Securepoint Support Forum

Hallo

wenn ich folgende Meldung vom IDS bekomme:

Dec 4 13:56:46 IDS Server[1552]: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 87.139.yy.xxx:2526 -> 87.116.89.137:80

wobei 87.139.yy.xxx unsere öffentliche IP ist, wie ist das dann zu lesen?
Versucht nun der Host 87.116.89.137 über den "ge-nat-eten" port 2526
auf eine "interne" IP zuzugreifen?

Sollte ich mir zu solchen Meldungen die Logs detailierter ansehen?

Danke,
Chris

Hallo,
auf der Seite www.snort.org gibt es detaillierte Infos zu den Meldungen des IDS.
Ich fuer meinen Teil, habe diese Meldung mittlerweile fast abgehakt, da von den meisten Seiten mit aktiven Inhalten, eben solche Meldungen generiert werden.

Ich will hier sicher nicht sagen/schreiben, dass alles OK ist, aber das ist die beruehmte Gradwanderung zwischen Spass am WEB und Sicherheit.

Um einen Browser sicher zu nutzen (z.B. IE) muss alles abgeschaltet werden, was Spass und WEB ausmacht (siehe HEISE) = Java, ActiveX usw.

Kenntnissnahme = Gut
Kontrolle = Super (wer die Zeit hat)
Abschalten der Site/IP = Super Idee....aber Geld fuer die User bei Sperrung bereithalten (um Frieden zu bekommen), wenn z.B. wetter.com oder web.de nicht mehr funzt.

Gruss

M.Goeres

Hallo,

besten Dank für die Antwort, das war mir jedoch soweit alles klar...
Mir geht es eher um das Format der Darstellung von:

{TCP} 87.139.yy.xxx:2526 -> 87.116.89.137:80

wenn das so ist wie ich es oben beschrieben habe, dann möchte ich doch
eigentlich die IP der Zielmaschine (wenn es eine gibt) hier sehen?
Ausserdem ist mir die Richtung des Pfeils ein Rätsel?

Wenn ich mich richtig erinnere schreibt Snort seine Fehlermeldungen in
from to Syntax. Das ist uninterpretativ...

Und wenn der "Pfeil" so zu interpretieren wäre, dann würde ein "interner"
Host versuchen diese Attake auf dem fremden Host auszuführen...
Was ja sein kann, mich aber sehr interessieren würde!

Gruß,
Chris

Hallo,
sry...aber was der SNORT da macht ist "halt so" bei den Meldungen.

Zielmaschine? - SNORT sieht/haengt "zwischen" den Welten, aber kann nicht sehen, wer gut (internal) oder boese (external) ist. - NAT abschalten bzw. den "durchfluss und schon kommt der Uebeltaeter zu Tage......
Was das Interpretieren angeht, auch wenn es sich vielleicht schroff anhoert:

Ob der Pfeil auf die linke oder rechte Seite verweist: Das Ergebnis ist das Selbe!
Der Browser bekommt oder sendet Daten, die Snort mit "BARE UNICODE ..."-Klassifiziert und nun die beruehmte Admin-Frage: Und nun?!
Wenn ActiveX oder Java mal richtig fuer alle Werbezwecke gemangelt werden (was auf den vielen Seiten der Fall ist) geht der Spass los.

- Da sitzen dutzende um eben den Admin und Seine Firewall zum Wahnsinn zu treiben, von M$ zu schweigen. Hauptsache eine Werbung oder Update schafft es in den Blickbereich des Anwenders!

Sry...aber fuer die Meldung bzw. diese echt als "Angriff" zu werten muss ein dickes "Firmen-Web-Buch" her, in dem das Internet eine schwarze Zone ist (ist es ja (external).

Alle angesurften Seiten werden per Proxy erlaubt -> REST = DENY (Whitelist or Error)
NAT = NEVER
Aenderungen an der Programmierung der Websites die erlaubt sind, muessen abgestimmt werden, denn sonst geht die rote Lampe wieder an! - Whielisting nach eingehender Pruefung des Codes....

Fuer die Meldung kenne ich derzeit echt keine andere Loesung ausser NAT aus / Proxy AN / aber dann laufen wieder viele andere Dienste nicht und die User stoehnen.
Wer das Netzwerk vor Ort betreut, kann das immer wieder anpassen, aber im Outsourcing-Fall wird die Luft duenn, schnell zu reagieren.

Wie schon gesagt/geschrieben...tolle Meldung....Inhalt mit "dicker Hose" aber essentiell als irrelevant zu betrachten, denn entweder Web oder Web fuer User ausschalten, denn das gemoser ist "kleiner", als Regeln zu erstellen .
Ein gute Virenscanner muss eben bei solchen Exploits und Trojaner packen.


Gruss

M.Goeres

Fuer Kritik und Steinigungen steht bereit....