seit dem ASG-Update auf 7.500 kann ich plötzlich von aussen keine VNC-Verbindung (REALVNC, Port 6666) mehr zum Server im Netzwerk herstellen. An der Config habe ich keine Veränderungen vorgenommen und habe auch versucht, die Regel zu löschen und neu zu erstellen, ohne Erfolg
Das Angriffsschutzsystem spuckt folgendes aus:
2009:10:14-09:22:47 ****** snort[14512]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="POLICY VNC server response" group="130" srcip="***.***.***.***" dstip="192.168.3.11" proto="6" srcport="6666" dstport="1224" sid="560" class="Misc activity" priority="3" generator="1" msgid="0"
2009:10:14-09:24:45 ****** snort[14512]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="POLICY VNC server response" group="130" srcip="***.***.***.***" dstip="192.168.3.100" proto="6" srcport="44937" dstport="6666" sid="560" class="Misc activity" priority="3" generator="1" msgid="0"
...wobei .100 der Server ist und .11 der lokale (Test)-Client. Es liegt aber nicht am Routing, von aussen kommt die entsprechend gleiche Meldung.
Gleichzeitig spuckt aber der NAT-Log ein positives Ergebnis aus:
09:22:48 Connection using NAT TCP
***.***.***.*** : 44937 ->
192.168.1.2 : 6666
[SYN] len=64 ttl=125 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:a1:b0:10:a0:4b
Sehe ich das richtig: Das NAT schickt brav die Pakete weiter, aber irgendein Angriffsmuster sieht VNC als generelle Bedrohung? Wenn ja, welches Muster ist das bzw. was muss ich abstellen?
Danke im Voraus für eure Hilfe!
This thread was automatically locked due to age.
