Auswahlkriterium für "Potenziell gefährliche Verbindung" protokolliert

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Franz
Beiträge: 280
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Auswahlkriterium für "Potenziell gefährliche Verbindung" protokolliert

Beitrag von Franz »

Guten Morgen,
 
seit dem Upgrade unserer NFR UTM auf v11.8.7 werde ich gehäuft darüber informiert, dass "Potenziell gefährliche Verbindung" protokolliert wurden.
 
Daraus ergeben sich für mich mindestens zwei Fragen:
1. Anhand welcher Kriterien werden potentiell gefährliche Verbindungen detektiert (IP auf einer schwarzen Liste etc.)?
2. Könnte man mit Hilfe dieser Bedrohungserkennung eigene Filterregeln erstellen?
 
Gruß
 
Franz

Benutzeravatar
Christian E.
Securepoint
Beiträge: 237
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Guten Morgen,

ja, dabei handelt es sich um eine Blacklist mit IP Adressen / Netzwerke die als potentiell gefährlich eingestuft werden.
Diese Liste aktualisiert sich mehrmals am Tag.
Die Verbindungen werden nur protokolliert und ggf. blockiert wenn es für den Port, auf den versucht wird zuzugreifen, eine Regel, also z.B. eine Portweiterleitung vorhanden ist.
Alles was ohnehin nicht freigegeben ist, wird nicht protokolliert und standardmäßig sowieso blockiert.
Eigene Regeln damit zu erstellen ist daher auch nicht möglich.

Beste Grüße
Christian

Antworten