Jemand ne Idee wie ich die Loggen lassen kann?
Ich habe noch keinen Anlass so früh auf die Jagt nach Eindringlingen zu gehen, jetzt hab ich mal eine Mailbenachrichtigung ins IDS gesetzt. Wielange behält der Lancom denn die MACs in seiner internen Übersetzungstabelle?
Der verdächtige Eintrag ist:
Richt ein wenig nach dem Versuch Daten abzutransportieren.
Hoffentlich bin ich blos paranoid. -> Dann sagt mir das bitte.
Gruß
Michael
kannst du mal den Pfad im Webconfig zum Trace-Mac bzw. Alive-Konfig posten,
ich kann das nicht recht zuordnen und würde es mir mal gerne anschauen.
Hintergrund:
Aktuell suche ich eine Möglichkeit die Mac Adresse zu einer IP herauszufinden, die nicht existieren sollte und die einen Intruder Alarm ausgelöst hat.
Das gibt evtl. Aufschluss über die Geräteart.
Jemand ne Idee wie ich die Loggen lassen kann?
Ich habe noch keinen Anlass so früh auf die Jagt nach Eindringlingen zu gehen, jetzt hab ich mal eine Mailbenachrichtigung ins IDS gesetzt. Wielange behält der Lancom denn die MACs in seiner internen Übersetzungstabelle?
Der verdächtige Eintrag ist:
Code: Alles auswählen
Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 6.4.2005 6:17:15 192.168.1.50 84.160.203.240 6 4332 135 intruder detection 00000001 0 40000800
IDS Wert war 500, ist jetzt 50Hoffentlich bin ich blos paranoid. -> Dann sagt mir das bitte.
Gruß
Michael
Hi,
war das ein IDS aus dem WAN? Auf welchem Interface wuerde das empfangen? Evtl. war der nicht in Deinem LAN, sondern der Absender hat eine IP angegeben, die zufaellig in Deinem LAN liegt, 192.168.1.0 ist ja nicht so ein seltenes Netz.
Sonst schau doch mal in die ARP Tabelle des LANCOM /Status/TCP-IP-statistics/ARP-statistics/Table-ARP
Ciao
LoUiS
war das ein IDS aus dem WAN? Auf welchem Interface wuerde das empfangen? Evtl. war der nicht in Deinem LAN, sondern der Absender hat eine IP angegeben, die zufaellig in Deinem LAN liegt, 192.168.1.0 ist ja nicht so ein seltenes Netz.
Sonst schau doch mal in die ARP Tabelle des LANCOM /Status/TCP-IP-statistics/ARP-statistics/Table-ARP
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
@ Louis,
ich hoffe nicht das der aus dem WAN kam.
Um das zu verhindern habe ich in der Firewall...
DENY-ALL (misst, war nicht aktiv gesetzt
)
Manche Clients haben uneingeschränkten Internet Zugang
Für andere Clients sind per IP-Range nur die SMTP/POP freigegeben.
Manche Server haben auch noch extra erlaubte Ports.
Maskiert ist dank PPTP nur noch Port 311 für ASIP Administration.
Die freie DHCP Range liegt höher, die IPs dürfen dann nichts und alle anderen Stationen haben eine MAC/DHCP Kopplung.
In der Arp Tabelle (config/1/9/1/7/) ist nur ein Eintrag vorhanden, den ich aber zuordnen kann.
Es ist ein Office 1000 zur Wartungs-ISDN-Einwahl, die letzte war im März, da dyndns seither problemlos läuft. 
Abgesehen von einem LAN Zugang, wie ich es Vermute fällt mir nur noch PPTP ein, dass man sich hierbei als Client beliebige IPs auch außerhalb der Range zuordnen kann wurde glaube ich als Bug aufgenommen.
In den Accounting Infos taucht die XXX.XXX.1.50 nicht auf. Komisch, da hier auch Drucker auftauchen, die gesperrt sind, war wohl das GW nicht gesetzt.
Was kann ich denn machen um wenn es wieder vorkommt mehr Client-Infos, wenigstens die MAC zu bekommen?
Danke
Michael
ich hoffe nicht das der aus dem WAN kam.
Um das zu verhindern habe ich in der Firewall...
DENY-ALL (misst, war nicht aktiv gesetzt
)Manche Clients haben uneingeschränkten Internet Zugang
Für andere Clients sind per IP-Range nur die SMTP/POP freigegeben.
Manche Server haben auch noch extra erlaubte Ports.
Maskiert ist dank PPTP nur noch Port 311 für ASIP Administration.
Die freie DHCP Range liegt höher, die IPs dürfen dann nichts und alle anderen Stationen haben eine MAC/DHCP Kopplung.
In der Arp Tabelle (config/1/9/1/7/) ist nur ein Eintrag vorhanden, den ich aber zuordnen kann.
Code: Alles auswählen
IP-Adresse Node-ID Letzter-Zugriff Anschluss
192.168.1.XXX 00a057xxxxxx 334755504 tics LANAbgesehen von einem LAN Zugang, wie ich es Vermute fällt mir nur noch PPTP ein, dass man sich hierbei als Client beliebige IPs auch außerhalb der Range zuordnen kann wurde glaube ich als Bug aufgenommen.
In den Accounting Infos taucht die XXX.XXX.1.50 nicht auf. Komisch, da hier auch Drucker auftauchen, die gesperrt sind, war wohl das GW nicht gesetzt.
Was kann ich denn machen um wenn es wieder vorkommt mehr Client-Infos, wenigstens die MAC zu bekommen?
Danke
Michael
Hi,
ich verstehe Deine Aufregung nicht, da das Paket vom WAN kam, dann hat die Firewall es doch so oder so nicht durchgelassen, sondern verworfen. Pakete mit der LAN Absenderadresse sind ja nun auch nichts besonderes, das passiert doch bei M$ OS schon mal oefters.
Ciao
LoUiS
ich verstehe Deine Aufregung nicht, da das Paket vom WAN kam, dann hat die Firewall es doch so oder so nicht durchgelassen, sondern verworfen. Pakete mit der LAN Absenderadresse sind ja nun auch nichts besonderes, das passiert doch bei M$ OS schon mal oefters.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Woher sehe ich, ob es aus dem WAN kam?
Ich denke das kam aus dem LAN von einem unberechtigten/unbekannten Client.
Die IDS schlägt schon ab und zu mal aus dem LAN zu, das ist aber erklärbar und ungefährlich, siehe
Ich denke das kam aus dem LAN von einem unberechtigten/unbekannten Client.
Die IDS schlägt schon ab und zu mal aus dem LAN zu, das ist aber erklärbar und ungefährlich, siehe
Code: Alles auswählen
Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 9.4.2005 13:13:33 169.254.157.176 239.255.255.253 17 49161 427 intruder detection 00000001 0 40000800
0002 7.4.2005 11:16:01 192.168.000.254 192.168.001.001 17 37652 2208 intruder detection 00000001 0 40000800Hi,
wieso sollte jemand aus dem LAN mit Absenderport 4332 auf die WAN IP und Port 135 Deines Routers zugreifen? Das macht aus dem LAN doch keinen Sinn.
Ciao
LoUiS
wieso sollte jemand aus dem LAN mit Absenderport 4332 auf die WAN IP und Port 135 Deines Routers zugreifen? Das macht aus dem LAN doch keinen Sinn.
Code: Alles auswählen
Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 6.4.2005 6:17:15 192.168.1.50 84.160.203.240 6 4332 135 intruder detection 00000001 0 40000800
IDS Wert war 500, ist jetzt 50Ciao
LoUiS
Zuletzt geändert von LoUiS am 09 Apr 2005, 18:37, insgesamt 1-mal geändert.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Ach so, was läuft da?LoUiS hat geschrieben:Pakete mit der LAN Absenderadresse sind ja nun auch nichts besonderes, das passiert doch bei M$ OS schon mal oefters.
Ich dachte, es wird immer die ISP-IP verwendet?!
Ich hatte auch letztlich ein IDS von 192.168.1.1(Port 6000) an meine WAN-IP(Port 1433). Wie kann man das erklären?
Denn dummerweise hatte mein Server danach 30min kein Connect mehr zum Router, da das in der FW von mir so geregelt wird
Gruß
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Hi,
Ciao
LoUiS
dann hast Du Deine Firewall aber falsch konfiguriert! Ein Angreifer haette dann ja genau das geschafft was er mit einem DoS- Angriff will, Dich auszuschalten. Deshalb ist es gefaehrlichmit dem "Absender Adresse sperren" Feature zu arbeiten, weil genau sowas passieren kann. Wenn jemand eine gefakete Adresse (oder weil zufaellig ein Paket mit der falschen Absenderadresse raus geht) benutzt, die zufaellig zu Deinem Server im LAN passt, dann wir diese Adresse fuer die angegebene Zeit gesperrt.Denn dummerweise hatte mein Server danach 30min kein Connect mehr zum Router, da das in der FW von mir so geregelt wird
Es kommt halt bei Windows schon mal gerne vor, dass Pakete auf dem falschen Interface rausgehen, oder die falsche IP als Absender-Adresse verwendet wird.Ach so, was läuft da?
Ich dachte, es wird immer die ISP-IP verwendet?! Shocked
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Also meinst Du, es ist besser, diese Funktion nicht zu verwenden?LoUiS hat geschrieben:
dann hast Du Deine Firewall aber falsch konfiguriert! Ein Angreifer haette dann ja genau das geschafft was er mit einem DoS- Angriff will, Dich auszuschalten. Deshalb ist es gefaehrlichmit dem "Absender Adresse sperren" Feature zu arbeiten, weil genau sowas passieren kann. Wenn jemand eine gefakete Adresse (oder weil zufaellig ein Paket mit der falschen Absenderadresse raus geht) benutzt, die zufaellig zu Deinem Server im LAN passt, dann wir diese Adresse fuer die angegebene Zeit gesperrt.
Gibt es keine Möglichkeit, die FW so zu konfigurieren, dass diese erkennt, ob die IP aus dem LAN oder WAN kommt?
Ich fande es eigentlich bisher nicht verkehr, die IP des Angreifers für eine gewisse Zeit zu sperren.
Gruß
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Nein, die gibt es fuer IDS nicht. Ich meine Backslash hatte den Grund mal irgendwo hier im Forum erklaert. (Kann auch im Router-Forum gewesen sein.)Gibt es keine Möglichkeit, die FW so zu konfigurieren, dass diese erkennt, ob die IP aus dem LAN oder WAN kommt?
Tja und hast selbst erlebt was dabei passiert. Wozu sollte die Funktion gut sein? Wenn der Angreifer Dich per DoS lahm legen will schafft er das auch wenn Du Ihn sperrst.Ich fande es eigentlich bisher nicht verkehr, die IP des Angreifers für eine gewisse Zeit zu sperren.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
-
Michael008
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
@ Louis,
die Meldungen
Habe ich selbst im LAN produziert, das sind unkonfigurierte bzw. falsch konfigurierte Geräte gewesen.
Wie ist denn die Logik, das dann eine Meldung wie diese
nicht aus dem LAN sondern aus dem WAN kommen soll?
Sollte das etwa ein Angriff aus dem WAN mit gefälschter Quell IP darstellen?
Viel naheliegender ist da doch ein unerlaubt ins Netz eingesteckter Laptop, der eine freie IP geraten hat und der ein paar Daten nach Hause schicken möchte oder vielleicht nach dem Ruhezustand noch eine offene Verbindung checkt.
Gruß
Michael
die Meldungen
Code: Alles auswählen
Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 9.4.2005 13:13:33 169.254.157.176 239.255.255.253 17 49161 427 intruder detection 00000001 0 40000800
0002 7.4.2005 11:16:01 192.168.000.254 192.168.001.001 17 37652 2208 intruder detection 00000001 0 40000800Wie ist denn die Logik, das dann eine Meldung wie diese
Code: Alles auswählen
Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 6.4.2005 6:17:15 192.168.1.50 84.160.203.240 6 4332 135 intruder detection 00000001 0 40000800Sollte das etwa ein Angriff aus dem WAN mit gefälschter Quell IP darstellen?
Viel naheliegender ist da doch ein unerlaubt ins Netz eingesteckter Laptop, der eine freie IP geraten hat und der ein paar Daten nach Hause schicken möchte oder vielleicht nach dem Ruhezustand noch eine offene Verbindung checkt.
Gruß
Michael