IDS / IDP sorgt für Unterbrechung der Namensauflösung

Hört sich komisch an.

Ich vermute das adguard damit nicht klar kommt und x hunderte anfrage sendet und die udr wegen späm time outet

Das ist meine Vermutung

Wenn das IDS was erkennt und sperrt dann wird üblicherweise eine Firewall Regel erstellt die Quelle / Ziel Blockiert.

Aber das für immer. Da ist kein "nach 5 min gebe ich wieder frei".

Region Sperren sind auch Quasi Statische Einträge, da werden je nach Land einfach ein Haufen IP Addressen

über Die geo Erweiterung vom Netfilter geblockt (das sind Binär Listen und damit schneller aber auch undurchsichtiger)

hast du irgendwelche Logeinträge auf der UDM die dazu passen ?

Fragen die Clients deinen Adgurad direkt an ? Erreichen sie diesen ? Oder kann dein Adguard dann nicht mehr

nach extern auflösen ?

Aber komisch ist es schon das es nach x Min wieder geht..

Quote from iTweek

Ich vermute das adguard damit nicht klar kommt und x hunderte anfrage sendet und die udr wegen späm time outet

Das ist meine Vermutung

Adguard hat eine Einstellung, welche die max. Anzahl Anfragen pro Sekunde begrenzt.

Da würde ich mal anfangen.

Moin,

also bei mir ist es so, dass wenn ich per VPN (Wireguard) mit meinem Netz Verbunden bin und gewisse Dinge auf meinem Homeassistant mache (z.B. Automation löschen) das dann auch IDS zuschlägt. Mache ich das von zu Hause, ist das noch nie passiert und es ist nur der HomeAssistant. bei anderen VMs oder Containern tritt das Problem nicht auf. Siehe Screenshot:

Hat zwar nicht mit dem DNS Problem zu tun...

aber die Regel dazu lautet

alert http $EXTERNAL_NET any -> $HTTP_SERVERS any (msg:"GPL WEB_SERVER DELETE attempt"; flow:to_server,established; content:"DELETE"; http_method; nocase; reference:nessus,10498; classtype:web-application-activity; sid:2101603; rev:13; metadata:created_at 2010_09_23, updated_at 2010_09_23;)

Die Regel schlägt also an wenn ein "DELETE" HTTP Request kommt.. Etwas das im "normalen" Umgebungen eher nicht vorkommt.

und man auch garnicht so haben will (alles außerhalb von OPTION, GET, PUT is böse, warum HA damit arbeitet oder da dann abfängt

und sein zeug macht steht auf einem anderen Blatt.)

Das IDS prüft Internet <-> External. Deine VLANs sind alles "Home_NET" also Internal (/run/ips/config/homenet.yaml)

Internal wird nicht geprüft. Deine VPN Netze sind da aber nicht mit bei damit automatisch "External"

Das wird passieren wenn man per ip auf den HA zugreift und nicht wie vorgesehen per fqdn.

Danke für die Erläuterung

Wenn eine Regel eine Verbindung blockiert wird diese dann geschlossen oder kommt schlicht keine Antwort und läuft diese dann in einen Timeout? Das könnte den AdGuard dann ja auch Probleme bereiten.

Quote from xinput

Habe mir bisher nur die Logs von den Security detections angeschaut gehabt. dort Stand das die DNS anfrage an domain xyz blockiert wurde von dem Host auf dem mein Adguard Läuft.

Wie sieht die genau aus ? Also auch was ggf. Recht im Fenster Aufploppt wenn du draufclickst (also die deteils)

Quote from xinput

Die Anfragen von beiden kamen bei der UDR an und wurden von IDP blockiert, dann stand 5-10 Minuten mein Netzwerk still was die Namensauflösung angeht.

Sollte IDP etwas DNS-Anfragen blocken, das wäre ja fatal.

Wieviele / welche Upstream DNS-Server hast du in AdGuard eingetragen und laufen die auf "Lastverteilung" oder "Parallels Anfragen"

Heute habe ich was gelernt...

Nur die Veränderung ist beständig...Danke UI für undokumentierte Dinge die "aufeinmal" anders sind.

Mein IPS steht gewöhnlich auf Report only, da soll nichts automatisch geblockt werden. Habs mal zum testen wieder eingeschaltet

und festgestellt das der kram je nach "Schwere" nur einen Zeitlich begrenzten Block etabliert.

Getestet habe mit "massen SSH" rewuest (3-4 schnelle anfragen hintereinander triggen das IPS)

Das ist dann ein "ET SCAN Potential SSH Scan OUTBOUND" als MEDIIUM Alarm.

Die Verbindung wird dann weggeblockt...

root@Lisa:~# ipset list ips
Name: ips
Type: hash:ip,port,ip
Revision: 5
Header: family inet hashsize 1024 maxelem 65536 timeout 0
Size in memory: 6752
References: 2
Number of entries: 2
Members:
192.168.1.236,tcp:57789,18.157.6x.xx timeout 294
18.157.6x.xx,tcp:22,192.168.1.236 timeout 295

Das ganze wird in ein IPSet gestopft nachdem gefiltert wird....Die Daten haben aber ein "Timeout"

ein eingebautes Verfallsdatum.....Offensichtlich 300 Sekunden fallen die aus dem IP net wieder raus

und schwups wird nicht mehr geblockt...

Damit ist meine Aussage von oben (IPS Blocks bleiben bestehen) schlichtweg Falsch und hat sich überlebt.

Aber das ist dann auch dein Problem:

Dein unbound startet den DNS Query. IPS mag das nicht uns sperrt den Pfad.. Schubs darf der ganze DNS nicht mehr

nach draußen für 5 min..

Lösung:

Geh in die Stettins von IDS und schalte DNS kram aus, oder besser erstelle eine Ausnahme für deine DNS Server IP.

Damit wird IDS nichtmehr getriggerte bei doofen DNS eintragen. Auf diesen Schutz musst dann verzichten...

Der Adguard hangelt sich ja vermutlich wie der pihole, beides vermutlich mit unbound von den root DNS Servern runter bis er eine IP für den fqdn hostnamen erhält ... da ist natürlich eine Ländersperre gar keine gute Idee ... man blockiert ja so alle DNS Server die in den blockierten Ländern laufen. Ich würde definitiv die DNS Auflösung vollumfänglich erlauben. Es reicht ja wenn der eigentliche Traffic der Clients in/von den blockierten Ländern geblockt wird.

So umgeht man dann auch das Problem, dass es vermutlich auch Domänen gibt die prinzipiell gar nicht gesperrt sein sollten. Beispiel wäre Deutschland ist in der Blockliste und Frankreich ist erlaubt, eine registrierte .de Domain wird von der Denic in Deutschland verwaltet, die Domain ist schlussendlich bei z.B. Strato registriert. Der DNS Eintrag zeigt auf eine Französische IP. Der Traffic zum Französischen Server ist erlaubt aber die Namensaulösung macht einen Strich durch die Rechnung ... sehr unschöne Konstellation.

gierig hmm also ich hatte es bisher so verstanden, dass das IDS/IPS den verdächtigen Traffic für 5 Minuten blockt und man aktiv white und blacklisten kann.

Quote from DoPe

gierig hmm also ich hatte es bisher so verstanden, dass das IDS/IPS den verdächtigen Traffic für 5 Minuten blockt und man aktiv white und blacklisten kann.

Ofensichtlich ist das so... wo ist das notiert ? Ganz am Anfang hat Network (6er version ?) da noch direkt ne Regel erstellt und nicht

nach 5min die Scheune wieder aufgemacht...Das war überraschend für mich....

Hier erwähnt UI-Glenn die 5 Minuten, der Artikel im Help Center enthält dazu allerdings keine Angabe.

Ich finde es prinzipiell gut, dass die Artikel ziemlich on point sind und nicht viel drum herum schwafeln, allerdings dürfte es gerade bei solchen Themen hier definitiv etwas ausführlicher sein.

Na ja im Forum hilft es nicht viel vor allem nicht wenn es in der Doko anders steht...

When a threat is detected, both IPS and IDS will generate email and mobile push alerts.

However, IPS will also block the detected threats automatically.

Ein Zusatz das die Automatic nur 5 min gelten wäre schon toll.

Ne Option die Zeit selber zu bestimmen oder auf "always" zu setzen währe dann noch "toller"

(oder auch ne Anzeige in den Details das der Block um xx:xx zu Ende ist).

Verkehrt finde ich da ja nicht....