Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 8 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 7058 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intrusion Prevention ausnahme für VPN-Pool

Dome

Hallo zusammen,

wir hatten die ganze Zeit ein eher lahmende SSL-VPN Verbindung, die Ursache war schnell im UPD-Flood Schutz gefunden.

Hat jemand eine best practice für die UDP-Flood Schutz Ausnahme ?

Hab es derzeit mit einer Ausnahme für Dienst UDP Quellport zu Zielport gelöst finde ich jedoch nicht so elegant.

Wäre schön wenn mir jemand eine Idee/ Vorschlag geben/machen könnte

 

Danke und Gruß

Dome



This thread was automatically locked due to age.
  • 0

    Keiner eine Lösung für das Problem 

  • 0

    Hallo Dome,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

     Please show us a representative line from the Intrusion Prevention log when you were having the problem with UDP flood protection.  What accesses/transfers were slowed by this problem?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Danke für die Antwort,

     

    anbei ein Auszug aus dem IPS-LOG diese Zeile wird immer wider wiederholt.

    2017:01:17-00:09:58 net-getway ulogd[30758]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth2" srcmac="Eigene MAC-Adresse" dstmac="Sophos MAC-Adresse" srcip="Eigene IP" dstip="Sophos IP" proto="17" length="113" tos="0x00" prec="0x00" ttl="121" srcport="49811" dstport="443"

    Problem tritt bisher nur bei dem SMB-Protokoll auf, sprich wenn auf die Netzlaufwerke über die VPN zugegriffen wird. Bei anderen Anwendungen ist bis jetzt kein Problem bekannt.

     

    Meine angedachte Lösung wie in meinem ersten Post beschrieben funktioniert nicht, da der Port (srcport Sorce-Port) sich permanent ändert, da hätte ich auch früher drauf

    kommen können.

    Danke und Gruß

  • 0 in reply to Dome

    Hallo Dome,

     

    prinzipiell benötigst du hier eine Exception in der IPS. Diese hat ein paar Feinheiten zu beachten.

    Hier ist der Traffic Client -> UTM-Interface , Korrekt? 

     

    Dort muss man folgendes beachten: 

     

    Note – If you want to make an intrusion prevention exception for packets with the destination address of the gateway, selecting Any in the Destinations box will not succeed. You must instead select a definition that contains the gateway's IP address, for example the Internal (Address) or the external WAN address.

    Note – If you use a UTM proxy, an intrusion prevention exception has to reflect this: A proxy replaces the original source address of a packet with its own address. Thus, to except intrusion prevention for proxied packets, you need to add the appropriate UTM's interface address definition to the source Networks box.

     

    (Aus der Online Hilfe - Exception). 

     

    Damit sollte die Exception dann klappen. 

    __________________________________________________________________________________________________________________

  • 0 in reply to Dome

    Dome, what happens if you make this Exception for Intrusion Prevention?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Sorry für die säte Rückmeldung,

     

    execptions hab ich schon versucht ohne Erfolg.

     

     die von dir aufgezeigte Exception hat keinen einfluss der UDP-Flood Schutz ragiert trozdem.

     

  • 0 in reply to LuCar Toni

    Hallo ,

     

    ja das ist Korrekt  -Traffic Client -> UTM-Interface-

     

    Wenn ich eine Exception erstelle

    mit

    Ziel: Externe IP (WAN der UTM)

    Dienst: UDP Zielport:443 Quellport:1:165535

    dann funktioniert die Ausnahme.

     

    Hier stellt sich mir jetzt jedoch die Frage nach der Sicherheit...

    Somit hätte ich ja für jeden der den Port 443 von außen anspricht den Flood-Schutz deaktiviert, das ist ja nicht sinn der Sache.

    Als Quellnetzwerk könnte ich höchstens die IPs der Homeoffices eintragen, was nicht praktikabel ist.

     

    Hat dafür noch jemand eine Lösung ?

     

    Danke nochmals

  • 0 in reply to Dome

    srcip="Eigene IP"

    Ah, that's the problem with using words instead of obfuscated IPs like 85.x.y.121 - I assumed that you were sending from an internal workstation because I didn't even look at the dstip - somtimes I try to scan questions too quickly.

    Google Chrome uses UDP 443 for HTTPS with Google servers, so the Exception I recommended will work for that.  If you're using UDP 443 for the SSL VPN, I would change to port 1443 - something different from 443.

    Thanks, your thread made me realize that packets are subject to Intrusion Prevention before VPNs and Proxies.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA