This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verständnisfrage zu "Rule #2"

Hallo zusammen,

ich beobachte gerade eine (kleine) SYN-Flood-Attacke und versuche zu verstehen, wie die SG-Firewall damit umgeht bzw. wie die Datenpakete die Firewall durchlaufen und warum verschieden Sicherheitsmechanismen greifen (müssen).
Das ist grundsätzlich hier im Forum in den "Recommended Reads > Rule #2" beschrieben, dazu jedoch folgende Fragen:

- "In general, a packet arriving at an interface is handled only by one of the below"
Das würde bedeuten, das ein Paket, welches beim Country-Blocking akzeptiert wird (da das Land nicht geblockt wird), die folgenden Stationen wie IPS und FW nicht mehr durchläuft? Das kann sicher nicht richtig sein.

- Im IPS-Protokoll sehe ich zu der laufenden SYN-Flood-Attacke IP-Adressen aus geblockten Ländern.
Wieso muss IPS überhaupt greifen, wenn Datenpakete bereits beim Country-Blocking verworfen werden sollten?

Danke im voraus für eine kurze Klärung!



This thread was automatically locked due to age.
Parents
  • Hallo Einer oder Eine,

    das Ganze ist ein Missverständnis: es heißt "country blocking", das bedeutet, wenn die Regel greift, wird blockiert. Sonst lässt sie das Packet "durch" (= Regel greift nicht).

    Danach (wenn das Paket durchgelassen wurde), sind andere Mechanismes dran, die ebenfalls wieder eine Entscheidung treffen können, usw.

    Das ist übrigens der Hauptgrund, warum man bei den "normalen" Paketfilter-Regeln ("Firewallregeln" unter "Network-Protection") nicht eine Mischung aus "Deny" und "Allow" -Regeln verwenden sollte. Dann stimmt die obige Logik auf einmal nicht mehr...

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Philipp,

    folgendes versteh ich nicht:
    Es wurden Pakete aufgrd. der von mir eingestellten Country-Blocking-Regel abgelehnt/blockiert - sichtbar im Log der Firewall.
    Dieselbe IP-Adresse taucht zeitgleich im IPS-Protokoll auf. Lt. meinem Verständnis - und Deiner Aussage - eigentlich nicht möglich, da die anderen/nachgelagerten Mechanismen (z.B. IPS) nur greifen, wenn die ersten Mechanismen (z.B. Firewall-Regeln inkl. Country-Blocking) das Paket durchlassen.

    Wenn ich in der Firewall eine "Allow"-Regel definiere, dann greifen nachfolgende Mechanismen nicht mehr? Dann würde ich die Aussage in "Rule #2" nun auch endlich verstehen (" a packet arriving at an interface is handled only by one of the below, in order").

Reply
  • Hallo Philipp,

    folgendes versteh ich nicht:
    Es wurden Pakete aufgrd. der von mir eingestellten Country-Blocking-Regel abgelehnt/blockiert - sichtbar im Log der Firewall.
    Dieselbe IP-Adresse taucht zeitgleich im IPS-Protokoll auf. Lt. meinem Verständnis - und Deiner Aussage - eigentlich nicht möglich, da die anderen/nachgelagerten Mechanismen (z.B. IPS) nur greifen, wenn die ersten Mechanismen (z.B. Firewall-Regeln inkl. Country-Blocking) das Paket durchlassen.

    Wenn ich in der Firewall eine "Allow"-Regel definiere, dann greifen nachfolgende Mechanismen nicht mehr? Dann würde ich die Aussage in "Rule #2" nun auch endlich verstehen (" a packet arriving at an interface is handled only by one of the below, in order").

Children
No Data