Hallo zusammen,
habe ein merkwürdiges Phänomen bei 2 verschiedenen Installationen.
In beiden Installationsn werden Apple Geräte (iPhones) im Netz verwendet.
Regelmäßig schlägt die Port Scan Detection am Lancom Router (1900EF) Alarm, da in Richtung ext. Apple Server IP (bpsw.: "17.248.209.73" ein UDP 443 geht.
LCOS Version ist 10.80. RU11, das Verhalten war aber auch schon in früheren Versionen so.
Kennt hier jemand die Ursache und wie das "Problem" zu lösen ist, sodass die Fehlerkennungen aufhören ?
Eine Firewall Regel, die UDP 443 in dem Netz in richtung ext. / Internet erlaubt hat das Problem nicht lösen können.
Die Port Scan Detection schlägt auch dann wieder Alarm, was mich zur Frage bringt:
Kann man für die Port-Scan-Detection überhaupt keine Ausnahmen definieren ?
Würde mich über Feedback von eurer Seite freuen.
VG
Port Scan Detection / Apple UDP 443
Moderator: Lancom-Systems Moderatoren
Re: Port Scan Detection / Apple UDP 443
Hi geforce28
die Portscan-Detection ist eine Heuristik, die anschlägt, wenn von einem Host innerhalb von 30 Sekunden mehr unbeantwortete Anfragen an einen Server gehen, als in der Portscan-Schwelle angegeben (CLI: /Setup/IP-Router/FirewallPort-Scan-Threshold, LANconfig: Firewall/QoS -> IDS -> Maximalzahl der Portanfragen).
UDP Port 443 klingt nach QUICC - untersützt dein Server das überhaupt? Wenn nicht dann, dann wäre es ggf. sinnvoller einfach das QUICC zu filtern (also keine Allow- sondern eine Deny-Regel für den Port)
Gruß
Backslash
die Portscan-Detection ist eine Heuristik, die anschlägt, wenn von einem Host innerhalb von 30 Sekunden mehr unbeantwortete Anfragen an einen Server gehen, als in der Portscan-Schwelle angegeben (CLI: /Setup/IP-Router/FirewallPort-Scan-Threshold, LANconfig: Firewall/QoS -> IDS -> Maximalzahl der Portanfragen).
UDP Port 443 klingt nach QUICC - untersützt dein Server das überhaupt? Wenn nicht dann, dann wäre es ggf. sinnvoller einfach das QUICC zu filtern (also keine Allow- sondern eine Deny-Regel für den Port)
Gruß
Backslash
Re: Port Scan Detection / Apple UDP 443
Guten Morgen,
es ist in der Tat QUIC-Protokoll, ausgelöst durch die Aktivierung von "iCloud Privat-Relay" auf den Apple-Geräten.
Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports:
https://support.apple.com/de-de/103229
Informationen zu iCloud Privat-Relay:
https://support.apple.com/de-de/102602
Grüße
Dr. Zett
es ist in der Tat QUIC-Protokoll, ausgelöst durch die Aktivierung von "iCloud Privat-Relay" auf den Apple-Geräten.
Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports:
https://support.apple.com/de-de/103229
Informationen zu iCloud Privat-Relay:
https://support.apple.com/de-de/102602
Grüße
Dr. Zett
Re: Port Scan Detection / Apple UDP 443
Also "iCloud Privat-Relay" ist deaktiviert, das kann nicht die Ursache sein.
Also auch wenn ich ein DENY in der Firewall anlege für das Netz und UDP 443, schlägt trotzdem die Port Scan Detection an.
Wie kann das sein ?!
Also auch wenn ich ein DENY in der Firewall anlege für das Netz und UDP 443, schlägt trotzdem die Port Scan Detection an.
Wie kann das sein ?!
Re: Port Scan Detection / Apple UDP 443
Hi geforce28,
Damit wird aber (für matchende Pakete) das IDS abgeklemmt, was ggf. nicht gewollt ist. Man könnte sich aber auch sagen: wenn die Regel das eh verwirft, dann ist das IDS auch egal...
Aber statt an den Symptomen zu "doktorn" solltest du leibver prüfen was in deinem Netz los ist und die Ursache für die Portscan-Meldung suchen...
Gruß
Backslash
die Heuristrik arbeitet immer - du kannst die aber austricksen, indem du an der Regel das Häkchen bei "diese Regel hält Verbindungszustände nach" entfernst.Also auch wenn ich ein DENY in der Firewall anlege für das Netz und UDP 443, schlägt trotzdem die Port Scan Detection an.
Wie kann das sein ?!
Damit wird aber (für matchende Pakete) das IDS abgeklemmt, was ggf. nicht gewollt ist. Man könnte sich aber auch sagen: wenn die Regel das eh verwirft, dann ist das IDS auch egal...
Aber statt an den Symptomen zu "doktorn" solltest du leibver prüfen was in deinem Netz los ist und die Ursache für die Portscan-Meldung suchen...
Gruß
Backslash
Re: Port Scan Detection / Apple UDP 443
Kurz: Apple disable QUICgeforce28 hat geschrieben: 09 Jun 2025, 11:10 Kennt hier jemand die Ursache und wie das "Problem" zu lösen ist, sodass die Fehlerkennungen aufhören ?