IDS/IPS Input Warnung

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
s.berg@pcc-fc.com
Beiträge: 12
Registriert: Mo 03.06.2019, 13:45

IDS/IPS Input Warnung

Beitrag von s.berg@pcc-fc.com »

Moin,
dank der neuen funktion IDS/IPS  warnungen auszugeben und zu blocken, hat mann nun einne tollen überblick zu diesen nicht gewollten ereignissen, jedoch stresst die warnung akkut. hab die meldung auf einen tagesbericht zurück gestuft..
Konkret werden wir immer wieder von ein und der selben IP angegriffen, wie kann ich diese dauerhaft bannen ?
140 allerts pro tag :
INPUT - Potentially dangerous connection was blocked: incoming interface eth0, outbound interface , source address 185.234.218.210, destination address 192.168.5.18, protocol TCP, source port 25811, destination port 25

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

mit den Update v11.8.7 ist die "CYBER DEFENCE CLOUD" hinzugekommen. Diese Protokolliert Zugriffe von und zu potentiell gefährlichen IP's. Unter Anwendungen >> IDS/IPS >> CYBER DEFENCE CLOUD können Sie die Protokollierung ausschalten oder die Zugriffe direkt Blocken lassen.

Wenn Sie nur wegen der Masse der Benachrichtigungen überrascht sind, können Sie deren Häufigkeit im Alerting Center regulieren, indem Sie den Benachrichtigungstyp heruntersetzen.

Ein Wiki dazu finden Sie auch hier, und ein kostenfreies Webinar zum Update hier.


Gruß Björn

s.berg@pcc-fc.com
Beiträge: 12
Registriert: Mo 03.06.2019, 13:45

Beitrag von s.berg@pcc-fc.com »

Danke für ihre Antwort, dass ist mir soweit bekannt.

Die Protokollierten auffälligkeiten kommen immer von der gleichen IP Adresse, daher würde ich diese gern dauerhaft blocken.

Seccie01010101
Beiträge: 8
Registriert: Di 03.09.2019, 12:23

Beitrag von Seccie01010101 »

Same IP Adress bei uns ... 
Nervig

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

wenn Sie die Cyber Defence Cloud auf blockieren stellen wird dies rejected. Wenn Sie dann noch zusätzlich das Alerting Center anpassen können Sie es rejecten und die Meldungen auf Info stellen oder keine Meldungen.

Gruß Björn

Seccie01010101
Beiträge: 8
Registriert: Di 03.09.2019, 12:23

Beitrag von Seccie01010101 »

Ja, dass ist schon klar :-)

Dennoch nervt diese IP ;-)

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

durch das rejected bekommt aber Absender die Info zurück das es abgelehnt wird. Dadurch macht man sich unbeliebt und man kommt früher oder später von den Listen herunter.

s.berg@pcc-fc.com
Beiträge: 12
Registriert: Mo 03.06.2019, 13:45

Beitrag von s.berg@pcc-fc.com »

Das habe ich so umgesetzt .. , zb in den letzten 24h 310 Warnungen.
Wenn ich die IP nicht manuell auf eine Bann Liste setzen kann, verstehe ich jedoch nicht warum die UTM das nicht selbst macht. Die häufigkeit des Blockens könnte doch zur folge haben dass die IP für einen Zeitraum tatsächlich verbannt wird, bei wieder auftreten auch gern immer länger...?

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Bei uns wurde ebenfalls seit einiger Zeit ständig von 185.234.218.210 aus versucht auf Port 25 unsere externe IP anzusprechen. Weil mich die genannten Meldungen ziemlich gestört haben und das "Rejecten" seit Wochen nichts gebracht hat, habe ich einfach eine entsprechende Firewall-Regel angelegt. Jetzt wird der Kram noch vor IDS/IPS abgewiesen.

Gruß

Franz

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Mal eine Grundsatzfrage zur Cyber-Defence-Cloud:

Werden hier nur die Quell-IPs ausgewertet oder ist die Detektierung auch vom Zielport abhängig (z.B. böseIP -> WAN-IP:25 würde geblockt/reportet werden und böseIP -> WAN-IP:8443 würde durchgelassen werden)?

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Nur ueber die IP
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

mwoeste
Beiträge: 2
Registriert: Mi 06.05.2020, 07:13

Beitrag von mwoeste »

Franz hat geschrieben:Bei uns wurde ebenfalls seit einiger Zeit ständig von 185.234.218.210 aus versucht auf Port 25 unsere externe IP anzusprechen. Weil mich die genannten Meldungen ziemlich gestört haben und das "Rejecten" seit Wochen nichts gebracht hat, habe ich einfach eine entsprechende Firewall-Regel angelegt. Jetzt wird der Kram noch vor IDS/IPS abgewiesen.

Gruß

Franz
Hallo. Gegenwärtig stört es mich auch, dass wir von ein und den gleichen externen IPs immer wieder "angegriffen" werden und ich würde ebenfalls diese direkt "blacklisten". Können Sie mir schildern, wie Sie in diesem Fall vorgegangen sind mit Ihrer "Firewall-Regel"?

Wäre wirklich gut, wenn die Securepoint Appliance merkt, dass der Angriff immer wieder und wieder ausgeführt wird, dass diese externe IP dann automatisch in eine Blacklist verschwindet und gebannt wird. Danke für Feedback.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

1. Netzwerkgruppe für Störer erstellt
2. Netzwerkobjekt für die IP des Störers erstellt (Zone: external) und dieses Objekt der zuvor erstellten Netzwerkgruppe zugeordnet
3. Portfilter erstellt
                Quelle: Netzwerkgruppe-Störer
                Ziel:       external-interface
                Dienst: any
                Aktion: DROP (oder REJECT, wenn man Rückmeldung geben will)

Momentan beobachte ich noch die Qualität der Erkennung via "CYBER DEFENCE CLOUD". Ich hatte schon Fälle (Störungen), wo diese zu "sensibel" war.

wufservice
Beiträge: 31
Registriert: Di 28.05.2019, 16:14

Beitrag von wufservice »

Bjoern hat geschrieben:Hallo,

durch das rejected bekommt aber Absender die Info zurück das es abgelehnt wird. Dadurch macht man sich unbeliebt und man kommt früher oder später von den Listen herunter.
Macht das wirklich Sinn? Bisher habe ich immer mit Drop gearbeitet um dem Absender wenig Infos zurück zu geben.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Das kann man natuerlich behandeln wie man moechte.

Durch das Reject bekommt die Gegenstelle jedenfalls eine klare Auskunft und damit eine Abweisung. Das erspart unter Umstaenden weiteres Anklopfen durch diese IP-Adresse.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

mwoeste
Beiträge: 2
Registriert: Mi 06.05.2020, 07:13

Beitrag von mwoeste »

Franz hat geschrieben:1. Netzwerkgruppe für Störer erstellt
2. Netzwerkobjekt für die IP des Störers erstellt (Zone: external) und dieses Objekt der zuvor erstellten Netzwerkgruppe zugeordnet
3. Portfilter erstellt
                Quelle: Netzwerkgruppe-Störer
                Ziel:       external-interface
                Dienst: any
                Aktion: DROP (oder REJECT, wenn man Rückmeldung geben will)

Momentan beobachte ich noch die Qualität der Erkennung via "CYBER DEFENCE CLOUD". Ich hatte schon Fälle (Störungen), wo diese zu "sensibel" war.
Vielen Dank für den Hinweis. Werde ich direkt mal umsetzen!

Antworten