Grund für ICMPv6 intruder detection

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
equaL
Beiträge: 31
Registriert: 04 Nov 2010, 10:05
Wohnort: Essen

Grund für ICMPv6 intruder detection

Beitrag von equaL »

Guten Morgen,

in dem IPv6 Firewall Log meines 1781VAW taucht ein Eintrag auf welchen ich nicht interpretieren kann. (siehe Anhang)

Es handelt sich um ein ICMPv6 Paket welches von einem IPAD (über WLAN) an die link local Adresse des LAN interface des 1781 gesendet wird. Das IPAD macht SLAAC für die link local Adresse und stateful DHCPv6 für die global unicast Adresse. DHCPv6 reconfigure ist erlaubt. Das WLAN interface ist so konfiguriert dass DHCP in unicast konvertiert wird. Die Firewall ist auf dem LAN interface nicht aktiviert.

Was bedeuten Quell und Zielport bei ICMPv6? Der Message Typ kann es nicht sein ... das Message Typ Feld in ICMPv6 hat nur 8 Bit.
Warum wird "intruder detection" erkannt?
Ich fände es sehr hilfreich wenn im Firewall Log zu ersehen wäre, auf welchem interface das auslösende Paket empfangen wurde. Gibt es einen Grund warum das nicht so ist?

Kann mir jemand einen Tipp geben? Danke!


Gruß ... Erik aus Essen


1781VAW -> 10.40RU3
1722 -> 9.00SU8 (als SIP PBX)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Grund für ICMPv6 intruder detection

Beitrag von backslash »

Hi equaL
Was bedeuten Quell und Zielport bei ICMPv6? Der Message Typ kann es nicht sein ... das Message Typ Feld in ICMPv6 hat nur 8 Bit.
Der Ziel-Port wurde historisch wird aus Typ und Code gebildet. Mitlerweile ist der Code immer 0
Der Quell-Port entält bei pings den Identifier und ist ansonsten 0

in deinem Fall wäre es also ein Destination unreachable. Warum daraufhin das IDS anspringt, läßt sich so nicht sagen. Dazu müßtest du weitere infos der Firewall erheben, z.B. indem du dir vom IDS eine Mail schicken läßt..

Gruß
Backslash
equaL
Beiträge: 31
Registriert: 04 Nov 2010, 10:05
Wohnort: Essen

Re: Grund für ICMPv6 intruder detection

Beitrag von equaL »

Hallo Backslash,

Danke für den Tipp mit der Mail. Der Inhalt ist wirklich aussagekräftig.

Ich habe den Hex Dump dekodiert. Es handelt sich um ein "port unreachable" welches als auslösendes Paket eine DNS reply vom 1781 beinhaltet. Die Längenfelder in den beiden enthaltenden IPv6 Headern zeigen, dass dieses Paket 11 Byte zu kurz ist. Ich bin mir über mein Ergebnis der Analyse aber nicht ganz sicher, deshalb noch folgende Frage:

Ist der Hex Dump in der Mail in der Länge begrenzt, oder wird immer das komplette Paket ausgegeben?

Gruß ... Erik
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Grund für ICMPv6 intruder detection

Beitrag von backslash »

Hi equaL

der Hexdump ist auf 128 Zeichen bergenzt. Die Aussage "too short packet" ist u.U. aber irreführend, denn sie kommt immer dann, wenn die Firewall den Key für den Session-Lookup nicht bilden kann - warum auch immer... ggf. verrechnet sich die Firewall hier mit der Länge des embedded-Header...

Aber es stellt sich auch die Frage, warum der Host die DNS-Antwort des LANCOMs ablehnt. schließlich beantwortet das LANCOM hier ja eine Anfrage, die der Host vorher gestellt hat...

Gruß
Backslash
equaL
Beiträge: 31
Registriert: 04 Nov 2010, 10:05
Wohnort: Essen

Re: Grund für ICMPv6 intruder detection

Beitrag von equaL »

Hi Backslash,

ja, das ist richtig. Warum das IPAD die DNS Reply nicht akzeptiert ist noch fraglich. Aus irgendeinem Grund muss das binding des random UDP Ports auf Seite des IPAD nicht oder nicht mehr existieren. Das kann ich nur klären wenn ich auch das DNS Request Paket mitlese. Ich werde über Nacht mal einen Trace laufen lassen ...

Das die angezeigte Paketlänge in der Mail begrenzt ist, hatte ich vermutet. Der Grund wird wohl die Vermeidung von Performance Problemen sein. Wenn das so ist, ist mir aber nicht klar warum das IDS ausgelöst wird. Es handelt sich doch um ein valides Paket.

Eine Vermutung habe ich. Es könnte sein dass das IPAD den Access Point wechselt. Denn neben dem im 1781 integrierten Access Point gibt es noch einen zweiten mit der selben SSID welcher an einem LAN Port hängt. Das könnte wahrscheinlich beide Phänomene erklären.

Vielen Dank für Deine Unerstützung ... Gruß ... Erik
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Grund für ICMPv6 intruder detection

Beitrag von backslash »

Hi equaL

ich konnte es nachvollziehgen... Da verrechnet sich die Firewall tatsächlich, so daß das in der ICMP-Meldung eingebettete Paket u.U. tatsächlich als zu kurz angehen wird... Ich hab's als Bug eingetragen und es wird in einer der nächten Versionen gefixt werden.

Gruß
Backslash
equaL
Beiträge: 31
Registriert: 04 Nov 2010, 10:05
Wohnort: Essen

Re: Grund für ICMPv6 intruder detection

Beitrag von equaL »

Hallo Backslash,

dann ist meine Neugier befriedigt. Vielen Dank dafür.

Was das IPAD dazu bringt die DNS Reply abzuweisen habe ich bisher nicht zweifelsfrei feststellen können. Ein Wechsel des AP ist es zumindest nicht. Im betreffenden Zeitraum sendet das IPAD in kurzen Abständen sechs verschiedene DNS Request Pakete und bekommt auch auf alle eine Antwort. Manchmal wird eine Antwort zurückgewiesen. Das geschieht im Ruhezustand des IPAD in regelmäßigen Abständen. Keine Ahnung was das IPAD da macht, aber ich will mich nicht beklagen, im Gegensatz zu meinen diversen Android Geräten unterstützt das IPAD wenigstens managed DHCPv6.

Einen schönen Tag wünscht ... Erik
equaL
Beiträge: 31
Registriert: 04 Nov 2010, 10:05
Wohnort: Essen

Re: Grund für ICMPv6 intruder detection

Beitrag von equaL »

Ich habe nun LCOS 10.42RU2 im Einsatz und das Problem tritt bisher nicht mehr auf.

Vielen Dank für den Bugfix!

Gruß ... Erik
Antworten