Portscan von IPS nicht erkannt!?

Post Reply
imbio
Posts: 66
Joined: March 10th, 2011, 7:22 pm
Location: Bonn

Portscan von IPS nicht erkannt!?

Post by imbio » September 12th, 2019, 9:15 am

Hallo an alle!

Ich habe eben die IPFire mit der Version 2.23 und dem 135 core Update gestartet. Die generellen Einstellungen sind wie folgt:
- GeoIP Block ist aktiv und blockiert alle Länder, außer Deutschland.
- das IPS mit den aktuellen Emergingthreats.net Communiy Rules läuft und alle Regeln sind aktiv.

Trotzdem scheint sich ein Scan am IPS vorbeizumogeln. Ich habe viele Zugriffsversuche auf red0 aus dem IP Bereich 45.136.109.xx (das letzte Oktett bewegt sich zwischen 30 und 50) die verschiedene Ports an verschiedenen IPs im grünen Netz zum Ziel haben. Diese werden zwar verworfen, aber es sind in der Masse doch einige Versuche, die ich vorher mit Snort nicht hatte...

1.) Grundätzliche (vielleicht etwas blöde) Frage: Muss ich mir da jetzt Sorgen machen? Eigentlich nicht, oder? Die Firewall "hinter dem IPS" verwirft doch sicher die Pakete!?
2.) Gibt es eine Möglichkeit dem IPS "beizubringen" auch diese IPs direkt zu blockieren?!
3.) Würde eventuell die Auswahl der SNORT/VRT GPLv2 Community Rules etwas an der Sache ändern?

Habt schon einmal vielen Dank im Vorraus!

Viele Grüße!
Attachments
ports.JPG
Angesteuerte Ports am Beispiel 45.136.109.30
ip.JPG
Auszug FW-Protokoll
Image

BeBiMa
Posts: 2842
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: Portscan von IPS nicht erkannt!?

Post by BeBiMa » September 12th, 2019, 10:56 am

Gelogged werden erst einmal verworfene Pakete. D.h. ein vermehrtes Auftreten bedeutet effektives IPS. Suricata mag da etwas effiktiver sein als Snort, dadurch ist der Anstieg erklärbar.

Das Eintreffen der Pakete kannst du natürlich nicht drosseln. IPFire ist der Empfänger ( Werbemüll im Briefkasten kann ja auch nicht vermieden werden, wenn sich Absender und Briefträger nicht an Deinen Wunsch "Keine Werbung" halten ).
Image
Unitymedia Cable Internet ( 32MBit )

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Portscan von IPS nicht erkannt!?

Post by Arne.F » September 12th, 2019, 1:53 pm

Gelogged werden erst einmal verworfene Pakete. D.h. ein vermehrtes Auftreten bedeutet effektives IPS. Suricata mag da etwas effiktiver sein als Snort, dadurch ist der Anstieg erklärbar.
Das stimmt so nicht ganz. Packete die von suricata gedroppt werden kommen nicht mehr im Firewalllog an.
snort/suricata erkennt zwar einige Portscanner an speziellen Packeten aber nicht Portscans selbst. Da gibts einfach keine Signaturen. Da die meisten Portscanner aber einfach nur ein leeres SYN schicken kommt das erstmal durch und wird von der Firewall verworfen wie auch jedes normale SYN auf einen geschlossenen Port. Nur wenn auffällig viele SYN's kommen könnte irgendwann eine Regel triggern, aber ein paar Firewall treffer wird man davor immer haben.

Auch gibt es einige Firewallregeln die vor Suricata sind. (Falsche Checksummen, Falsche Flags (z.B. SYN und RST gleichzeitig), GeoIP) Daher kann es sein das die Firewall das schon vor der Suricata Prüfung wegwirft und loggt.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Post Reply