Hallo,
habe 3 Lancoms im Intranet 1823,1821,L310-AGN mit VLAN.
1823 ist der Router, 1821,L310-AGN Wlan-APs.
Habe auch IPTV mit Multicasts eingabaut, funktioniert auch alles so weit.
Sobald ich Wlan -> Endpoints can Roam between APs einschalte, bekommen ich jede Menge:
10.12.08 06:06:42 PACKET_ALERT Dst: 224.0.1.76:2313 {Wireless6}, Src: 172.2x.z.1:2313 (UDP): intrusion detection
10.12.08 06:07:46 PACKET_ALERT Dst: 224.0.1.76:2313 {Wireless6}, Src: 172.2x.y.5:2313 (UDP): intrusion detection
10.12.08 06:07:46 PACKET_ALERT Dst: 224.0.1.76:2313 {Wireless6}, Src: 172.2x.y.5:2313 (UDP): intrusion detection
10.12.08 06:07:46 PACKET_ALERT Dst: 224.0.1.76:2313 {Wireless6}, Src: 172.2x.y.5:2313 (UDP): intrusion detection
10.12.08 06:07:46 PACKET_ALERT Dst: 224.0.1.76:2313 {Wireless6}, Src: 172.2x.y.5:2313 (UDP): intrusion detection
Messages.
Nach einer Weile wird dann die Sourceaddresse der APs (L310, 2 Vlans:y,z) gesperrt.
Kein Problem bisher ohne Roaming. Ich denke, die Roaming Packete machen in Verbindung mit IPTV das Problem, da sie auch pre Multicast gesendet werden. Funktioniert gleich wie bei 7.58, da gab es das gleiche Problem.
Henri
Lancom 7.60 RC1, IPTV und IDS
Moderator: Lancom-Systems Moderatoren
Hi \,
hier die Adressen:
1823 -> VLAN 1,5,6, <vlan>.1
1821 -> VLAN 1,5,6 <vlan>.5
L310 -> VLAN 1,5,6 <vlan>.6
Hier auch ein Trace:
Destip: 1823 (Router), Srcip: L310
[Firewall] 2008/12/10 10:00:35,720
Packet's source address is blocked by rule intruder detection
DstIP: 172.20.x.1, SrcIP: 172.20.x.6, Len: 84, TOS: --R-
Prot.: ICMP (1), echo reply, id: 0x0004, seq: 0x0001
Danke
Henri
hier die Adressen:
1823 -> VLAN 1,5,6, <vlan>.1
1821 -> VLAN 1,5,6 <vlan>.5
L310 -> VLAN 1,5,6 <vlan>.6
Hier auch ein Trace:
Destip: 1823 (Router), Srcip: L310
[Firewall] 2008/12/10 10:00:35,720
Packet's source address is blocked by rule intruder detection
DstIP: 172.20.x.1, SrcIP: 172.20.x.6, Len: 84, TOS: --R-
Prot.: ICMP (1), echo reply, id: 0x0004, seq: 0x0001
Danke
Henri
Hi Henri
Daß du in der Firewall die Absenderadressen blockieren kannst, liegt einzig allein daran, daß die selbsternannten Experten von diversen Computer-Zeitungen das "geil" finden und es für ein absolutes Sicherheitsfeature halten. Das Problem dabei ist, daß eine solche Blockierung einen DoS-Angriff erst erfolgreich macht...
Stell dir einfach nurmal vor, jemand macht einen Angriff und fälscht dabei seine Absenderadresse - z.B. auf den DNS-Server deines Providers und du hast "Quelladresse blockieren" eingeschaltet. Was passiert? - Richtig, du bist schlagartig aus dem Internet gekickt...
Also: Finger weg von solchen Blockier-Aktionen - Es reicht aus, daß der jeweilige Angriff unterbunden und ggf. gemeldet wird.
Ansonsten: Konfiguriere dein Netz und die zugehörigen Router so, daß die Firewall nichts zu meckern hat...
Gruß
Backslash
Der 1823 muß letztendlich in allen Netzen stehen, bzw. Routen zu den Netzen haben, sonst schlägt die Firewall zu. Wenn ein Paket mit der Absenderadresse x.x.x.5 im Netz x.x.x.1 ankommt und es gibt keine Route zum 5er-Netz, dann kommt das Paket von nunmal von einem ungültigen Interface...1823 -> VLAN 1,5,6, <vlan>.1
1821 -> VLAN 1,5,6 <vlan>.5
L310 -> VLAN 1,5,6 <vlan>.6
Hier sind wir wieder beim beliebten Spielchen: Ich blockiere über die Firewall "böse" Adressen, wodurch der DoS-Angriff letztendlich erst erfolgreich wird...[Firewall] 2008/12/10 10:00:35,720
Packet's source address is blocked by rule intruder detection
DstIP: 172.20.x.1, SrcIP: 172.20.x.6, Len: 84, TOS: --R-
Prot.: ICMP (1), echo reply, id: 0x0004, seq: 0x0001
Daß du in der Firewall die Absenderadressen blockieren kannst, liegt einzig allein daran, daß die selbsternannten Experten von diversen Computer-Zeitungen das "geil" finden und es für ein absolutes Sicherheitsfeature halten. Das Problem dabei ist, daß eine solche Blockierung einen DoS-Angriff erst erfolgreich macht...
Stell dir einfach nurmal vor, jemand macht einen Angriff und fälscht dabei seine Absenderadresse - z.B. auf den DNS-Server deines Providers und du hast "Quelladresse blockieren" eingeschaltet. Was passiert? - Richtig, du bist schlagartig aus dem Internet gekickt...
Also: Finger weg von solchen Blockier-Aktionen - Es reicht aus, daß der jeweilige Angriff unterbunden und ggf. gemeldet wird.
Ansonsten: Konfiguriere dein Netz und die zugehörigen Router so, daß die Firewall nichts zu meckern hat...
Gruß
Backslash
Hallo \,
das passt schon, die Adresse lautet:
1823: 172.20.<vlan>.1
1821: 172.20.<vlan>.5
L310: 172.20.<vlan>.6
D.h. alle Geräte haben eine Adresse pro Vlan.
Es funktioniert auch alles wenn ich das WLAN Roaming nicht einschalte. Wenn ich es recht verstehe, wird beim WLAN Roaming ein Multicast Packet abgeschickt, ich denke verursacht das Problem.
Vielen Dank
Henri
das passt schon, die Adresse lautet:
1823: 172.20.<vlan>.1
1821: 172.20.<vlan>.5
L310: 172.20.<vlan>.6
D.h. alle Geräte haben eine Adresse pro Vlan.
Es funktioniert auch alles wenn ich das WLAN Roaming nicht einschalte. Wenn ich es recht verstehe, wird beim WLAN Roaming ein Multicast Packet abgeschickt, ich denke verursacht das Problem.
Vielen Dank
Henri