Beschreibung:

Die Funktion Intruder Detection System / Intruder Prevention System (IDS/IPS) erkennt und blockiert potenziell schadhafte Pakete. Dabei kann es auch dazu kommen, dass erwünschter Datenverkehr erkannt und geblockt wird.

In diesem Artikel wird beschrieben, wie für die Funktion IDS/IPS eine Ausnahme erstellt werden kann.


Voraussetzungen:

  • LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.3
  • Eingerichtetes und funktionsfähiges Netzwerk samt Internetzugang auf dem LANCOM Router
  • Web-Browser zur Konfiguration der Unified Firewall.

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Vorgehensweise:

1. Einrichtung einer Ausnahme-Regel für die Funktion IDS/IPS: 

1.1 Öffnen Sie die Konfiguration der Unified Firewall im Browser und wechseln in das Menü Monitoring & Statistiken → Einstellungen.

1.2 Wählen Sie im Dropdownmenü bei IDPS-Treffer die Option Rohdaten lokal speichern aus, damit die Unified Firewall aufzeichnet, welche Pakete die IDS/IPS erkennt und blockiert.

Klicken Sie anschließend auf Speichern.

1.3 Wechseln Sie in das Menü Monitoring & Statistiken → Protokolle → Alarmprotokoll.

1.4 Wählen sie bei Weitere Filter den Parameter Category: IDPS aus, um das Alarmprotokoll auf IDS/IPS Meldungen einzuschränken.

1.5 Wählen Sie das Ereignis aus, welches Sie erlauben wollen und klicken auf das "Zahnrad-Symbol" und anschließend auf IDS/IPS-Regel ignorieren (in diesem Beispiel wurde ein UPnP Broadcast durch die IDS erkannt).

1.6 Wiederholen Sie Schritt 1.5 für weitere Ereignisse, falls erforderlich.

1.7 Das Erstellen einer Ausnahme-Regel für die Funktion IDS/IPS ist damit abgeschlossen.



2. Bearbeiten und Löschen der Ausnahme-Regel:

2.1 Wechseln Sie in das Menü UTM → IDS/IPS.

2.2 Unter Regeln ignorieren finden Sie die in Schritt 1.5 hinzugefügte Regel. Bei Bedarf können Sie diese bearbeiten oder auch über das "Mülltonnen-Symbol" löschen, sofern die Ausnahme-Regel nicht mehr benötigt wird. 

Über den Modus können Sie auswählen, wie die IDS/IPS sich verhält:

  • IDS: Ereignisse werden lediglich protokolliert.
  • IPS Drop: Ereignisse werden protokolliert und die entsprechenden Pakete verworfen.
  • IPS RejectEreignisse werden protokolliert und die entsprechenden Pakete abgelehnt. Sollen die Pakete geblockt werden, ist dieser Modus zu empfehlen, da das Endgerät eine entsprechende Rückmeldung erhält.