ESET Smart Security Läßt Router Abstürzen

    Hallo lieber Support, hallo Leute.

    Ich habe seit gestern folgendes Problem:
    Habe den PC neu aufgesetzt und ESS installiert. Habe es wie immer zuerst im automatischen Modus rennen lassen, um die Standardverbindungen zu erkennen und nach ca. 20 Minuten in den Interaktiven Modus geschalten.

    Zuerst hat alles geklappt, als ich mich dann wie üblich per Browser in den Router eingeloggt habe, wurde mir von ESET per Warnmeldung mitgeteilt, dass sich ein fremder Computer mit dem Netzwerk verbinden will.

    Die interne IP war jedoch meine.

    Ich hab ins Protokoll geschalten und hab gesehen, dass jemand per ARP Poisoning laut Firewall in mein Netzwerk will.
    Weiters hat mir ESS mehrere Portscans gemeldet. Was eigentlich nicht möglich ist, eingehende Verbindungen sind vom Router her verboten.

    Ich hab mich zuerst erschreckt, danach hab ich gemerkt, dass jedesmal wenn ich per Browser in den Router will, er eine ARP Attacke meldet, und jedesmal wenn ich auf "Netzwerke" im Router klicke, er einen Portscan meldet.

    Wenn ich den Filtermodus auf automatisch stelle, gibts keine Probleme.
    Wenn ich auf Interaktiv stelle, stürzt der Router nach 20sek ab und ich muss ihn neu starten.

    DIe Probleme hab ich mit dem anderen PC nicht, dort läuft auch ESS.

    20 Min davor hat auch noch alles funktioniert. Ich habe den Router resetet, um diesen als Fehlerquelle definitv auszuschliessen, jedoch keinerlei Besserung, ESS auf "alles auf Default" zurück, sobald ich auf Interaktiv schalte und in den Router will, geht dieser down.

    Hilfe!! :)

    Was ist das für ein Router? Davon abgesehen, dass der Trainingsmodus die FW der ESS anlernt, der automatische Modus blockiert eingehende und lässt ausgehende Verbindungen zu, abhängig von den IDS- und Zonen-Einstellungen.
    Der interaktive Modus hält Verbindungen bis zu einer Entscheidung vor, was eventuell dein Router nicht verkraftet?!

    Was ist das für ein Router (Hersteller, Model)?
    Was hast Du für einen Schutzmodus für das Netzwerk gewählt?
    Was hast Du in den IDS Einstellungen gesetzt?

    Tommi

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Hey!

    Also mein Router ist ein PRGAV4202N von Pirelli.
    Der Schutzmodus ist auf Freigabe eingestellt, die IDS Einstellungen sind auf Standard.

    hatte bis jetzt keinerlei Probleme.

    Nun meldet er mir gerade vorhin wieder folgendes:
    22.02.2011 13:38:55 Detected covert channel exploit in ICMP packet 10.0.0.4 207.46.19.254 ICMP

    10.0.0.4 bin aber ich im Netzwerk, die andere IP ist von Microsoft?

    Hi,

    Folgende Einstellung beseitigt vorübergehend die Meldung:

    Peronal Firewall->Eindringversuche->Paketprüfung->Im ICMP Protokoll verborgene Daten..... (dort den Haken raus-nehmen)

    Beseitigt aber nur das Symptom nicht die Ursache !
    2009 hatte die eset Firewall einen Bug hinsichtlich dieser Meldungen.

    Gruß

    Krypto

    @tommi
    Sorry das ich antworte.

    @krypto: Passt schon, ist ja auch technisch und inhaltlich soweit richtig.

    <OffTopic> Hach, wenn ich "Pirelli" lese, werde ich wieder schmerzhaft daran erinnert, dass der Formel 1 Auftakt in Bahrain komplett abgesagt wurde und ich noch 2 Wochen länger warten muss! :D </OffTopic>

    Ich kenne den Router leider nicht im Detail. Ist da irgend etwas spezielles eingestellt wie ein Content Filter, eine Kindersicherung / Zugriffssteuerung o.ä.?
    Läuft da ein Client ähnlich der FritzBox Management Geschichte auf dem Rechner? Was ist das für ein Betriebssystem?

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    hehe.

    nein, könnte man einstellen, ist aber alles aus. Firewallmodus des Routers ist auf eingehende Verb. blocken, ausgehende zulassen. Mehr nicht. Ich denke nicht, dass es irgendwas mit dem Router zu tun hat. Der wird dann aufgrund der Anfragen, die von ESS geblockt werden, anscheinend in die Knie gehen.

    Und wie gesagt, es hat nun seit einiger Zeit super geklappt. Und seit gestern, neu aufgesetzt, nicht mehr.

    Ich kann mir nur vorstellen, dass ich die Zone im ESS falsch eingestellt habe. Aber wenn ich auf Default in den Einstellungen klicke, dann sind zwar die Einstellungen alle wieder umgestellt, jedoch nicht die Zonen und die Ausnahmen/ Regeln.

    Gibt es die Möglichkeit, ohne ESS komplett neu zu installieren, alles auf Anfang zu setzen?

    Du kannst das ganze (umständlich) händisch zurück setzen...

    Öffne die erweiterten Einstellungen, z.B. mit F5 im Programm.
    Klicke im linken Auswahlbaum auf "Personal Firewall > Regeln und Zonen" und dort im rechten Bereich auf "Einstellungen" beim "Regeln- und Zonen-Editor".
    In dem neu geöffneten Fenster klickst Du auf den kleinen blauen Link über den Regeln "Wechseln zur ausführlichen Anzeige von Regeln" um sie alle anzeigen zu lassen.
    Wenn Du dort nach unten scrollst, wirst Du feststellen, dass da einige grau (unveränderbare Systemregeln) und einige weiß (Userregeln) hinterlegt sind.
    Die weiß hinterlegten Regeln kannst Du alle löschen.

    Nun klickst du im selben Fenster oben auf "Zonen" und löschst dort alle, die sich löschen lassen, bzw. einen Eintrag enthalten.

    Damit hast Du alle Regeln und Zoneneinstellungen, die vom "Auslieferungszustand" abweichen gelöscht und kannst von vorne beginnen - gerne auch im Trainingsmodus. Den Filtermodus kannst Du in den erweiterten Einstellungen im Punkt "Personal Firewall" einstellen.

    Bei den IDS Einstellungen ("Eindringversuche (IDS) und erweiterte Einstellungen") kannst Du hinter einem Router bei zugelassene Dienste alles anhaken und, sofern relevant, bei den Vista/Windows 7 Diensten ebenfalls.
    Weiter kannst Du in einem eigenen privaten Netzwerk hinter einem Router auch "ARP- und DNS-Poisoning-Angriffe erkennen" deaktivieren.

    Hoffe das hilft ein bisschen ;)

    Tommi

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Hey. Ich habe die Einstellungen zurückgesetzt.

    nun kann ich mich am Router einloggen, sobald ich Änderungen vornehme, erstellt ESS eine neue Trusted Zone, und ich kann mich am Router nicht mehr ausloggen und komm danach erst wieder rein, wenn ich neustarte oder die Firewall ausschalte. Nun meldet sie, dass mein Router an meinem PC Portscans macht.

    Wie kann ich denn eine generelle Regel festlegen, dass mein Router und mein PC immer miteinander kommunizieren dürfen?

    jop. Ich hab nun auch TCP Port Scanning Attacke ausgeschaltet, und nun kann ich mich in den Router loggen, und alles machen, wenn ich Logout drücke, hängt sich alles auf. Hab mich schon gefreut. :(

    [code linenumbers=false]22.02.2011 17:39:01 Detected Port Scanning attack 10.0.0.138:3339 10.0.0.4:5900 TCP
    22.02.2011 17:39:01 No usable rule found 10.0.0.138:4547 10.0.0.4:3389 TCP
    22.02.2011 17:39:01 No usable rule found 10.0.0.138:2331 10.0.0.4:80 TCP
    22.02.2011 17:38:58 Packet blocked by active defense (IDS) 10.0.0.138:3339 10.0.0.4:5900 TCP
    22.02.2011 17:38:58 Packet blocked by active defense (IDS) 10.0.0.138:4547 10.0.0.4:3389 TCP
    22.02.2011 17:38:58 Packet blocked by active defense (IDS) 10.0.0.138:3800 10.0.0.4:23 TCP
    22.02.2011 17:38:58 Packet blocked by active defense (IDS) 10.0.0.138:4014 10.0.0.4:21 TCP
    22.02.2011 17:38:58 Packet blocked by active defense (IDS) 10.0.0.138:2331 10.0.0.4:80 TCP
    22.02.2011 17:38:58 Packet blocked by active defense (IDS) 10.0.0.138:2700 10.0.0.4:445 TCP
    22.02.2011 17:38:56 Packet blocked by active defense (IDS) 10.0.0.138:4222 10.0.0.4:5900 TCP
    22.02.2011 17:38:56 Detected Port Scanning attack 10.0.0.138:3313 10.0.0.4:3389 TCP
    22.02.2011 17:38:56 No usable rule found 10.0.0.138:4594 10.0.0.4:23 TCP
    22.02.2011 17:38:56 No usable rule found 10.0.0.138:3561 10.0.0.4:21 TCP
    22.02.2011 17:38:56 No usable rule found 10.0.0.138:3077 10.0.0.4:80 TCP
    22.02.2011 17:38:53 Packet blocked by active defense (IDS) 10.0.0.138:4222 10.0.0.4:5900 TCP
    22.02.2011 17:38:53 Packet blocked by active defense (IDS) 10.0.0.138:3313 10.0.0.4:3389 TCP
    22.02.2011 17:38:53 Detected Port Scanning attack 10.0.0.138:4594 10.0.0.4:23 TCP
    ..

    22.02.2011 17:35:26 Address temporarily blocked by active defense (IDS) 10.0.0.138:80 10.0.0.4:49442 TCP
    22.02.2011 17:35:26 Address temporarily blocked by active defense (IDS) 10.0.0.138:80 10.0.0.4:49442 TCP
    22.02.2011 17:35:26 Address temporarily blocked by active defense (IDS) 10.0.0.138:80 10.0.0.4:49441 TCP
    22.02.2011 17:35:26 Address temporarily blocked by active defense (IDS) 10.0.0.138:4405 10.0.0.4:5900 TCP
    22.02.2011 17:35:26 Address temporarily blocked by active defense (IDS) 10.0.0.138:3759 10.0.0.4:3389 TCP
    22.02.2011 17:35:26 Detected Port Scanning attack 10.0.0.138:3289 10.0.0.4:23 TCP [/code]


    So zieht sich das durch. :/

    Nun, es sieht so aus als ob er den Router als Eindringling makiert, diesen dann auf eine Liste setzt und dann alles komplett zumacht. Wenn ich neu hochfahre, "allowing incoming streams IMGP protokoll" zulasse, und "block unsafe adress after attack" wegmache, dann geht alles, nur zu was brauch ich dann noch ne Firewall? :D

    Edit:
    Nungut. Hab nun einen Thread gefunden, indem empfohlen wird, die IP des Routers komplett vom IDS auszuschliessen.

    Vielen Dank für eure Tatkräftige Unterstützung!

    Hallo!

    Nun die Probleme sind noch da.
    Wenn ich obige Einstellungen mache, dann passt es für einen Tag.
    Am nächsten beginnt es von vorn.

    Nun das Problem liegt wohl beiderseits. Der Router macht von sich aus einen Gerätescan, was ESS als Attacke wertet und dicht macht.
    Darauf beginnt der Router wie wild, an sämtlichen Ports eine Verbindung aufzubauen, da es beim Standardport nicht klappt.
    Der Router geht down, ESS macht komplett zu.
    Der Router startet neu und ESS erkennt, dass der hochgefahrene Router ein neues Netzwerk ist und traut nun mal keinem mehr, da dank nicht abschaltbarem Dhcp die Geräte nicht mehr dieselben IPs haben wie zuvor.

    Nun, die einzige Lösung wäre, für jedes Gerät im System eine Regel zu erstellen, und dort sowohl ein und ausgehenden Verkehr zuzulassen.

    Da ich wenig von Netzwerken verstehe aber gern dazulerne:
    Ist das noch sicher?

    Solange niemand per Adminrechte den Router übernimmt, was ausgeschlossen ist, da man sich nur per LAN einloggen kann, kann ich diese Regel doch anlegen, oder?


    Ich hoffe niemand nimmt mir den doppelpost übel, aber aus alter Forum Erfahrung weiss ich dass nach nem edit kein Mensch mehr reinschaut, da es nicht mehr hochgepusht wird.

    Leider nein.

    Dann bekomme ich folgenden Log:
    24.02.2011 10:27:52 No usable rule found 192.168.1.1:4375 192.168.1.2:5900 TCP
    24.02.2011 10:27:52 No usable rule found 192.168.1.1:2952 192.168.1.2:80 TCP
    24.02.2011 10:27:49 No usable rule found 192.168.1.1:4375 192.168.1.2:5900 TCP
    24.02.2011 10:27:49 No usable rule found 192.168.1.1:2669 192.168.1.2:3389 TCP
    24.02.2011 10:27:49 No usable rule found 192.168.1.1:4568 192.168.1.2:23 TCP
    24.02.2011 10:27:49 No usable rule found 192.168.1.1:4403 192.168.1.2:21 TCP
    24.02.2011 10:27:49 No usable rule found 192.168.1.1:2952 192.168.1.2:80 TCP
    24.02.2011 10:27:48 No usable rule found 192.168.1.1:4057 192.168.1.2:5900 TCP
    24.02.2011 10:27:48 No usable rule found 192.168.1.1:4855 192.168.1.2:3389 TCP
    24.02.2011 10:27:48 No usable rule found 192.168.1.1:4016 192.168.1.2:23 TCP
    24.02.2011 10:27:48 No usable rule found 192.168.1.1:4308 192.168.1.2:80 TCP
    24.02.2011 10:27:45 No usable rule found 192.168.1.1:4057 192.168.1.2:5900 TCP
    24.02.2011 10:27:45 No usable rule found 192.168.1.1:4855 192.168.1.2:3389 TCP
    24.02.2011 10:27:45 No usable rule found 192.168.1.1:4016 192.168.1.2:23 TCP
    24.02.2011 10:27:45 No usable rule found 192.168.1.1:2610 192.168.1.2:21 TCP
    24.02.2011 10:27:45 No usable rule found 192.168.1.1:4308 192.168.1.2:80 TCP

    soviel mir gesagt wurde, heißt bei dieser Meldung, dass es keine Regel dafür gibt und ESS diese Anfragen automatisch blockt. Was bei einer Internetverbindung ohne Router ja Sinn macht, aber im Netzwerk halt nicht.
    die 1. IP ist die vom Router, die mit der 2 am Ende ist meine interne.

    IDS ist für die Router IP komplett deaktiviert. Umstellungen am Router sind so also nicht möglich. Bin mal kurz weinen. :(

    Wenn der Router irgendein 08/15 Krempel wär, würd ich mir das nicht antun, aber das ist er eben nicht.
    Eigentlich sollte aber im interaktiven Modus ein Popup kommen, wenn es für etwas keine Regel gibt, oder? Oder trifft das nur auf Anwendungen zu?

    Ich glaube, dass wir hier einen Fall haben, dass Hardware Firewall auf der einen und Software Firewall auf der anderen Seite im jeweiligen Design einfach nicht zusammen passen.
    So etwas kommt vor und tut mir leid, aber ändern können wir das so ohne weiteres leider nicht.

    Das Kuriose ist, dass Du im ersten Post meintest, dass das Problem nur auf diesem einen Rechner besteht, auf einem anderen mit ESS im gleichen Netzwerk(?) aber nicht!

    Was sind denn da die Unterschiede zwischen den Systemen?

    Tommi

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Der 2. Ist ein Windows XP Rechner, der erste Windows 7. Das Problem ist nun auch am 2. Rechner aufgetaucht.

    Danke mal für deine Hilfe.

    @regeln: die Router IP als Regel einzufügen hälst du für unsicher? Denn dann wären alle Probleme beseitigt.

    Wenn das funktioniert, dann tu es - ich als Techniker bin der Meinung, wenn eine gut konfigurierte Hardware Firewall vorhanden ist, dreht die lokale Software Firewall eh nur Däumchen oder durch ;)

    Thomas "Tommi" Uhlemann - Security Specialist - ESET Deutschland GmbH - @SecureTommi

    Ich habe da eine Firewall Lösung für Paranoide:


    VPN Server NAT->Router NAT( sogenannte Hardwarefirewall mit SPI)->ESET Firewall

    Bei der Router Firewall sind alle sicherheitsrelevanten Ports dicht gemacht.

    Ich habe mal nach einem Pirelli Handbuch gesucht.
    Nichts zu finden.

    [quote user="krypto" post="40750"]Ich habe da eine Firewall Lösung für Paranoide:


    VPN Server NAT->Router NAT( sogenannte Hardwarefirewall mit SPI)->ESET Firewall

    Bei der Router Firewall sind alle sicherheitsrelevanten Ports dicht gemacht.

    Ich habe mal nach einem Pirelli Handbuch gesucht.
    Nichts zu finden.[/quote]

    Nein, das gibt es leider nicht. In Österreich ist es leider Usus, dass die Provider möglichst wenig zu den mitgelieferten Geräten sagen und möglichst keinerlei Information preis geben, wie man sich mit Adminrechten zb in den Router loggt.
    Am besten alles so lassen, wie es ist. -.-

    [quote user="ESET Deutschland" post="40747"]Wenn das funktioniert, dann tu es - ich als Techniker bin der Meinung, wenn eine gut konfigurierte Hardware Firewall vorhanden ist, dreht die lokale Software Firewall eh nur Däumchen oder durch ;)[/quote]

    Soooooooo, Freude kommt auf. Mein Router hat tief versteckt eine Funktion, die man abdrehen kann, um das eigenmächtige Scannen seitens des Routers zu unterbinden. :) Habs abgedreht und alle Probleme sind gegessen, wenn man die Router IP aus dem IDS zusätzlich ausschliesst.
    IMHO ist die Funktion des Routers nicht schlecht:
    Eingeloggt, hat man einen Überblick, welche Geräte mit ihm verbunden sind, und welche Dienste auf diesem Gerät laufen. Zusätzlich kann man so durch den Router den Verkehr dieser Dienste unterbinden.

    Danke für die tatkräftige Unterstützung. Vielleicht hilft meine Erkenntnis ja noch Leuten, die ähnliche Probleme haben. ;)

    mfg, Alex

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden