Komische Intruder-Meldungen

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
egli
Beiträge: 5
Registriert: 14 Sep 2017, 18:30

Komische Intruder-Meldungen

Beitrag von egli »

Hallo zusammen,
seit einigen Wochen häufen sich bei uns merkwürdige Intruder-Meldungen. Meist sind das irgendwelche Anfragen von Privaten IP-Adressen auf dem als Internetzugang verwendeten Gateway. Da ich zuvor da nie Mails bekommen habe, war ich etwas verwundert.
Diese Meldungen sehen so aus:

Code: Alles auswählen

Date: 9/14/2017 7:05:49

The packet below

Src: 172.28.37.11:49384  Dst: [UNSERE IP]:23 {Lancom.intern} (TCP)

IP-Packet (44 Bytes):

   45 00 00 2c fb 2c 00 00  f0 06 44 bd ac 1c 25 0b | E..,.,.. ..D...%.
   4f c2 69 f8 c0 e8 00 17  00 00 6c 50 00 00 00 00 | O.i..... ..lP....
   60 02 39 08 a7 8c 00 00  02 04 05 14             | `.9..... ....    

matched this filter rule: intruder detection
filter info:              packet received from invalid interface INTERNET

because of this the actions below were performed:
   drop
   send SNMP trap
   send email to administrator
Oder aber auch

Code: Alles auswählen

Date: 9/13/2017 4:41:43

The packet below

Src: 192.168.122.127:53345  Dst: [UNSERE IP]:2772 {Lancom.intern} (TCP)

IP-Packet (40 Bytes):

   45 00 00 28 61 a0 00 00  f5 06 62 6e c0 a8 7a 7f | E..(a... ..bn..z.
   4f c2 76 d7 d0 61 0a d4  f2 df 1d a3 00 00 00 00 | O.v..a.. ........
   50 04 04 b0 bd b6 00 00                          | P.......         

matched this filter rule: intruder detection
filter info:              packet received from invalid interface INTERNET

because of this the actions below were performed:
   drop
   send SNMP trap
   send email to administrator

Ist das nur das übliche Hintergrund-Rauschen, sprich die Anfrage nach Ports, die nicht geöffnet sind, oder muss man sich da sorgen machen?

Vielen Dank für Hinweise!

Peter
Zuletzt geändert von egli am 30 Dez 2017, 17:24, insgesamt 1-mal geändert.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Komische Intruder-Meldungen

Beitrag von backslash »

Hi egli,

das IDS springt nunmal an, wenn Pakete mit Quell-Adressen die im Lokalen Netz liegen über das Internet rein kommen und ungekehrt.
Bei dem UDP: hängst du an einem Kabelanschluß? Das ist ein Antwort-Paket eines DHCP-Servers an einen Host mit der MAC-Adresse 24:65:11:25:0a:32...

alles in allem kannst du das sicherlich ignorieren - zumal das LANCOM die Pakete ja geblockt hat...

Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Komische Intruder-Meldungen

Beitrag von Jirka »

Hi Backslash,

aber das letzte Paket scheint ja vom LANCOM selber zu kommen (mit seiner WAN-IP) und an die interne IP einer Außenstelle zu gehen. Da stimmt doch was mit dem Dynamic VPN nicht, also ist was nicht korrekt konfiguriert meine ich.

Viele Grüße,
Jirka
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Komische Intruder-Meldungen

Beitrag von backslash »

Hi Jirka,

das ist zwar offensichtlich ein dynamic-VPN-Paket, aber es wird (zumindest laut Mail) auf dem LAN empfangen - und da sollte kein Paket mit einer öffentlichen Quell-Adresse ankommen, es sei denn die Default-Route zeigt ins LAN... Aber ohne genauere Angaben zum Netzaufbau ist alles reine Spekulation.

Gruß
Backslash
rrr
Beiträge: 101
Registriert: 06 Okt 2007, 01:10

Re: Komische Intruder-Meldungen

Beitrag von rrr »

Ich hab auch seit Monaten mehrfach täglich IDS-Meldungen von der IP 192.168.11.27 welche immer den SSH-Port anfragt.

Prüft da evtl. die Telekom ob der SSH-Port erreichbar ist?
egli
Beiträge: 5
Registriert: 14 Sep 2017, 18:30

Re: Komische Intruder-Meldungen

Beitrag von egli »

Ich habe in den vergangenen Wochen versucht, bei der Telekom etwas in Erfahrung zu bringen. Leider ohne Erfolg.
Der Reihe nach: Das UDP-Paket sollte von der Betrachtung ausgeschlossen werden (ich habe es aus dem Post oben gelöscht). Diese Meldung habe ich fälschlicherweise eingefügt; das Paket ging bei einem unserer Filialstandorte ein, der in der Tat per Kabel angebunden ist und damit war die Vermutung DHCP vollständig richtig. Sorry, da habe ich beim Post schreiben nicht richtig aufgepasst.

Zur sonstigen Netztopologie: In unserem Netz gibt es zwei per ARF getrennte Netze, 192.168.1.0 und als Gastnetz 192.168.100.1. Es sind zwei Filialstandorte per VPN angebunden. Diese haben die IP-Adressbereiche 192.168.200.0 und 192.168.250.0. Ich hatte auch erst an "Irrläufer" meiner eigenen Konfiguration geglaubt, aber die IP-Adressbereiche aus den gegebenen Intruder-Meldungen werden bei uns im Netz gar nicht vergeben.

Könnt Ihr mir weiterhelfen?
Antworten