Hallo zusammen,
ich habe mir gerade mal interessehalber die ganzen Syslog-Nachrichten angeschaut und musste feststellen, dass dort Fehlermeldungen ankommen, die ich nicht nachvollziehen kann und die der LANmonitor nicht erhält.
Extrem häufig erscheint eine Meldung im Stil
PACKET_ALERT: Dst: interne_IP_meines_Rechners:8080, Src: irgendeine_externe_IP:xxxx (TCP): port filter
Ich betreibe auf dem Port einen mitunter stark frequentierten Web-Server, jedoch habe ich keine Deny-Regel angelegt, die diese Alert-Meldungen erklären würde. Also habe ich testhalber alle Regeln aus der Firewall heraus genommen aber die Meldungen blieben. Selbst nachdem ich die max. zulässigen halboffenen Verbindungen und die Port-Anfragen auf utopisch hohe Werte gesetzt hatte, blieben diese Meldungen.
Lediglich die komplette Deaktivierung des Firewall-Moduls ließ diese Meldungen verschwinden.
Kann mir jemand sagen, was ich mit diesen Meldungen anfangen soll und warum sie im LANmonitor nicht unter den Firewall-Ereignissen auftauchen (bzw. dann trotzdem in den Syslog-Meldungen auftauchen)?
Danke für Eure Antwort.
Viele Grüße
C.
nicht-nachvollziehbare Fehler im Syslog
Moderator: Lancom-Systems Moderatoren
nicht-nachvollziehbare Fehler im Syslog
Lancom DSL/I-10+, LCOS 8, QDSL 2.560 & 16.000
Hi radtke
die Firewall prüft Verbindungszustände. Eine TCP-Verbindung benötigt 3 Pakete (SYN -> SYN/ACK -> ACK) um in den State "open" zu gelangen.
Wenn nun ein "Angreifer" für einen Portscan ein Paket schickt, daß kein SYN-Flag gesetzt hat, dann wird es halt verworfen.
Laß dir doch vom IDS mal eine Mail schicken - darin ist dann das Paket ausgedumped und auch der Grund weshalb es verworfen wurde...
Du kannst auch eine Regel für den Server erstellen und dort die Zustandsprüfung abschalten...
Gruß
Backslash
die Firewall prüft Verbindungszustände. Eine TCP-Verbindung benötigt 3 Pakete (SYN -> SYN/ACK -> ACK) um in den State "open" zu gelangen.
Wenn nun ein "Angreifer" für einen Portscan ein Paket schickt, daß kein SYN-Flag gesetzt hat, dann wird es halt verworfen.
Laß dir doch vom IDS mal eine Mail schicken - darin ist dann das Paket ausgedumped und auch der Grund weshalb es verworfen wurde...
Du kannst auch eine Regel für den Server erstellen und dort die Zustandsprüfung abschalten...
Gruß
Backslash
Hallo backslash,
danke für Deine Antwort.
Ich lasse mir ja bereits vom IDS Mails schicken - ab und zu (ca. 1-2x die Woche) erhalte ich auch eine Mail und per Portscan lässt sich's forcieren - aber die Meldungen aus dem Syslog bekomme ich nicht zugeschickt, oder gibt es Konstellationen, bei denen zwar ein Eintrag im Syslog vorgenommen wird aber ansonsten keine sichtbaren Ausgaben (SNMP, Mail etc.) erzeugt werden?
Viele Grüße
C.
danke für Deine Antwort.
Ich lasse mir ja bereits vom IDS Mails schicken - ab und zu (ca. 1-2x die Woche) erhalte ich auch eine Mail und per Portscan lässt sich's forcieren - aber die Meldungen aus dem Syslog bekomme ich nicht zugeschickt, oder gibt es Konstellationen, bei denen zwar ein Eintrag im Syslog vorgenommen wird aber ansonsten keine sichtbaren Ausgaben (SNMP, Mail etc.) erzeugt werden?
Viele Grüße
C.
Lancom DSL/I-10+, LCOS 8, QDSL 2.560 & 16.000