This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portscan detected [WARN-856] trotz Netzwerkdefinition / statisches Routung eines bekannten Hosts

Hallo Community,

 

Ich habe Kopfschmerzen und die äußern sich wie folgt.

 

Ich bekomme Portscan Notifications von verschiedenen IPs.

Als erstes wurden diese IPs einzeln als Host in einer Netzwerkgruppe definiert. Die Netzwerkgruppe befindet sich wiederum in einer Firewallregel die als Quelle: Netzwerkgruppe -> Dienste: Any -> Ziele : externe Schnitstelle mit der Aktion: verwerfen angelegt wurde. Trotzdem kamen Portscan Notifications von bekannten/definierten Hosts.

Als zweites wurde eine statische Route erstellt, als Blackhole-Route Typ definiert; als Netzwerk wurde die Netzwerkgruppe (mit einzelnen Host) importiert um schon vorher bekannte Hosts zu filtern um keine unnötigen Notifications auszulösen. 

Dennoch kommen weiterhin Notifications von bekannten Hosts durch. Sprich bei dem definieren eines Hosts in der Netzwerkgruppe bekommt man die Fehlermeldung das dieser Host bereits existiert. Wie kann ich weiter vorgehen um diese schon definierten Hosts vorher abzufangen ehe eine Notification ausgelöst wird? Stichwort, NAT?

Für Anregungen wäre ich sehr dankbar.

     



This thread was automatically locked due to age.
Parents
  • Auch bekannte / gute Hosts sollten keinen portscan durchführen.

    Sonst eine Ausnahme definieren unter : networkProtection/IPS/Portscan-Exceptions


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo dirkkotte,

     

    vielen Dank für die Antwort. Leider habe ich die Überschrift falsch formuliert und diese ist somit irreführend, Entschuldigung dafür.

    Es geht mir darum Notifications von bereits bekannten und geblockten Hosts zu verhindern. Trotz meiner beschriebenen Vorgehensweise, werden immer noch Notifications von vereinzelten (geblockten/bekannten) IPs ausgelöst. Dies fällt auf, weil ich Listen führe, in denen ich die IP-Adressen eintrage die ich bereits in eine Blackholegroup definiert habe. Man kann sagen das 90 - 95 % der definierten Host-IPs keine Notification mehr auslösen. Natürlich weiss ich leider nicht ob die anderen IPs erneute Portscans durchführen und die UTM brav ihre Arbeit erledigt und diese ins Nirwana schickt.   

    Viele Grüße 

Reply
  • Hallo dirkkotte,

     

    vielen Dank für die Antwort. Leider habe ich die Überschrift falsch formuliert und diese ist somit irreführend, Entschuldigung dafür.

    Es geht mir darum Notifications von bereits bekannten und geblockten Hosts zu verhindern. Trotz meiner beschriebenen Vorgehensweise, werden immer noch Notifications von vereinzelten (geblockten/bekannten) IPs ausgelöst. Dies fällt auf, weil ich Listen führe, in denen ich die IP-Adressen eintrage die ich bereits in eine Blackholegroup definiert habe. Man kann sagen das 90 - 95 % der definierten Host-IPs keine Notification mehr auslösen. Natürlich weiss ich leider nicht ob die anderen IPs erneute Portscans durchführen und die UTM brav ihre Arbeit erledigt und diese ins Nirwana schickt.   

    Viele Grüße 

Children
No Data