Frage zu einem IDS/IPS Report

flo222

Lieutenant
Registriert
Juli 2015
Beiträge
791
Hallo zusammen,

ich habe für meinen Ältesten einen Minecraft-Server auf einem Raspberry Pi 5 in einem separaten VLAN am Laufen. Dieses ist über DynDNS auch von Außen erreichbar, ist aber als Netzwerk erst einmal komplett von allen anderen VLANs isoliert, sprich es ist keine Interaktion mit den anderen VLANs erlaubt. Auf dem Server zockt er mit seinen Kumpels dann Minecraft, wobei er da auch mit einer Whitelist arbeitet, es kommen also nur Leute drauf die er auch kennt.

Allerdings will er natürlich auch von seinem PC auf den Raspberry / Minecraft-Server zugreifen um z.B. was zu administrieren, deswegen hab ich die IP seines PCs als einzige zur Kommunikation mit dem Raspberry freigegeben. Soweit erst mal der Status Quo.

Jetzt hab ich seit mehreren Wochen das Cloud Gateway Ultra im Einsatz, nachdem bisher das USG-3P für alles zuständig war. Ich hab auch IDS/iPS in der maximalen Auswahl aktiviert, und erhalte nun immer folgende Meldung, sobald er seinen PC einschaltet:

IMG_2245.jpeg

Ich dachte mir erst, ich block mal die IP, da ich auch auf dem Raspberry von ihm oder meinem eigenen Raspberry mit Home Assistant immer wieder mal Anfragen von IPs habe, die ich dann auf eine Blockliste setze. Die Einträge kamen aber weiterhin, und heute ist mir dann bewusst geworden, dass die Quellen-IP/Counterpart-IP unsere IPv4 der Telekom ist, die wir aktuell beziehen. Was will mir denn diese Info sagen, und wie geh ich mit sowas um? Einfach hinnehmen, oder die IP womöglich sogar whitelisten?
 
Du hast eine Regel aktiviert die für Unternehmen Spiele jeder Art blocken soll. Es wird ein Spiel erkannt und geblockt. Das ist doch alles korrekt. Oder willst du als Unternehmen das die Leute nicht arbeiten sondern Spiele wie z.B. Minecraft spielen können?
 
Hätte ich ein Unternehmen würde das wohl Sinn machen. Sprich IDS/IPS macht in einem Privathaushalt nur bedingt Sinn? Oder macht es durchaus Sinn aber man sollte die Ergebnisse anders bewerten?
 
Du brauchst halt viel Hintergrundwissen damit das wirklich sauber läuft. Pauschal Minecraft zu blocken wenn du Minecraft willst macht keinen Sinn. Es wird bei z.B. opnsense auch darauf hingewiesen auf keinen Fall alle Regeln zu aktivieren.

Der richtige Spaß beginnt erst, wenn du fehlerhafte Regeln anpasse musst. In Unternehmen wird so was von einer ganzen Abteilung betreut.

Erkennt diese IDS überhaupt bösartigen Inhalt im Verkehr von Netzwerkverkehr von minecraft? Ist das nicht alles verschlüsselt oder machst du auch SSL-Offload?

Egal ob da ein VPN wie z.B. wireguard läuft , würde ich pauschal auch nur die AS/ IP Bereiche der Provider der Kumpels freischalten.
 
  • Gefällt mir
Reaktionen: flo222
flo222 schrieb:
Allerdings will er natürlich auch von seinem PC auf den Raspberry / Minecraft-Server zugreifen um z.B. was zu administrieren, deswegen hab ich die IP seines PCs als einzige zur Kommunikation mit dem Raspberry freigegeben.
[..]
Die Einträge kamen aber weiterhin, und heute ist mir dann bewusst geworden, dass die Quellen-IP/Counterpart-IP unsere IPv4 der Telekom ist, die wir aktuell beziehen.

Und wie routest du das? Greift dein Sohn auch per DDNS auf den Server zu? Sofern du keinen lokalen DNS-Eintrag für die lokale IP des Servers anlegst, würde die DDNS-Domain natürlich auch aus dem lokalen Netzwerk mit der öffentlichen IP aufgelöst werden. Dabei kommt es im Router zu NAT-Loopback, wenn der Router es unterstützt. NAT-Loopback kann man sich wie eine Kabelschlaufe am WAN-Port vorstellen, Kabel geht aus dem WAN raus, dreht sich einmal im Kreis und geht in denselben WAN-Port wieder rein. Raus und rein, inkl. aller beteiligten Prozesse im Router. Das heißt, dass jedes Paket, das den Router am WAN-Port verlässt, auch mit dessen WAN-IP als Absender maskiert wird (SNAT/MASQUERADE). Nun dreht das Paket ne Runde in der Kabelschlaufe und kommt wieder rein, inkl. Portweiterleitungen, Firewall, etc. Und genau so kommt das Paket nun auch beim Server an, mit der WAN-IP des Routers als Absender, und genau dahin geht auch die Antwort des Servers, der Rückweg läuft also spiegelverkehrt ab.


Unter anderem deswegen ist NAT-Loopback eher unschön und sollte nach Möglichkeit vermieden werden1.
Zum einen verliert man dadurch die Möglichkeit, einzelne lokale Geräte zu reglementieren - für den Server ist letztendlich nichts lokal, alles kommt aus dem www - und zum anderen kann es Performance kosten, weil jedes Paket auf dem Hin- und Rückweg durch die komplette NAT-Pipeline des Routers gehen muss, obwohl Client und Server womöglich keine 2 Meter voneinander entfernt stehen und womöglich sogar am selben Switch hängen.

Besser ist in solchen Fällen ein lokaler DNS-Eintrag, der entweder zB in der hosts-Datei des Clients oder in einem lokalen DNS-Server die IP von blabla.ddns auf die lokale IP des Servers auflöst - oder man benutzt direkt die lokale IP bzw. den lokalen Namen des Servers. Sitzt dieser in einem anderen Netzwerk, muss natürlich das Routing zwischen diesen beiden Netzwerken funktionieren und die Firewall die Verbindung zulassen. Genau hier kommt dann die lokale IP des PCs deines Sohnemanns zum Tragen. Die Firewall blockt sozusagen Netz#1 ---|||FW|||---> Netz#2 mit Ausnahme source=PC-IP. Den Rückweg deckt man durch allow established/related ab.


1 Es sei denn das ist explizit das Ziel wie bei einem lokalen Test, der bewusst wie von außen kommen soll (zB Test der Server-Firewall)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: flo222
Zurück
Oben