Portscan detected [WARN-856] trotz Netzwerkdefinition / statisches Routung eines bekannten Hosts

Hallo Community,

 

Ich habe Kopfschmerzen und die äußern sich wie folgt.

 

Ich bekomme Portscan Notifications von verschiedenen IPs.

Als erstes wurden diese IPs einzeln als Host in einer Netzwerkgruppe definiert. Die Netzwerkgruppe befindet sich wiederum in einer Firewallregel die als Quelle: Netzwerkgruppe -> Dienste: Any -> Ziele : externe Schnitstelle mit der Aktion: verwerfen angelegt wurde. Trotzdem kamen Portscan Notifications von bekannten/definierten Hosts.

Als zweites wurde eine statische Route erstellt, als Blackhole-Route Typ definiert; als Netzwerk wurde die Netzwerkgruppe (mit einzelnen Host) importiert um schon vorher bekannte Hosts zu filtern um keine unnötigen Notifications auszulösen. 

Dennoch kommen weiterhin Notifications von bekannten Hosts durch. Sprich bei dem definieren eines Hosts in der Netzwerkgruppe bekommt man die Fehlermeldung das dieser Host bereits existiert. Wie kann ich weiter vorgehen um diese schon definierten Hosts vorher abzufangen ehe eine Notification ausgelöst wird? Stichwort, NAT?

Für Anregungen wäre ich sehr dankbar.

     

  • Auch bekannte / gute Hosts sollten keinen portscan durchführen.

    Sonst eine Ausnahme definieren unter : networkProtection/IPS/Portscan-Exceptions

  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Dirk gave you the answer.  Consulting #2 in Rulz (last updated 2019-04-17) will give you a clearer picture of how UTM works.  Also, I suspect that your Static Route is either redundant or ineffective.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to dirkkotte:

    Hallo dirkkotte,

     

    vielen Dank für die Antwort. Leider habe ich die Überschrift falsch formuliert und diese ist somit irreführend, Entschuldigung dafür.

    Es geht mir darum Notifications von bereits bekannten und geblockten Hosts zu verhindern. Trotz meiner beschriebenen Vorgehensweise, werden immer noch Notifications von vereinzelten (geblockten/bekannten) IPs ausgelöst. Dies fällt auf, weil ich Listen führe, in denen ich die IP-Adressen eintrage die ich bereits in eine Blackholegroup definiert habe. Man kann sagen das 90 - 95 % der definierten Host-IPs keine Notification mehr auslösen. Natürlich weiss ich leider nicht ob die anderen IPs erneute Portscans durchführen und die UTM brav ihre Arbeit erledigt und diese ins Nirwana schickt.   

    Viele Grüße 

  • In reply to BAlfson:

    Hallo BAlfson,

     

    ebenfalls vielen Dank.  Rule #2 + die Charts sind schon mal sehr hilfreich zu verstehen wie die ankommenden Pakete "bearbeitet" werden.

     

    My appreciation