nepixl
Goto Top

LANCOM Router IDS springt im lokalen Netz an und verwirft Pakete

Guten Morgen,

wie der Titel beschreibt.

Muss ich mir Gedanken machen, wenn das IDS anspringt? Vor allem im lokalen Netz? (intern zu intern) (win10; Srv 2k12r2 - aktuelle Updates)
intrusion

Es geht um einen LANCOM 1783VA-4G (over ISDN) mit aktuellem FW Stand in einem kleinen /24er Netz.

Tante Google brachte mich nicht auf den rechten Pfad, obwohl wir uns sonst ganz gut verstehen.

Auf Nachfrage bei LANCOM erhielt ich die Antwort, ich solle die Port-anfragen erhöhen. Hat ein LANCOM Techniker angepasst(Haben einen Wartungsvertrag daher fass' ich den Router erst gar nicht an, was Konfig angeht). Von 50 auf 100 gesetzt.

Es wurde dadurch zwar weniger, jedoch immer noch nicht behoben.
Höher möchte ich die Port-anfragen eigentlich nicht setzen(lassen) sonst ist ja der Sinn von IDS völlig verfehlt.

Das Verhalten tritt auch auf einem frisch installierten Rechner(Win10, 1803, Pro, voll geupdated) auf daher gehe ich von einem Netzwerkproblem aus? Wie kommt sowas zu Stande?
Ich möchte dies gerne gelöst bekommen, da es mir tatsächlich Bauchschmerzen bereitet. - hätte Ihr hier einen Ansatz wo ich mal forschen könnte? Switches? Netzwerkdesign? Rechnerkonfig? Windoofs?

Falls euch Infos fehlen, bitte habt Verständnis, es ist früh. Die gewünschten Infos liefere ich sogut ich kann nach.

Danke und viele Grüße
pixl

Content-ID: 384193

Url: https://administrator.de/forum/lancom-router-ids-springt-im-lokalen-netz-an-und-verwirft-pakete-384193.html

Ausgedruckt am: 25.12.2024 um 02:12 Uhr

brammer
brammer 23.08.2018 um 07:51:31 Uhr
Goto Top
Hallo,

Wieso senden denn die re chner mit der IP .218 .80 und .66 ?
Und was senden die für Pakete?

Hänge eine Wireshark rein und schaue dir an was da passiert!

Brammer
nepixl
nepixl 23.08.2018 um 07:58:15 Uhr
Goto Top
Hi Brammer,

Wieso senden denn die re chner mit der IP .218 .80 und .66 ?

Hänge eine Wireshark rein und schaue dir an was da passiert!
Jep - werde ich machen, muss nur schauen wie ich das sinnvoll "entschlüssele".

Wireshark und sein unendlicher Output.. ich schaue mal wie weit ich komme (Filtern werde ich ja noch hinbekommen).

Gruß
Lochkartenstanzer
Lochkartenstanzer 23.08.2018 aktualisiert um 08:11:41 Uhr
Goto Top
Moin,

Hadt Du schon mit whois nachgeschaut, wem die externen IP-Adressen gehören?

Und kann es sein, das die Rechner such gegenseitig windowsupdates zuschieben wollen?

und hast Du mal geschsut, welche siftware auf den betroffenen rechnern läuft?

lks
nepixl
nepixl 23.08.2018 aktualisiert um 08:17:59 Uhr
Goto Top
Beim üblichen Klogang, kam mir der Gedanke auf: "Was hat eigentlich der Router mit den PC-Clients zutun im internen Netzwerk?" Wieso gehen lokale bzw. interne Pakete an die interne Telefonanlage über den Router!??!

Habe ich was verpasst? ClientPaket <> Switch <> Telefonanlage - da hat der Router doch nichts drin verloren!?
Das bringt mich in Richtung Routing? (Haben 3 entfernte VPN Standorte - eingerichtet von LANCOM, inkl. Routing)
@aqui mal anstubs

Derzeit schaut das ja eher so aus: ClientPaket <> Switch <> Router <> Switch <> Telefonanlage oder täusche ich mich?

Client PC und Telefonanlage hängen im gleichen (Sub)netz!

Gruß
nepixl
nepixl 23.08.2018 aktualisiert um 08:16:12 Uhr
Goto Top
Moin LKS,

um die externe IP geht es mir momentan nicht unbedingt. Das ist sehr selten dass da was auftaucht. (Externe IP im o.g. Bild ist die IP von unserem Mailserver)

Und kann es sein, das die Rechner such gegenseitig windowsupdates zuschieben wollen?
Windows 10! "Share Update im LAN" - Guter Ansatz, schaue ich ob es da was zerbröselt hat!

und hast Du mal geschsut, welche siftware auf den betroffenen rechnern läuft?
Wie gesagt, Stock Rechner (Win10 Pro, 1803, voll geupdated) bringt das gleiche Problem hervor.

gruß
Tektronix
Tektronix 23.08.2018 um 09:02:59 Uhr
Goto Top
Zitat von @nepixl:

Beim üblichen Klogang, kam mir der Gedanke auf: "Was hat eigentlich der Router mit den PC-Clients zutun im internen Netzwerk?" Wieso gehen lokale bzw. interne Pakete an die interne Telefonanlage über den Router!??!

Habe ich was verpasst? ClientPaket <> Switch <> Telefonanlage - da hat der Router doch nichts drin verloren!?
Das bringt mich in Richtung Routing? (Haben 3 entfernte VPN Standorte - eingerichtet von LANCOM, inkl. Routing)
@aqui mal anstubs

Derzeit schaut das ja eher so aus: ClientPaket <> Switch <> Router <> Switch <> Telefonanlage oder täusche ich mich?

Client PC und Telefonanlage hängen im gleichen (Sub)netz!

Gruß
Moin,
hat da jemand die LAN Buchsen vom Lancom als Switch missbraucht.
Hab sowas auch schon mal gesehen, da ging der komplette Netzwerk Traffic über eine Fast Ethernet Schnittstelle von einem Speedport.
Lochkartenstanzer
Lochkartenstanzer 23.08.2018 aktualisiert um 09:12:12 Uhr
Goto Top
Zitat von @Tektronix:

hat da jemand die LAN Buchsen vom Lancom als Switch missbraucht.

Bei kleinere Betrieben durchaus üblich, daß der switch im Router gleichzeitig die "Wurzel" der switchkaskade ist. Da kommt dann natürlich "jeder Dreck" vorbei.

Andererseits ist ein IDS eigentlich nur sinnvoll, wenn es den "Dreck" auch sieht.

lks
nepixl
nepixl 23.08.2018 um 09:23:35 Uhr
Goto Top
hat da jemand die LAN Buchsen vom Lancom als Switch missbraucht.
Nicht dass ich wüsste.

LANCOM <>1x CAT7 <> Primary Switch <> Secondary Switches <> Clients

So sollten die internen Pakete auch (meiner Meinung nach) nicht über den Router gehen oder geht mir was unter?

Gruß
Lochkartenstanzer
Lochkartenstanzer 23.08.2018 um 09:31:29 Uhr
Goto Top
Zitat von @nepixl:

hat da jemand die LAN Buchsen vom Lancom als Switch missbraucht.
Nicht dass ich wüsste.

LANCOM <>1x CAT7 <> Primary Switch <> Secondary Switches <> Clients

So sollten die internen Pakete auch (meiner Meinung nach) nicht über den Router gehen oder geht mir was unter?

Kommt auf die switch-Einstellungen an. Ein IDS ist ja nur sinnvoll, wenn es alle Pakete sieht, die im Netz herumschwirren. ggf. ist im Primary switch eingestellt, daß er die Pakete auch dem LanCom "zeigt". face-smile

lks
nepixl
nepixl 23.08.2018 um 09:40:13 Uhr
Goto Top
daß er die Pakete auch dem LanCom "zeigt".
Aha? Schaue ich mir an, ob es in der Hinsicht etwas einzustellen gibt. Sind recht dumme HP Switches, HPE V1910-48G.. -für Tipps bin ich dankbar.

Danke mal.

pixl
nepixl
nepixl 24.08.2018 aktualisiert um 06:52:52 Uhr
Goto Top
Schönen guten Morgen,

Habe meine Switches alle mal geprüft und kann nichts derartiges finden (schubs die Pakete alle übern Router, dann ans Ziel - oder so ähnlich).

Bzgl. Wireshark: es braust so einiges im Netzwerk herum jedoch nichts auf den ersten ungeschulten Blick, was sich verdächtig ließt. (Keine Broadcastfloods) .. werde mich intensivst mit Wireshark auseinandersetzen und mir mal ein paar Bilderbuch-Netzwerk-Logs besorgen und die mir als gute-Nachtlektüre reinziehen.

Ich danke euch für das mitdenken. face-smile

Schönen, stressfreien Freitag!

Gruß