Auswahlkriterium für "Potenziell gefährliche Verbindung" protokolliert

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Franz
Beiträge: 394
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Auswahlkriterium für "Potenziell gefährliche Verbindung" protokolliert

Beitrag von Franz »

Guten Morgen,
 
seit dem Upgrade unserer NFR UTM auf v11.8.7 werde ich gehäuft darüber informiert, dass "Potenziell gefährliche Verbindung" protokolliert wurden.
 
Daraus ergeben sich für mich mindestens zwei Fragen:
1. Anhand welcher Kriterien werden potentiell gefährliche Verbindungen detektiert (IP auf einer schwarzen Liste etc.)?
2. Könnte man mit Hilfe dieser Bedrohungserkennung eigene Filterregeln erstellen?
 
Gruß
 
Franz

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Guten Morgen,

ja, dabei handelt es sich um eine Blacklist mit IP Adressen / Netzwerke die als potentiell gefährlich eingestuft werden.
Diese Liste aktualisiert sich mehrmals am Tag.
Die Verbindungen werden nur protokolliert und ggf. blockiert wenn es für den Port, auf den versucht wird zuzugreifen, eine Regel, also z.B. eine Portweiterleitung vorhanden ist.
Alles was ohnehin nicht freigegeben ist, wird nicht protokolliert und standardmäßig sowieso blockiert.
Eigene Regeln damit zu erstellen ist daher auch nicht möglich.

Beste Grüße
Christian

cpsupport
Beiträge: 1
Registriert: So 06.03.2022, 14:17

Beitrag von cpsupport »

Hallo,

grabe grad diesen alten Thread aus da ich mit folgenden Meldungen überschüttet werde :

Status ALARM
Datum 20.09.2023 - 14:21:17
Quelle spsysprocd
Nachricht INPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface wan0, ausgehendes Interface , Quelladresse 167.248.133.34, Zieladresse "Meine WAN IP", Protokoll UDP, Quellport 38119, Zielport 500,
Details
Programm IDS/IPS (ulogd)
Log-Nachricht LOG: CommandAndControl_LogSrc IN=wan0 OUT= MAC=45:00:01:a4:fb:43:40:00:39:11:80:0b:a7:f8:85:22:4f:e2:47:fd:94:e7 SRC=167.248.133.34 DST="Meine WAN IP" LEN=420 TOS=00 PREC=0x00 TTL=57 ID=64323 DF PROTO=UDP SPT=38119 DPT=500 LEN=400 MARK=0
Gruppe Threat Intelligence Filter - INPUT
Gruppennachricht Gefährliche Verbindung erkannt.
Pattern-Name Command & Control Server Log INPUT
Pattern-Muster ^(LOG: CommandAndControl\w+\s+)(?:.*IN=(\S+)\s)(?:.*OUT=()\s)(?:.*SRC=(\S*)\s)?(?:.*DST=(\S*)\s)?(?:.*PROTO=(\S*)\s)?(?:.*SPT=(\S*)\s)?(?:.*DPT=(\S*)\s)?(.*)
Pattern-Programm ulogd
Pattern-Nachricht INPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface wan0, ausgehendes Interface , Quelladresse 167.248.133.34, Zieladresse "Meine WAN IP", Protokoll UDP, Quellport 38119, Zielport 500,
Log ID 1964030

Eingehendes Interface ist die Internet-Anbindung, die Zieladresse sind jeweils die öffentliche IP der Firewall und von mir oben ersetzt durch "Meine WAN IP".

Wenn ich das richtig sehe ist das ja ein Angriff auf den VPN-Server und da "ausgehendes Interface" leer ist, wird auch nichts durchgeleitet.
Kann ich diese Meldungen irgendwie sinnvoll filtern, so dass z.B. nur ausgehende Verbindungen vom LAN zu WAN entsprechend gelogged werden ?
Es gibt ja auch noch Threat Intelligence Filter - OUTPUT , ist das gesehen vom internen Netzwerk zum WAN ?


Danke.
Torsten

Benutzeravatar
Mario
Securepoint
Beiträge: 982
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Bei Input kann man die Meldung auf "Warnung" zurueckstellen, dann taucht sie nur im regelmaeßigen Bericht auf. zudem schlage ich vor, im IDS/ IPS auf Blockieren zu stellen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten