This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscan detected [WARN-856] trotz Netzwerkdefinition / statisches Routung eines bekannten Hosts

Hallo Community,

 

Ich habe Kopfschmerzen und die äußern sich wie folgt.

 

Ich bekomme Portscan Notifications von verschiedenen IPs.

Als erstes wurden diese IPs einzeln als Host in einer Netzwerkgruppe definiert. Die Netzwerkgruppe befindet sich wiederum in einer Firewallregel die als Quelle: Netzwerkgruppe -> Dienste: Any -> Ziele : externe Schnitstelle mit der Aktion: verwerfen angelegt wurde. Trotzdem kamen Portscan Notifications von bekannten/definierten Hosts.

Als zweites wurde eine statische Route erstellt, als Blackhole-Route Typ definiert; als Netzwerk wurde die Netzwerkgruppe (mit einzelnen Host) importiert um schon vorher bekannte Hosts zu filtern um keine unnötigen Notifications auszulösen. 

Dennoch kommen weiterhin Notifications von bekannten Hosts durch. Sprich bei dem definieren eines Hosts in der Netzwerkgruppe bekommt man die Fehlermeldung das dieser Host bereits existiert. Wie kann ich weiter vorgehen um diese schon definierten Hosts vorher abzufangen ehe eine Notification ausgelöst wird? Stichwort, NAT?

Für Anregungen wäre ich sehr dankbar.

     



This thread was automatically locked due to age.
Parents
  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Dirk gave you the answer.  Consulting #2 in Rulz (last updated 2019-04-17) will give you a clearer picture of how UTM works.  Also, I suspect that your Static Route is either redundant or ineffective.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Dirk gave you the answer.  Consulting #2 in Rulz (last updated 2019-04-17) will give you a clearer picture of how UTM works.  Also, I suspect that your Static Route is either redundant or ineffective.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children