Hi,
aus einem nicht ganz klaren Grund führen DNS Request zu Intrusion Prevention Alerts.
Immer der Art
[CRIT-850] Intrusion Prevention Alert
Intrusion Prevention Alert
An intrusion has been detected. The packet has *not* been dropped.
If you want to block packets like this one in the future,
set the corresponding intrusion protection rule to "drop" in WebAdmin.
Be careful not to block legitimate traffic caused by false alerts though.
Details about the intrusion alert:
Message........: PROTOCOL-DNS Microsoft Threat Management Gateway heap buffer overflow attempt
Details........: https://www.snort.org/search?query=57878
Time...........: 2022-01-24 12:36:35
Packet dropped.: no
Priority.......: high
Classification.: Attempted User Privilege Gain
IP protocol....: 17 (UDP)
Source IP address: 8.8.8.8 (dns.google)
Source port: 53 (domain)
Destination IP address: xxx.xxx.xxx.xxx (xxx.yyy.zzz)
Destination port: 59541
--- SG210-UTM9 @ BR ---
--
HA Status : HA MASTER (node id: 1)
System Uptime : 103 days 4 hours 29 minutes
System Load : 0.53
System Version : Sophos UTM 9.707-5
Please refer to the manual for detailed instructions.
Destination IP ist immer einer der internen DNS Server des AD.
Es ist etwas weniger wenn ich die internen DNS Server die Weiterleitung direkt machen lasse, es ist deutlich mehr, wenn die Weiterleitung über die UTM als Zwischenschritt geht.
Ich verstehe auch nicht, warum die Pakete nicht gedroppt werden, in den Intrusion Prevention Einstellungen ist alles auf verwerfen eingestellt.
Woran liegt dieses Verhalten?
This thread was automatically locked due to age.