Portscan detected [WARN-856] trotz Netzwerkdefinition / statisches Routung eines bekannten Hosts

Hallo Community,

 

Ich habe Kopfschmerzen und die äußern sich wie folgt.

 

Ich bekomme Portscan Notifications von verschiedenen IPs.

Als erstes wurden diese IPs einzeln als Host in einer Netzwerkgruppe definiert. Die Netzwerkgruppe befindet sich wiederum in einer Firewallregel die als Quelle: Netzwerkgruppe -> Dienste: Any -> Ziele : externe Schnitstelle mit der Aktion: verwerfen angelegt wurde. Trotzdem kamen Portscan Notifications von bekannten/definierten Hosts.

Als zweites wurde eine statische Route erstellt, als Blackhole-Route Typ definiert; als Netzwerk wurde die Netzwerkgruppe (mit einzelnen Host) importiert um schon vorher bekannte Hosts zu filtern um keine unnötigen Notifications auszulösen. 

Dennoch kommen weiterhin Notifications von bekannten Hosts durch. Sprich bei dem definieren eines Hosts in der Netzwerkgruppe bekommt man die Fehlermeldung das dieser Host bereits existiert. Wie kann ich weiter vorgehen um diese schon definierten Hosts vorher abzufangen ehe eine Notification ausgelöst wird? Stichwort, NAT?

Für Anregungen wäre ich sehr dankbar.

     

  • Auch bekannte / gute Hosts sollten keinen portscan durchführen.

    Sonst eine Ausnahme definieren unter : networkProtection/IPS/Portscan-Exceptions

  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Dirk gave you the answer.  Consulting #2 in Rulz (last updated 2019-04-17) will give you a clearer picture of how UTM works.  Also, I suspect that your Static Route is either redundant or ineffective.

    MfG - Bob (Bitte auf Deutsch weiterhin.)