comXline Firewall

[Fraggel]

Moin!

Privatkunde, keine IT-Nerd, 0815-Installation mit Telekom DSL-Router (Speedport). 2 dazugehörige Speedport-WLAN-Repeater (diese runden Dinger). Sonst auch nix ungewöhnliches... HP-Drucker, X-Box, und ein Sack voll iPhones...

Das comXline meldet dauerhaft im 5 Minuten Rhythmus: DoS-Attacke, DATA-Flooding -> Ethernet-Port wird abgeschaltet. Dadurch natürlich permanente Verbindungsabbrüche zur AES.

Hat irgendjemand dazu ne Idee, ob evtl. Speedport, HP-Drucker oder sonstwas im Hintergrund das LAN scannt? Hab ich so noch nicht erlebt und wüsste auch keine Speedport-Einstellung, die sowas macht. Aber ich kenne mich mit dem Speedport-Repeater-Mesh auch nicht so gut aus.
Sowas ähnliches hatten wir erst einmal: Da hatte der Kunde seine Büro IT als Ubiquity SDN organisiert und der SDN-Controller hat da wohl wirklich permanent das Netzwerk gescannt. Darauf hatte dann auch das comXline reagiert.

(Kunde will nicht für intensive Suche bezahlen. Sind so verblieben, dass er mal nach und nach alle Geräte tageweise bei sich abklemmt und wir in der NSL schauen, ob der Tag störungsfrei war.)

[sysalarm]

War das bislang erprobt störungsfrei oder ist das eine Neuinstallation?

[Fraggel]

ComXline neu installiert (weil Telim nicht mehr funktionierte). Der beschriebene Effekt vom ersten Moment an. Läuft schon ein paar Monate und langsam nervt das volllaufende Log in der NSL.

Man muss aber auch dazu sagen: In dieser Form bemerkbar ist der Fehler nur, wenn man im comXline "stehende Verbindung" parametriert hat. Bei einer bedarfsgesteuerten Aufschaltung würde das lange nicht auffallen. Zumindest solange wie nicht irgendjemand mal kritisch in den Ereignisspeicher schaut.

[sc-swiss]

Allenfalls einmal mit Wireshark aufzeichnen?
Gibt es IoT Geräte? die tun manchmal sehr komische Dinge…

[Feuermelder]

Kann man das beim ComXline nicht auch deaktivieren?

Ich habs beim HoneywellÜG mal in einigen Kundennetzwerken gehabt.

Solange das Kundennetzwerk halbwegs sicher ist und die IT oder der Kunde sicher ist, dass da nichts auffälliges in seinem Netzwerk passiert kann man die Überwachung auch rausnehmen. Wenn das ÜG allerdings frei im Internet hängt, weil da ne Portweiterleitung für die App drauf ist, dann würde ich da nochmal genauer nachbohren.

Und bei ner stehenden Verbindung ist das ÜG ja sowieso überwacht. (Es gibt heutzutage keinen Grund mehr bedarfsgesteuerte Verbindungen übers Netzwerk zu verwenden, außer Abzocke oder technisches Unvermögen durch die NSL)

[Fraggel]

(09-04-2026 09:10)sc-swiss schrieb:  Allenfalls einmal mit Wireshark aufzeichnen?
Gibt es IoT Geräte? die tun manchmal sehr komische Dinge…

Hab ich tatsächlich schon gemacht, als ich vor Ort war. Allerdings nur schlicht den Traffic mitgeschnitten, der am PC eingeht,
wenn er im LAN hängt. Beim kurz drüber gucken ist mir erstmal nichts auffälliges entgegen gesprungen. Nur produziert der PC selbst im Hintergrund schon so viel Traffic, dass das Problem auch leicht in der Masse untergegangen sein kann.

Sinnvollerweise hätte ich mich per Port-Mirroring zwischen Router und comXline hängen müssen um den Verkehr dort abzugreifen. Die nötige Hardware hatte ich natürlich nicht dabei.

IoT-Krempel war auch meine erste Vermutung. Da ist allerdings wirklich nix im LAN außer den genannten Geräten.

---

(09-04-2026 13:28)Feuermelder schrieb:  Kann man das beim ComXline nicht auch deaktivieren?
...
Solange das Kundennetzwerk halbwegs sicher ist und die IT oder der Kunde sicher ist, dass da nichts auffälliges in seinem Netzwerk passiert kann man die Überwachung auch rausnehmen.

Ja, kann/könnte man deaktivieren.

Und genau das ist der Punkt: Es passiert ja etwas Auffälliges im Kundennetzwerk. Nämlich dass der DoS-Schutz des comXline anspricht und es bislang keine schlüssige Erklärung dafür gibt. Deswegen kann sich weder der Kunde noch die IT (also ich ) sicher sein, ob das Kundennetzwerk sicher ist.

Abgesehen von irgendeinem IoT-Krempel oder einem irgendwie komisch konfigurierten Drucker bleibt nämlich noch die Möglichkeit, dass da wirklich ein Gerät kompromittiert ist (Trojaner/Wurm) und gerade versucht, weitere Schwachstellen im LAN zu finden.

In dem Haushalt leben mehrere Menschen mit bevölkerungsdurchschnittlicher IT-Kompetenz... "Oh, da blinkt was Unbekanntes auf dem Bildschirm? Einfach mal draufklicken!"

[sc-swiss]

Einer meiner Spezialisten meinte allenfalls könne die X-Box solche Auffälligkeiten auslösen. Sein Tipp; prüfen ob bei der X-Box die Netzwerkübertragung aktiviert ist (Einstellungen > System > Sicherung und Übertragung > Netzwerkübertragung) und deaktivieren. Ist diese Funktion aktiviert sucht die X-Box im lokalen Netz nach anderen Boxen.