Hallo,
ein Directed Broadcast wird bei aktivem IDS blockiert. So wie ich das sehe, kann man das IDS nur global ein- oder ausschalten.
Gibt es die Möglichkeit, das IDS für VPN-Verbindungen zu deaktivieren oder wenigstens Directed Broadcasts für diese Verbindung zu erlauben?
Gruß
Mario
Directed Broadcast über VPN
Moderator: Lancom-Systems Moderatoren
Hi eddia
Am sinnvollsten wäre es, das über eine explizite Firewall-Regel freischaltbar zu machen in der Form:
Quelle: alle Stationen
Ziel: Broadcastadresse des LANs
Aktion: übertragen
Das gäbe die größte Flexibilität, da man damit spezielle Broadcasts erlauben kann, während andere (unerwünschte) aber weiterhin geblockt werden.
Gruß
Backslash
ja, bis auf DHCP-Relay Pakete und "sysinfo" Requests über TFTP (damit LANconfig auch "entfernte Netzte" durchsuchen kann)ein Directed Broadcast wird bei aktivem IDS blockiert.
Genau so ist ist es...So wie ich das sehe, kann man das IDS nur global ein- oder ausschalten
Zur Zeit nicht, das wäre einen Feature-Wunsch wertGibt es die Möglichkeit, das IDS für VPN-Verbindungen zu deaktivieren oder wenigstens Directed Broadcasts für diese Verbindung zu erlauben?
Am sinnvollsten wäre es, das über eine explizite Firewall-Regel freischaltbar zu machen in der Form:
Quelle: alle Stationen
Ziel: Broadcastadresse des LANs
Aktion: übertragen
Das gäbe die größte Flexibilität, da man damit spezielle Broadcasts erlauben kann, während andere (unerwünschte) aber weiterhin geblockt werden.
Gruß
Backslash
Hallo Backslash,
[IP-router] 2005/01/09 12:43:33,890
IP-Router Rx (RAS-VPN):
DstIP: 192.168.100.255, SrcIP: 192.168.100.102 TOS: ----
Prot.: UDP (17) DstPort: 1, SrcPort: 1306
Filter (Port)
192.168.100.102 bin ich mit eingewähltem VPN-Client. Die Firewall meldet auch eine intruder detection.
Gruß
Mario
Hiermit angemeldet.Zur Zeit nicht, das wäre einen Feature-Wunsch wert
Hab ich jetzt mal so eingestellt, funktioniert aber nicht. Der Routertrace zeigt folgendes:Am sinnvollsten wäre es, das über eine explizite Firewall-Regel freischaltbar zu machen in der Form:
Quelle: alle Stationen
Ziel: Broadcastadresse des LANs
Aktion: übertragen
[IP-router] 2005/01/09 12:43:33,890
IP-Router Rx (RAS-VPN):
DstIP: 192.168.100.255, SrcIP: 192.168.100.102 TOS: ----
Prot.: UDP (17) DstPort: 1, SrcPort: 1306
Filter (Port)
192.168.100.102 bin ich mit eingewähltem VPN-Client. Die Firewall meldet auch eine intruder detection.
Gruß
Mario
Hi eddia
Das war ja auch erstmal nur eine Idde, wie man das konfigurierbar machen könnte...
Gruß
Backslash
Hab ich jetzt mal so eingestellt, funktioniert aber nicht.Am sinnvollsten wäre es, das über eine explizite Firewall-Regel freischaltbar zu machen in der Form:
Quelle: alle Stationen
Ziel: Broadcastadresse des LANs
Aktion: übertragen
Das war ja auch erstmal nur eine Idde, wie man das konfigurierbar machen könnte...
Gruß
Backslash
Hallo Backslash,
Mal so nebenbei: Warum wird ein Directed Broadcast eigentlich durch das IDS abgefangen? Das sollte doch eigentlich durch die DoS Protection erfolgen (Smurf).
Und wenn ich mir das so überlege, sollten bei einem LAN mit NAT zum Internet die restlichen Funktionen des IDS eigentlich überflüssig sein. Das IP-Spoofing könnte man mit einer FW-Regel nachbilden (Zurückweisen für empfangene Pakete bei Quelladresse aus eigenem Netz). Und ein Portscan ist mir ehrlich gesagt vollkommen egal.
Da könnte ich das IDS doch einfach abschalten und bei einer Deny_All Strategie zusätzlich Directed Broadcasts aus den VPN-Netzen erlauben?
Oder stecken in der IDS noch andere Sachen?
Gruß
Mario
Ach sooooo....Das war ja auch erstmal nur eine Idde, wie man das konfigurierbar machen könnte...
Mal so nebenbei: Warum wird ein Directed Broadcast eigentlich durch das IDS abgefangen? Das sollte doch eigentlich durch die DoS Protection erfolgen (Smurf).
Und wenn ich mir das so überlege, sollten bei einem LAN mit NAT zum Internet die restlichen Funktionen des IDS eigentlich überflüssig sein. Das IP-Spoofing könnte man mit einer FW-Regel nachbilden (Zurückweisen für empfangene Pakete bei Quelladresse aus eigenem Netz). Und ein Portscan ist mir ehrlich gesagt vollkommen egal.
Da könnte ich das IDS doch einfach abschalten und bei einer Deny_All Strategie zusätzlich Directed Broadcasts aus den VPN-Netzen erlauben?
Oder stecken in der IDS noch andere Sachen?
Gruß
Mario
hi eddia
Wenn man z.B. nicht hinter einem NAT hängt, dann bietet der Broadcast eine ganz einfache Möglichkeit das Netz auszuspähen: Ein Ping auf die Broadcastadresse genügt und du weisst, welche Adressen in dem Netz aktiv sind. Daher ist diese Abfrage im IDS.
Desweiteren unterscheidet die IP-Spoofig-Erkennung ja nicht nur zwischen LAN und WAN. Es wird auch abgefangen, wenn dir z.B. über das Internet ein Paket mit der Absendeadresse aus einem deiner VPN-Netze zugeschickt wird...
Gruß
Backslash
Nun ja, an welcher Stelle das abgefangen wird ist erstmal relativ egal. Zudem ist "Smurf" ja nur eine Sache die man mit Broadcasts anstellen kann. Es sind aber auch ganz andere Dinge mit dem Broadcast möglich, die viel gefählicher sind als ein Smurf - besonders da der Smurf dir erstmal gar nicht weh tut, sondern ein dritter das Opfer ist (DDOS)...Mal so nebenbei: Warum wird ein Directed Broadcast eigentlich durch das IDS abgefangen? Das sollte doch eigentlich durch die DoS Protection erfolgen (Smurf).
Wenn man z.B. nicht hinter einem NAT hängt, dann bietet der Broadcast eine ganz einfache Möglichkeit das Netz auszuspähen: Ein Ping auf die Broadcastadresse genügt und du weisst, welche Adressen in dem Netz aktiv sind. Daher ist diese Abfrage im IDS.
Beim 7011 mit dediziertem DMZ-Port prüft das IDS nicht nur, ob die Quelladresse eine lokale Adresse ist. Das ist dann mit den Firewall-Regeln nicht mehr abbildbar.Und wenn ich mir das so überlege, sollten bei einem LAN mit NAT zum Internet die restlichen Funktionen des IDS eigentlich überflüssig sein. Das IP-Spoofing könnte man mit einer FW-Regel nachbilden (Zurückweisen für empfangene Pakete bei Quelladresse aus eigenem Netz).
Desweiteren unterscheidet die IP-Spoofig-Erkennung ja nicht nur zwischen LAN und WAN. Es wird auch abgefangen, wenn dir z.B. über das Internet ein Paket mit der Absendeadresse aus einem deiner VPN-Netze zugeschickt wird...
Nun ja, die Sache mit dem Portscan ist ja eh nur deshalb drin, weil alle Welt meint es wäre wichtig, was es zu einem prima Marketing-Argument macht...Und ein Portscan ist mir ehrlich gesagt vollkommen egal.
Das Abschalten des IDS halte ich für keine so gute Idee. Eine Möglichkeit directed Brodacasts hinzuzuschalten hingegen schon.Da könnte ich das IDS doch einfach abschalten und bei einer Deny_All Strategie zusätzlich Directed Broadcasts aus den VPN-Netzen erlauben?
z.B. das Abfangen von Fragmentierungs-Angriffen (Bonk, Fragrouter)Oder stecken in der IDS noch andere Sachen?
Gruß
Backslash
Hallo Backslash,
Gruß
Mario
Da sieht man doch wieder mal, wie sicher Windows-PCs sind. Die antworten auf einen Broadcast-Ping einfach nicht.Wenn man z.B. nicht hinter einem NAT hängt, dann bietet der Broadcast eine ganz einfache Möglichkeit das Netz auszuspähen: Ein Ping auf die Broadcastadresse genügt und du weisst, welche Adressen in dem Netz aktiv sind.
Vergiss bitte den Ping-Blocker nicht! So ein bösartiger Angriff wie ein ICMP-Echo-Request ist doch etwas, was man gnadenlos unterdrücken muß.Nun ja, die Sache mit dem Portscan ist ja eh nur deshalb drin, weil alle Welt meint es wäre wichtig, was es zu einem prima Marketing-Argument macht...
Ok - verstanden und Danke für Deine Erklärung. Dann warte ich einfach noch ein wenig...Das Abschalten des IDS halte ich für keine so gute Idee. Eine Möglichkeit directed Brodacasts hinzuzuschalten hingegen schon.
Gruß
Mario