Firewall im HW-Router SMC 7004VBR

#1 Hi,
habe seit einigen Tagen einen Router von SMC den 7004VBR in Betrieb. Hieran werden zwei PCs mit W2K und ein T-DSL-Modem betrieben. Funktioniert soweit alles wie es soll. Nun ist mir aufgefallen, dass ich insbesondere beim surfen auf Boards, Probleme bekomme wenn die Firewall eingeschaltet ist (vermutlich die Intrusion Detection). Im Log der FW befindet sich der folgende Hinweis: "**SYN Flood to Host** 192.xxx.x.x, 1223->> xxx.xxx.xxx.xxx, 80 (from PPPoE)". Mit meinen bescheidenen Kenntnissen konnte ich das Problem vorerst dadurch lösen, dass ich in der FW die "Flooding cracker block time" auf 0 Sekunden gesetzt habe. Das kann es aber auf Dauer nicht sein. So wäre ich für etwaige Ideen und Hinweise zur Aufklärung des Sachverhaltes dankbar. Meine Vermutung geht dahin, dass ein Wert der nachfolgend aufgeführten FW-Parameter zu klein ist (leider geht das Handuch des Routers nicht auf solche Details ein):

* Intrusion Detection Feature

SPI and Anti-DoS firewall protection :on
RIP defect :on
Discard Ping From WAN :on

* Stateful Packet Inspection

Packet Fragmentation on
TCP Connection on
UDP Session on
FTP Service on
H.323 Service on
TFTP Service on

* When hackers attempt to enter your network, we can alert you by e-mail

Your E-mail Address :
SMTP Server Address :
POP3 Server Address :
User name :
Password :

* Connection Policy

Fragmentation half-open wait: 10 secs
TCP SYN wait: 30 sec.
TCP FIN wait: 5 sec.
TCP connection idle timeout: 3600 sec.
UDP session idle timeout: 30 sec.
H.323 data channel idle timeout: 180 sec.

* DoS Detect Criteria:

Total incomplete TCP/UDP sessions HIGH: 300 session
Total incomplete TCP/UDP sessions LOW: 250 session
Incomplete TCP/UDP sessions (per min) HIGH: 250 session
Incomplete TCP/UDP sessions (per min) LOW: 200 session
Maximum incomplete TCP/UDP sessions number from same host: 10
Incomplete TCP/UDP sessions detect sensitive time period: 300 msec.
Maximum half-open fragmentation packet number from same 10 host:
Half-open fragmentation detect sensitive time period: 10000 msec.
Flooding cracker block time: 0 sec.

#2 Wenn Du auf einem Board einen Thread liest, dann müssen aufgrund von Smilies, Avataren und sonstigen Sachen recht viele Verbindungen aufgebaut werden. Für jede TCP Verbindung braucht es mehrere Syn Pakete - möglicherweise betrachtet der Router dies als einen "Angriff". Schau mal unter http://www.different-thinking.de/sif.php nach, dort ist der Verindungsauf- und abbau beschrieben. Es gibt verschiedene Angriffe, bei denen ein Rechner mit Syn-Packeten bombardiert wird, damit der immer mehr Verbindungen öffnet und somit Ressourcen belegt - dies kann bis zur DoS Attacken gehen.

-just my 2 cents-

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Hi,

ich bin auch auf der Suche nach Beispiel-Konfigurationen für die Firewall des 7004VBR. Gibt es da schon irgendwelche Erkenntnisse?

Ciao

E.C.
egonchef@email.com

#4 Hi,

eine Beispiel-Konfiguration kann ich leider nicht bieten, aber auf jeden Fall den von Robert empfohlenen Link. Nach Studium der dortigen Unterlagen habe ich die für mein Problem relevant Parameter geändert (musste noch ein wenig mit der Größe der Änderung experementieren) und habe seitdem keine Probleme mehr mit der FW.

cu
RanLich

#5 Ich habe auch das problem vor allem wenn ichmit IRC und EMULE arbeite...auf die dauer nervts sehr...über eine lösung wäre ich dankbar...

#6 Hi,

zu IRC kann ich nichts sagen. Jedoch zu eMule ist mir von einem Kollegen bekannt, dass er anfangs auch Probleme hatte. Vor allem zu viele Connections führten zu einem Absturz des Routers. Einem Tip aus dem Netz folgend hat er die Firmware 1.05beta eingespielt und seitdem kann er ohne Probs den Esel anzapfen. Falls die Version nicht mehr beschaffbar sein sollte, werden ich sicherlich über den Kollegen aushelfen können.

Greetz
RanLich

#7 Hier gibts was Gutes für den 7004 VBR:

www.routerhilfe.net.tc

Alles über eMule etc.

Gruß

Zeuso
__________
Schwester, geben Sie dem Mann ein paar Drogen....

#8 Na das ist ja mal was leckeres......vielen Dank für den Tipp!

Gruß
RanLich