UTM SG135 + VLAN Routing + RDP = UDP Flood Detection

Question

Hallo zusammen, 
 ich hatte in einer kleineren Umgebung mit drei Netzwerksegmenten das Problem, dass RDP Verbindungen &uuml;ber das Gateway (SOPHOS SG135) hinweg sehr langsam sind, bzw. in einer Schleife mit der Meldung "Versuche Verbindung wiederherzustellen" landen. Schuld daran war die Intrusion Prevention, genauer gesagt die UDP Flood Detection. 
 Folgender Aufbau: 
 Firewall SOPHOS SG 135 Management Netzwerk 192.168.100.0/24 an ETH7 VLAN 10 f&uuml;r Server 192.168.200.0/24 an ETH0 VLAN 20 f&uuml;r Clients 192.168.210.0/24 an ETH0 
 Die SG135 dient entsprechend als Firewall und Router. 
 Innerhalb der jeweiligen Netzwerksegmente lief alles gewohnt schnell, auch die RDP Verbindungen. Sobald ich allerdings eine RDP Verbindung von einem anderen Netzsegment herstellen wollte, z.B. vom Client oder Management Netzwerk ins Servernetzwerk wurde die Verbindung extrem langsam oder landete in der Dauerschleife der Wiederverbindung, besonders dann zu beobachten, wenn die Pakete der RDP Verbindung gr&ouml;&szlig;er wurden, z.B. durch 4K Aufl&ouml;sung oder das abspielen von Animationen (z.B. EDGE &ouml;ffnen oder in einem PDF rumscrollen). Der sonstige Netzwerktraffic wie Daten&uuml;bertragungen auf Netzwerkshares und &auml;hnliches l&auml;uft problemlos. 
 Was passiert? Im Logfile der Intrusion Prevention sieht man wie ein UDP Flood detect nach dem anderen ausl&ouml;st: ulogd[22192]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth0.10" srcmac= 
 Die L&ouml;sung daf&uuml;r ist eine Ausnahme in der Intrusion Prevention nach folgender Art:

Das einzige was mir hier etwas seltsam vorkommt, ist dass ich mit nur einer RDP Verbindung, die zugegeben durch Animation und Co etwas gr&ouml;&szlig;ere Pakete verursacht, direkt den Flood Schutz ausl&ouml;se. Ist die UTM da einfach sensibel oder &uuml;bersehe ich einen Grund f&uuml;r die Harte Einstellung?

Janbo Noerskau · Accepted Answer

Hallo Maik 
 Du hast alles richtig erkannt und auch Deine Frage ist angebracht. 
 Die Schwellenwerte, die in der UTM hinterlegt sind (bei wie vielen Paketen pro Zeiteinheiten ist der Verkehr "Flooding") stammen noch aus Zeiten, in denen wir mit Modemverbindungen zu tun hatten. 
 Eine Berechnung der Schwellenwerte f&uuml;r den Einsatz von h&ouml;heren Bandbreiten (vDSL, Glasfaser - aber auch interne Netze f&uuml;r die Segmentierung) wurde von Sophos niemals bereitgestellt. Der Support (auch, als er noch "vern&uuml;nftig" war) hat uns in der Vergangenheit nichts dazu liefern k&ouml;nnen. 
 Wir haben also mit verschiedenen Berechnungsansetzen und "Ausprobieren" die Schwellenwerte definiert, die wir bei unseren Kunden eingestellt haben. 
 ABER: Mit Corona konnten wir alles wieder &uuml;ber den Haufen werfen. 
 Grund: Die st&auml;rkere Nutzung von Videokonferenz-Systemen (Zoom, Teams, etc.) sorgt f&uuml;r das Anspringen der UDP-Flood Detection. Und auch RDP (Homeoffice) mit z.B. 4K Monitoren. 
 Das erkl&auml;rt auch, warum Sophos da nichts vorgibt -> die Situation ist bei jedem Kunden anders und der EInsatz von altuellen Technologien entspricht nicht dem Design von vor 15 Jahren. 
 Fazit: Es bleibt beim manuellen Nachsteuern. Und wenn der Kunde "Netzwerkprobleme" meldet (VoIP-Artefakte, Video, Streaming, RDP etc.) -> Immer zuerst in die UDP-Flood-Detection (IPS-Log) schauen. 
 Siehe auch die traumhaft zusammengestellten RULZ von Bob: https://community.sophos.com/utm-firewall/f/recommended-reads/22065/rulz 
 LG aus Hamburg, Janbo

UTM SG135 + VLAN Routing + RDP = UDP Flood Detection

Top Replies