intrusion detection bei DHCP

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

intrusion detection bei DHCP

Beitrag von averlon »

Lancom 1906VA
LCOS 10.72.0203 (RU3)

Hallo,
ich habe im Netzwerk mehrere Geräte (z.B. NAS) die beim booten via DHCP die IP-Adresse beziehen.

Im log des Routers sehe ich z.B. solche Einträge:

Code: Alles auswählen

PACKET_ALERT: Dst: 169.254.255.255:137, Src: 169.254.100.100:137 (UDP): intrusion detection

oder

PACKET_ALERT: Dst: 255.255.255.255:8097, Src: 169.254.100.100:8097 (UDP): intrusion detection
Ich meine, das sind Broadcasts.

Die Folge davon ist, dass die IP-Adresse bzw. das Gerät für 5 Minuten blockiert wird. Das verlängert entsprechend den Boot-Vorgang.

Ich habe schon das Netzwerk 169.254.0.0/255.255.0.0 im Lancom eingerichtet. Allerdings ohne DHCP-Server. Das hat immer noch nicht den gewünschten Effekt.

Wie kann ich erreichen, dass diese Versuche nicht blockiert werden ?
Gruß
Karl-Heinz
Dr.Einstein
Beiträge: 2987
Registriert: 12 Jan 2010, 14:10

Re: intrusion detection bei DHCP

Beitrag von Dr.Einstein »

Hallo Karl-Heinz,

du solltest dir wirklich überlegen, ob du die IDS so verwenden willst. Das Sperren der Quelle hat aus meiner Sicht so gut wie keinen Vorteil, nur Nachteile. Gehe lieber auf den Default-Zustand zurück und alles ist gut:

Code: Alles auswählen

set /Setup/IP-Router/Firewall/IDS-Action "%d%n"
backslash
Moderator
Moderator
Beiträge: 7019
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: intrusion detection bei DHCP

Beitrag von backslash »

Hi averlon
Ich meine, das sind Broadcasts.
das sind zwar Broadcasts, aber die Quell-Adresse ist eine APIPA-Adresse und paßt somit nicht zum Netz... Wenn ein Client seine Adresse per DHCP bezieht, dann MUSS als Quelladresse 0.0.0.0 verwendet werden, solange der Client keine Adresse hat. Alles andere ist UNZULÄSSIG und wird korrekterweise von der Fierwall des LANCOMs angemeckert.
Die Folge davon ist, dass die IP-Adresse bzw. das Gerät für 5 Minuten blockiert wird.
Du solltest ganz schnell die Sperrung der Adresse aus der Firewallkonfiguration wieder herausnehmen....
Ich sage es immert wieder und wiederhole es hier auch gerne nochmal: Die Möglichkeit Adressen zu sperren ist nur deshalb in der Firewall drin, weil selbsternannte Experten diverser Homeuser-Computerzeitschriften meinen es wäre toll und erhöhe die Sicherheit, weshalb sie Firewalls, die das nicht können abwerten. Die Wahrheit sieht aber genau anders herum aus: Durch solche Sperren werden DoS-Angiffe erst erfolgreich...

Ähnliches gilt für Ping-Sperren und den sog. "Steath-Mode"... Beides sagt mitnichten, daß da keiner wäre, sonder ist im Geggenteil ein roter blinkender Pfeil auf ein interressantes Ziel! Denn wäre da wirklich keiner, dann würde der Router davor bereits sagen "Destination unreachable"...
Ich habe schon das Netzwerk 169.254.0.0/255.255.0.0 im Lancom eingerichtet.
eine ganz schlechte Idee! APIPA-Adressen sind reservierte Adressen, die von echten Netzen nicht verwendet werden dürfen
Wie kann ich erreichen, dass diese Versuche nicht blockiert werden ?
Alle diese Geräte aus dem Netz verbannen und deren Herstellen um die Ohren hauen!

Gruß
Backslash
averlon
Beiträge: 174
Registriert: 05 Okt 2012, 09:48

Re: intrusion detection bei DHCP

Beitrag von averlon »

Dr.Einstein hat geschrieben: 13 Sep 2023, 15:51 du solltest dir wirklich überlegen, ob du die IDS so verwenden willst.

Code: Alles auswählen

set /Setup/IP-Router/Firewall/IDS-Action "%d%n"
Habe ich gemacht!
backslash hat geschrieben: 13 Sep 2023, 16:08 Alle diese Geräte aus dem Netz verbannen und deren Herstellen um die Ohren hauen!
Klar, es gibt viele Anbieter, aber QNAP ist ja nicht irgendwer. Da ich schon seit einigen Jahren prinzipiell gute Erfahrungen mit denen gemacht habe wird das Thema wohl mit den geänderten IDS-Einstellungen erledigt sein.

Danke!
Gruß
Karl-Heinz
Antworten