Guten Morgen,
seit dem Upgrade unserer NFR UTM auf v11.8.7 werde ich gehäuft darüber informiert, dass "Potenziell gefährliche Verbindung" protokolliert wurden.
Daraus ergeben sich für mich mindestens zwei Fragen:
1. Anhand welcher Kriterien werden potentiell gefährliche Verbindungen detektiert (IP auf einer schwarzen Liste etc.)?
2. Könnte man mit Hilfe dieser Bedrohungserkennung eigene Filterregeln erstellen?
Gruß
Franz
Auswahlkriterium für "Potenziell gefährliche Verbindung" protokolliert
Moderator: Securepoint
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Guten Morgen,
ja, dabei handelt es sich um eine Blacklist mit IP Adressen / Netzwerke die als potentiell gefährlich eingestuft werden.
Diese Liste aktualisiert sich mehrmals am Tag.
Die Verbindungen werden nur protokolliert und ggf. blockiert wenn es für den Port, auf den versucht wird zuzugreifen, eine Regel, also z.B. eine Portweiterleitung vorhanden ist.
Alles was ohnehin nicht freigegeben ist, wird nicht protokolliert und standardmäßig sowieso blockiert.
Eigene Regeln damit zu erstellen ist daher auch nicht möglich.
Beste Grüße
Christian
ja, dabei handelt es sich um eine Blacklist mit IP Adressen / Netzwerke die als potentiell gefährlich eingestuft werden.
Diese Liste aktualisiert sich mehrmals am Tag.
Die Verbindungen werden nur protokolliert und ggf. blockiert wenn es für den Port, auf den versucht wird zuzugreifen, eine Regel, also z.B. eine Portweiterleitung vorhanden ist.
Alles was ohnehin nicht freigegeben ist, wird nicht protokolliert und standardmäßig sowieso blockiert.
Eigene Regeln damit zu erstellen ist daher auch nicht möglich.
Beste Grüße
Christian
Hallo,
grabe grad diesen alten Thread aus da ich mit folgenden Meldungen überschüttet werde :
Status ALARM
Datum 20.09.2023 - 14:21:17
Quelle spsysprocd
Nachricht INPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface wan0, ausgehendes Interface , Quelladresse 167.248.133.34, Zieladresse "Meine WAN IP", Protokoll UDP, Quellport 38119, Zielport 500,
Details
Programm IDS/IPS (ulogd)
Log-Nachricht LOG: CommandAndControl_LogSrc IN=wan0 OUT= MAC=45:00:01:a4:fb:43:40:00:39:11:80:0b:a7:f8:85:22:4f:e2:47:fd:94:e7 SRC=167.248.133.34 DST="Meine WAN IP" LEN=420 TOS=00 PREC=0x00 TTL=57 ID=64323 DF PROTO=UDP SPT=38119 DPT=500 LEN=400 MARK=0
Gruppe Threat Intelligence Filter - INPUT
Gruppennachricht Gefährliche Verbindung erkannt.
Pattern-Name Command & Control Server Log INPUT
Pattern-Muster ^(LOG: CommandAndControl\w+\s+)(?:.*IN=(\S+)\s)(?:.*OUT=()\s)(?:.*SRC=(\S*)\s)?(?:.*DST=(\S*)\s)?(?:.*PROTO=(\S*)\s)?(?:.*SPT=(\S*)\s)?(?:.*DPT=(\S*)\s)?(.*)
Pattern-Programm ulogd
Pattern-Nachricht INPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface wan0, ausgehendes Interface , Quelladresse 167.248.133.34, Zieladresse "Meine WAN IP", Protokoll UDP, Quellport 38119, Zielport 500,
Log ID 1964030
Eingehendes Interface ist die Internet-Anbindung, die Zieladresse sind jeweils die öffentliche IP der Firewall und von mir oben ersetzt durch "Meine WAN IP".
Wenn ich das richtig sehe ist das ja ein Angriff auf den VPN-Server und da "ausgehendes Interface" leer ist, wird auch nichts durchgeleitet.
Kann ich diese Meldungen irgendwie sinnvoll filtern, so dass z.B. nur ausgehende Verbindungen vom LAN zu WAN entsprechend gelogged werden ?
Es gibt ja auch noch Threat Intelligence Filter - OUTPUT , ist das gesehen vom internen Netzwerk zum WAN ?
Danke.
Torsten
grabe grad diesen alten Thread aus da ich mit folgenden Meldungen überschüttet werde :
Status ALARM
Datum 20.09.2023 - 14:21:17
Quelle spsysprocd
Nachricht INPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface wan0, ausgehendes Interface , Quelladresse 167.248.133.34, Zieladresse "Meine WAN IP", Protokoll UDP, Quellport 38119, Zielport 500,
Details
Programm IDS/IPS (ulogd)
Log-Nachricht LOG: CommandAndControl_LogSrc IN=wan0 OUT= MAC=45:00:01:a4:fb:43:40:00:39:11:80:0b:a7:f8:85:22:4f:e2:47:fd:94:e7 SRC=167.248.133.34 DST="Meine WAN IP" LEN=420 TOS=00 PREC=0x00 TTL=57 ID=64323 DF PROTO=UDP SPT=38119 DPT=500 LEN=400 MARK=0
Gruppe Threat Intelligence Filter - INPUT
Gruppennachricht Gefährliche Verbindung erkannt.
Pattern-Name Command & Control Server Log INPUT
Pattern-Muster ^(LOG: CommandAndControl\w+\s+)(?:.*IN=(\S+)\s)(?:.*OUT=()\s)(?:.*SRC=(\S*)\s)?(?:.*DST=(\S*)\s)?(?:.*PROTO=(\S*)\s)?(?:.*SPT=(\S*)\s)?(?:.*DPT=(\S*)\s)?(.*)
Pattern-Programm ulogd
Pattern-Nachricht INPUT - Potenziell gefährliche Verbindung protokolliert: Eingehendes Interface wan0, ausgehendes Interface , Quelladresse 167.248.133.34, Zieladresse "Meine WAN IP", Protokoll UDP, Quellport 38119, Zielport 500,
Log ID 1964030
Eingehendes Interface ist die Internet-Anbindung, die Zieladresse sind jeweils die öffentliche IP der Firewall und von mir oben ersetzt durch "Meine WAN IP".
Wenn ich das richtig sehe ist das ja ein Angriff auf den VPN-Server und da "ausgehendes Interface" leer ist, wird auch nichts durchgeleitet.
Kann ich diese Meldungen irgendwie sinnvoll filtern, so dass z.B. nur ausgehende Verbindungen vom LAN zu WAN entsprechend gelogged werden ?
Es gibt ja auch noch Threat Intelligence Filter - OUTPUT , ist das gesehen vom internen Netzwerk zum WAN ?
Danke.
Torsten
Bei Input kann man die Meldung auf "Warnung" zurueckstellen, dann taucht sie nur im regelmaeßigen Bericht auf. zudem schlage ich vor, im IDS/ IPS auf Blockieren zu stellen.
Mit freundlichen Grüßen
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de
Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de