none
Log Firewall hardware: packet e scan dropped

    Domanda

  • Salve, stavo controllando i log del mio sonicwall PRO1260 Standard e ho trovato questa tipologia di log che non riesco a classificare se è un problema di cui mi devo preoccupare o solo un'informazione di minacce bloccate:

    Malformed or unhandled IP packet dropped 192.168.1.112, 0, LAN 224.0.0.1 IP Protocol 2

    UDP packet dropped 175.143.66.10, 6881, WAN xx, 13729, WAN UDP Port: 13729
    ICMP packet dropped 93.53.52.114, 17128, LAN 10.247.0.199, 21438, WAN ICMP Dest Unreachable, Code: 3
    Probable port scan dropped 96.239.66.157, 18535, WAN xx, 49253, WAN UDP scanned port list, 28735, 34605, 13695, 34611, 34609, 28763, 20327, 10225, 2337, 37395
    Possible port scan dropped 96.239.66.157, 18535, WAN xx, 20327, WAN UDP scanned port list, 28735, 34605, 13695, 34611, 34609  
    CMP packet dropped 189.113.64.66, 53, WAN xx, 8644, LAN ICMP Dest Unreachable, Code: 3
    UDP packet from LAN dropped 0.0.0.0, 68, LAN 255.255.255.255, 67, LAN UDP DHCP Server
    xx sarebbe il mio indirizzo pubblico

    Per "Packet dropped" si intendono pacchetti bloccati dal firewall provenienti dall'esterno, è corretto?
    Ci sono problematiche degne di nota secondo voi?
    Grazie in anticipo per ogni consiglio
    venerdì 28 febbraio 2014 09:03

Risposte

  • Si, ti confermo che il termine DROPPED sta ad indicare una connessione bloccata. A fronte del blocco però non sono in grado di dirti se il tuo firewall ritorna un messaggio al mittente (ma credo di no).

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 3 marzo 2014 13:10
    Moderatore
  • Ciao Fabio, se non hai porte esposte potresti stare relativamente tranquillo e monitorare quell'IP per qualche settimana. Fai attenzione alla porta RDP, in genere cercano quella.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    venerdì 28 febbraio 2014 10:38
    Moderatore

Tutte le risposte

  • Ciao Fabio, se non hai porte esposte potresti stare relativamente tranquillo e monitorare quell'IP per qualche settimana. Fai attenzione alla porta RDP, in genere cercano quella.

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    venerdì 28 febbraio 2014 10:38
    Moderatore
  • Innanzitutto ti ringrazio per la risposta.

    Il problema non è quell'ip specifico (ovviamente cambiano ogni volta gli ip da dove provengono questi "attacchi"), volevo solo sapere se la dicitura ICMP, UDP, CMP, PROBABLE PORT SCAN ecc. col suffisso DROPPED erano attacchi bloccati o cmq non andati a buon fine o c'era da preoccuparsi. Tutte le diciture sono "DROPPED" quindi dovrebbero essere "caduti", è corretto?

    Per la porta RDP ho inserito una regola specifica bloccando tutto dalla WAN verso la LAN interna ;)

    lunedì 3 marzo 2014 12:28
  • Si, ti confermo che il termine DROPPED sta ad indicare una connessione bloccata. A fronte del blocco però non sono in grado di dirti se il tuo firewall ritorna un messaggio al mittente (ma credo di no).

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    lunedì 3 marzo 2014 13:10
    Moderatore
  • Ciao Fabio,

    Evidenzio gli interventi di Nino in attesa di ulteriori feedback (speriamo positivi).

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    giovedì 6 marzo 2014 13:04
    Proprietario