DoS, IDS nur für bestimmte Schnittstellen möglich?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

DoS, IDS nur für bestimmte Schnittstellen möglich?

Beitrag von C/5 »

Hallo,

Frage in die Runde, gibt es eine Möglichkeit, die DoS- und die IDS-Funktion nur auf bestimmte Schnittstellen anzuwenden (Internet / WAN) oder andersrum bestimmte Schnitttellen auszunehmen (INTRANET)?

Hintergrund ist, dass bei Nutzung von Firefox offenbar bei bestimmten Internetseiten zahlreiche halboffene Verbindungen entstehen, die dann zur Sperrung der betreffenden IP für einen gewissen Zeitraum führen (wenn man diese Option aktiviert). Von extern würde ich diese Funktion gerne nutzen, aber für Stationen im eigenen Netz wären dann andere Parameter sinnvoller, nur finde ich nichts dazu, ob man das getrennt einstellen kann.

Gruß
C/5
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: DoS, IDS nur für bestimmte Schnittstellen möglich?

Beitrag von C/5 »

Hey,

keine Reaktion = 'geht nicht zu differenzieren' oder mag sich vielleicht doch noch jemand dazu äußern?
Hab das Verhalten mal an einem Beispiel dokumentiert.
Betrifft hier das Lancom-Forum. Browser ist wie gesagt Firefox. Mit anderen Browsern stelle ich das Verhalten zumindest nicht so massiv fest.
Man sieht, dass DoS und IDS eben auch nach innen greifen, statt primär oder differenzierbar nach LAN und WAN getrennt.
Würde zum Beispiel eine explizite Firewallregel für 5.9.94.149 DoS in dem Fall überstimmen?
Gruß
C/5
DoS_IDS_FF_halboffen_intern.jpg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
CyberT
Beiträge: 260
Registriert: 17 Apr 2005, 14:36

Re: DoS, IDS nur für bestimmte Schnittstellen möglich?

Beitrag von CyberT »

Hallo C/5,

C/5 hat geschrieben: 03 Apr 2020, 20:15Hintergrund ist, dass bei Nutzung von Firefox offenbar bei bestimmten Internetseiten zahlreiche halboffene Verbindungen entstehen,
Die Default-Konfiguration bei einem LANCOM 1821n Wireless (mit LCOS 8.82) ist bei der Maximalzahl halboffener Verbindungen (DoS) bei 100 und bei der Maximalzahl der Port-Anfragen (IDS) bei 50. Bitte konfiguriere das entsprechend und teste dann erneut.

C/5 hat geschrieben: 03 Apr 2020, 20:15die dann zur Sperrung der betreffenden IP für einen gewissen Zeitraum führen (wenn man diese Option aktiviert).
Diese und alle weiteren Sperr- und Trennoptionen sollten nicht aktiviert werden. - Zu den Hintergründen äußert sich backslash immer mal wieder ziemlich eindeutig, u.a. hier: R883VAW - "intruder detection" nach Neuverbindung, muss das so sein?
(Gibt noch eine Reihe von weiteren Beiträgen von backslash zu diesem Thema...)


Gruß.
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: DoS, IDS nur für bestimmte Schnittstellen möglich?

Beitrag von C/5 »

Hallo CyberT,

hab Deinem Hinweis folgend wieder die Default-Werte DoS 100 und IDS 50 eingetragen.
Beobachtung die letzten beiden Tage hat ergeben, dass damit kein weiterer DoS-Eintrag aufgetaucht ist.

Sperren hatte ich nicht gesetzt, auch weil ich um den verlinkten Beitrag von backslash weiß.

Ich möchte dennoch meinen Punkt noch mal in den Blick rücken:
Gibt es irgendeine Möglichkeit im LCOS, die Wirkungsrichtung von DoS und IDS nur auf eine bestimmte Schnittstelle auszurichten?
Also DoS und IDS nur auf der WAN-Schnittstelle nur für von extern initiierten Traffic?
Oder würde eine explizite Firewallregel für in dem Beispiel 5.9.94.149 die DoS-Erkennung in dem Fall überbrücken?

Das Schließen des Zielports für eine begrenzte Zeit würde doch eigentlich bestimmte Angriffsmuster signifikant ausbremsen. Also wäre das ein brauchbares Instrument. Es lässt sich nur nicht spezifisch genug ansetzen.

Gruß
C/5
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DoS, IDS nur für bestimmte Schnittstellen möglich?

Beitrag von backslash »

Hi C/5,

zunächst: Es gibt keine Möglichkeit das auf einzelnen Interfaces abzuschalten....

Du kannst aber gezielt Regeln ohne Zustandsüberwachung erstellen - dann kann auch das IDS nicht greifen, denn um einen Portscan zu detektieren, muß die Firewall die Zustände einer Session überwachen.
Das Problem dabei ist aber, daß die Firewall dann auch das Ende von TCP-Sessions nicht mehr mitbekommt und du daher die TCP-Haltezeit deutlich reduzieren mußt, damit dem Gerät der Speicher nicht ausgeht...

Gruß
Backslash
C/5
Beiträge: 90
Registriert: 18 Jul 2019, 10:55

Re: DoS, IDS nur für bestimmte Schnittstellen möglich?

Beitrag von C/5 »

Ok, danke backslash. Die Zustandsüberwachung zu deaktivieren ist in der Tat keine Lösung.

Gruß
C/5
Antworten