Firewallblock
Moderator: Lancom-Systems Moderatoren
Firewallblock
Kennt jemand eine Möglichkeit, das IDS für VPN Verbindungen auszuschalten oder noch besser, für bestimmte Quellhosts zu deaktivieren. Hintergrund: Unser NIS scann regelmäßig bestimmte Subnetze ab, was natürlich zu einem Block führt. Abschalten an sich will ich es aber auch nicht, das es doch wertvolle Infos über Würmer im internen Netz liefern kann.
Goermet (LCS)
Hi goermet,
nein, eine solche Möglichkeit gibt es nicht.
Es stellt sich natürlich die Frage, wozu du Portscans im eigenen Netz benötigst, außer um herauszufinden ob irgendwelche Rechner "verbotene" Software installiert haben. Dazu kannst du dann auch in jedem Subnetz einen eigenen Scanner aufstellen...
Gruß
Backslash
nein, eine solche Möglichkeit gibt es nicht.
Es stellt sich natürlich die Frage, wozu du Portscans im eigenen Netz benötigst, außer um herauszufinden ob irgendwelche Rechner "verbotene" Software installiert haben. Dazu kannst du dann auch in jedem Subnetz einen eigenen Scanner aufstellen...
Gruß
Backslash
Hallo
da liegt ein Mißverständis vor. Ich habe HP Insight Manager (NIS=Network Informatin System nicht Network Intrusion Detection System) im Einsatz (warum ich den nicht in jedem Subnetz einzeln installieren will ist klar denke ich) und der "scannt" die Subnetze ab bzw. fragt die Verfügbarkeit der entsprechenden Dienste ab. Das interpretiert die Lancom jedoch als Portscan (was es ja quasi auch ist), jedoch kann ich dem das schlecht verbieten. Und ich will die Portscan-Erkennung nicht abschalten, weil die mir schon Würmer angezeigt hat, die im internen Netz waren.
Das selbe in grün ist es mit dem HP Webadmin und z.B. den Verwaltungstools der Ricoh (Drucker) Clone. Von daher ist es denke ich nicht so ganz unerheblich.
da liegt ein Mißverständis vor. Ich habe HP Insight Manager (NIS=Network Informatin System nicht Network Intrusion Detection System) im Einsatz (warum ich den nicht in jedem Subnetz einzeln installieren will ist klar denke ich) und der "scannt" die Subnetze ab bzw. fragt die Verfügbarkeit der entsprechenden Dienste ab. Das interpretiert die Lancom jedoch als Portscan (was es ja quasi auch ist), jedoch kann ich dem das schlecht verbieten. Und ich will die Portscan-Erkennung nicht abschalten, weil die mir schon Würmer angezeigt hat, die im internen Netz waren.
Das selbe in grün ist es mit dem HP Webadmin und z.B. den Verwaltungstools der Ricoh (Drucker) Clone. Von daher ist es denke ich nicht so ganz unerheblich.
Goermet (LCS)
Hi goermet,
Gruß
Backslash
wie viele Dienste sucht er denn so?und der "scannt" die Subnetze ab bzw. fragt die Verfügbarkeit der entsprechenden Dienste ab
Das LANCOM interpretiert mehr als 50 Ports die ein Rechner bei einem anderen Rechner innerhalb kürzester Zeit abfragt als Portscan - und ein Programm daß soetwas macht, ist mindestens schlecht designed, wenn mir da nicht noch schlimmere Bezeichnungen einfallen...Das interpretiert die Lancom jedoch als Portscan (was es ja quasi auch ist)
wie wäre es damit, die Software so zu konfigurieren, daß sie nur die Dienste scannt, die auch benötigt werden und nicht alles, was irgendwann mal erfunden wurde...jedoch kann ich dem das schlecht verbieten
Also beim Namen "Webadmin" denke ich da eher ein Programm, daß alle möglichen Rechner auf Port 80 abfragt - aber soetwas wird ja vom LANCOM auch nicht als Portscan gewertet (ganz alte Versionen hatten da ein paar Probleme mit, das ist aber schon lange her...)Das selbe in grün ist es mit dem HP Webadmin und z.B. den Verwaltungstools der Ricoh (Drucker) Clone. Von daher ist es denke ich nicht so ganz unerheblich.
Gruß
Backslash
Hallo Backslash
da werden verschiedene Hardwareparameter, Netbios, DNS, Clusterdienste, ....... Zustand der ORA -DB, Festplatten Speicherplatz, .... CPU AUslastung, Stand des danebenstehende Colaautomaten, .... Verfügbarkeit der SAP Dienste, ... und so weiter von jeweils ca. 10 Servern + Drucker + Clients etc. in 15 Niederlassungen abgefragt und was soll ich sagen, das ist nicht so einfach konfigurierbar, mal davon abgesehen, das das halt in Echtzeit überwacht werden soll.
Webadmin (nicht webmin) ist das HP System zur Druckerüberwachung (Füllstand, der Toner, Papapier, Druckweg .... nächster Kaffeautomat, ... Letzte Wartung, aktuelle Druckseiten, ...
Was soll ich sagen: Es gibt halt Programme die sind dafür vorgesehen, möglichst viele Informationen von vielen Systeme in möglichst kurzer Zeit zu bekommen - und das ist legitim, wie soll ich sonst wissen, was in meinem Netzwerk abgeht. Ich hab nicht 2, nicht 20 nicht 200 sondern noch viel mehr Systeme und Drucker zu überwachen! Das kann ich nicht per Hand und mit 2 Mitarbeitern, da muß ich automatsieren. Und jedes System hat halt andere Dienste. Und da will ich nicht bei jedem neuen System alles per Hand einstellen - desweg hab ich ja z.B. den Insight Manager!
Und Lancom-Geräte sind ja nicht für den Home-User sondern für Professionals?!! Und da ich den lancom-Geräten (und den Entwicklern) mittlerweile mehr zutraue als z.B. Cisco (gott hab die Geräte selig) versuche ich hier halt eine Lösung für mein Problem zu finden - und wenn ich sie selber implementieren muß!
da werden verschiedene Hardwareparameter, Netbios, DNS, Clusterdienste, ....... Zustand der ORA -DB, Festplatten Speicherplatz, .... CPU AUslastung, Stand des danebenstehende Colaautomaten, .... Verfügbarkeit der SAP Dienste, ... und so weiter von jeweils ca. 10 Servern + Drucker + Clients etc. in 15 Niederlassungen abgefragt und was soll ich sagen, das ist nicht so einfach konfigurierbar, mal davon abgesehen, das das halt in Echtzeit überwacht werden soll.
Webadmin (nicht webmin) ist das HP System zur Druckerüberwachung (Füllstand, der Toner, Papapier, Druckweg .... nächster Kaffeautomat, ... Letzte Wartung, aktuelle Druckseiten, ...
Was soll ich sagen: Es gibt halt Programme die sind dafür vorgesehen, möglichst viele Informationen von vielen Systeme in möglichst kurzer Zeit zu bekommen - und das ist legitim, wie soll ich sonst wissen, was in meinem Netzwerk abgeht. Ich hab nicht 2, nicht 20 nicht 200 sondern noch viel mehr Systeme und Drucker zu überwachen! Das kann ich nicht per Hand und mit 2 Mitarbeitern, da muß ich automatsieren. Und jedes System hat halt andere Dienste. Und da will ich nicht bei jedem neuen System alles per Hand einstellen - desweg hab ich ja z.B. den Insight Manager!
Und Lancom-Geräte sind ja nicht für den Home-User sondern für Professionals?!! Und da ich den lancom-Geräten (und den Entwicklern) mittlerweile mehr zutraue als z.B. Cisco (gott hab die Geräte selig) versuche ich hier halt eine Lösung für mein Problem zu finden - und wenn ich sie selber implementieren muß!
Goermet (LCS)
Hallo Goermet,
Noch schöner wäre es natürlich, wenn man das IDS im Lancom feiner konfigurieren könnte. Mich interessieren Portscans überhaupt nicht - trotzdem bekomme ich jedesmal einen Eintrag in der Firewall, da man nur global SNMP-Traps ein- oder ausschalten kann.
Gruß
Mario
Und der scannt die Systeme auf so vielen unterschiedlichen Ports? Macht der das nicht eigentlich per SNMP?Ich habe HP Insight Manager (NIS=Network Informatin System nicht Network Intrusion Detection System) im Einsatz (warum ich den nicht in jedem Subnetz einzeln installieren will ist klar denke ich) und der "scannt" die Subnetze ab bzw. fragt die Verfügbarkeit der entsprechenden Dienste ab.
Vielleicht hilft ja ein analoges Vorgehen zum Broadcast-Ping. Hier kann man ja seit der 5.x eine Firewall-Regel anlegen, damit bei einem Ping auf die Broadcastadresse des Lans hinter dem Lancom nicht das IDS anspringt.versuche ich hier halt eine Lösung für mein Problem zu finden - und wenn ich sie selber implementieren muß!
Noch schöner wäre es natürlich, wenn man das IDS im Lancom feiner konfigurieren könnte. Mich interessieren Portscans überhaupt nicht - trotzdem bekomme ich jedesmal einen Eintrag in der Firewall, da man nur global SNMP-Traps ein- oder ausschalten kann.
Gruß
Mario