Ich hab hier im Netzwerk Zuhause seit einiger Zeit ein IDS laufen.
Da ich mich derzeit auch bei meiner laufenden Diplomarbeit mit dem Thema beschäftige lag es mir nicht fern so ein System gleich einmal im Netzwerk zu installieren. Erhöht ja schließlich auch die Sicherheit.
Ich habe also Snort nach dieser Anleitung auf meinem Server aufgesetzt. Plane übrigens ein eigenes Tutorial zu schreiben sobald es die Zeit zulässt. Das verlinkte ist nicht mehr ganz aktuell und es fehlen einige Punkte.
Aber nun zum eigentlichen Problem!
Ich habe einen Linksys SRW2016 Switch im Einsatz welcher unendwegt UPnP Suchanfragen an das gesamte Netzwerk schickt. Snort lieferte mir ca alle 5 Minuten periodisch folgende Fehlermeldung: MISC UPnP malformed advertisement
Das Bild ist ein Screenshot aus Base mit der Auswertung der Fehlermeldung.
Eigentlich ist dieses Paket nichts schlimmes. Es ist die Suche nach anderen, UPnp fähigen, Geräten innerhalb des Netzwerkes. Eine kurze Google-Suche später war mir klar, dass hier das SSDP Protokoll zum Einsatz kommt.
Das Problem daran ist, dass der Switch von sich selbst aus diese Suche nicht durchführen, sondern lediglich solche Suchanfragen weiterleiten sollte. Dies wurde mir so auch von der Linksys Hotline bestätigt. An den Clients – sprich Computern – im Netzwerk kann es nicht liegen. Erstens sind, meines Wissens nach auf keinem Computer UPnP Programme installiert die den Switch veranlassen könnten eine solche Anfrage weiterzuleiten und zweitens habe ich bereits alle Clients abgeschalten um zu Überprüfen ob der Switch selbst dann immer noch sendet - tat er.
Laut der Analyse von Snort bzw. Base werden solche Pakete bei DoS Attacken verwendet. Konnte bei mir allerdings keine Anzeichen für eine solche Attacke feststellen. In den Router Logs taucht kein Hinweis darauf auf, alles läuft mit normaler Geschwindigkeit und abgestürzt ist auch nichts.
Nachdem sich ca 15000 diesbezügliche Log Einträge in der Datenbank angesammelt haben, konnte ich mir nicht anders helfen als die enstsprechende Rule in Snort zu deaktivieren.
Hoffe das ich noch eine Lösung für dieses Problem finden werde und werde.
PS: Bin für jede Idee dankbar.
Comments (0)