IDS intruder detection - ratlos!

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Lancom X
Beiträge: 14
Registriert: 15 Dez 2016, 11:20

IDS intruder detection - ratlos!

Beitrag von Lancom X »

Hallo zusammen,

es geht um zwei 1790VA mit den IP-Bereichen 10.10.12.0 und 10.10.13.0, die via VPN verbunden sind.
Diese beiden Netze sollen uneingeschränkt miteinander kommunizieren können, da u.a. mit RDP gearbeitet wird.
Leider kommt es hier zu Verbindungsabbrüchen. Die Firewall sagt z.B. Folgendes:

Code: Alles auswählen

Date: 8/30/2022 14:37:49

The packet below

Src: 10.10.12.5:3389  Dst: 10.10.13.34:62255 (TCP)

MAC-Header (14 Bytes)

   00 a0 57 5c 4f 1d 00 50  56 b3 31 c6 08 00       | ..W\O..P V.1...  

IP-Packet (91 Bytes):

   45 00 00 5b 54 0a 40 00  80 06 79 58 0a 0a 0c 05 | E..[T.@. ..yX....
   0a 0a 0d 22 0d 3d f3 2f  0c 04 2f 06 6d 9a 44 3b | ...".=./ ../.m.D;
   50 18 f9 18 bb 90 00 00  17 03 03 00 2e 00 00 00 | P....... ........
   00 00 00 01 06 e8 7b 7e  17 0d c9 ec ea 67 d6 a4 | ......{~ .....g..
   54 e3 66 5f e6 0a 59 d7  e4 71 26 b7 fb 30 94 b0 | T.f_..Y. .q&..0..
   3c 59 a5 e4 69 ef fa 0a  f9 8e 9e                | <Y..i... ...     

matched this filter rule: intruder detection
filter info:              packet received from invalid interface LAN-4

because of this the actions below were performed:
   drop
   send SNMP trap
   send email to administrator

LAN-2 = 10.10.12.1/255.255.0.0
LAN-4 = 192.168.52.1/255.255.255.0

Ich habe es mit Firewalleinträgen versucht, die aber offenkundig für IDS keine Relevanz haben.
Ich habe den verschiedenen Netzen Schnittstellen- und Routing-Tags verpasst und die Schnittstellen bzw. Ports in den Private Mode (Datenübertragung ) gesetzt, aber ich bekomme partout die aufgeführten Meldungen nicht weg, die teilweise im 1-2 Minuten-Takt eintrudeln.

Ich weiß nicht, an welcher Schraube ich noch drehen könnte.
Könnt inr mir weiterhelfen?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: IDS intruder detection - ratlos!

Beitrag von backslash »

Hi Lancom X,

die Mail sagt dir doch ganz klar, was passiert ist...

Das Paket wurde auf LAN-4 empfangen und hat die Quell-Adresse 10.10.12.5 und da sagst ja selber, daß LAN-4 das Netz 192.168.52.1/255.255.255.0 hat.
Das paßt nicht zusammen - denn das Interface auf dem das 10.10.0.0-Netz liegt, ist LAN-2. LAN-2 ist nicht LAN-4 - das IDS schlägt somit zurecht an...

Da mußt du nun schauen, wieso das Paket auf LAN-4 empfangen wird

Gruß
Backslash
Antworten