Wie sicher ist der Cloudkey, wenn man für die Remote-Verwaltung von APs Port 8080 öffnet

  • Hallo in die Runde,


    ich betreibe seit etwa 14 Tagen einen Controller auf einem CloudKey Gen 2+ für die Verwaltung von APs in externen Netzwerken. Jetzt habe ich täglich mehrere Alarm-Meldungen von der Firewall, die auf den Controller zugreifen wollen. Wie sicher ist das Unifi-System, um diese Angriffe abzuwehren. Meine Problemlösung sieht im Moment so aus, dass ich den Controller nur dann in Betrieb nehme, wenn ich ihn brauche. Das soll aber keine Dauerlösung sein.


    Die Hardware-Config ist folgendermaßen: UDM-Pro mit fester öffentlicher IP --- CloudKey in einem 30er Subnetz. Portweiterleitung 8080 auf den CloudKey.


    Beispiele für Alarmmeldungen:

    Threat Management Alarm 3: Detection of a Network Scan. Signatur ET SCAN Zmap User-Agent (Inbound). Von: 192.241.221.94:54432, auf: x.x.x.x:8080, Protokoll: TCP


    Threat Management Alarm 1: Attempted Administrator Privilege Gain. Signatur ET SCAN Mirai Variant User-Agent (Inbound). Von: 222.247.159.41:14260, auf: x.x.x.x:8080, Protokoll: TCP


    Threat Management Alarm 1: Attempted Administrator Privilege Gain. Signatur ET EXPLOIT HackingTrio UA (Hello, World). Von: 222.247.159.41:14260, auf: x.x.x.x:8080, Protokoll: TCP


    Ich hab keine Lust mir da irgendwas einzufangen, meine Firewall-Kenntnisse sind aber eher dürftig...


    Gruß Jörg


    UDM Pro - USW24-Pro-PoE - USW24-Pro - USW-Flex - 3x nanoHD - 2x AC-M - Bridge zum Gartenhaus über NanoBeam - US8-150 - AC-M-Pro - Bridge zum Gerätehaus über NanoStation - US8-60 - AC-M, 2x UVC-G3-Bullet

    Laboranlage: USG-Pro4 - US16-PoE - CloudKey Gen2+


    Ubiquiti-Zertifikate: UEWA, UBWA

  • x.x.x.x : hier steht die IP-Adresse des CloudKey

    UDM Pro - USW24-Pro-PoE - USW24-Pro - USW-Flex - 3x nanoHD - 2x AC-M - Bridge zum Gartenhaus über NanoBeam - US8-150 - AC-M-Pro - Bridge zum Gerätehaus über NanoStation - US8-60 - AC-M, 2x UVC-G3-Bullet

    Laboranlage: USG-Pro4 - US16-PoE - CloudKey Gen2+


    Ubiquiti-Zertifikate: UEWA, UBWA

  • Der CloudKey ist notwwendig, da die UDMPro nur eine Site verwalten kann! Ich möchte mein Netz aber nicht mit anderen vermischen. Der CloudKey verwaltet APs in externen Netzen also Remote. Die externen APs hängen an irgendwelchen Routern im www. Als inform setzt man folgenden Befehl: set-inform http://öffentliche IP der UDM:8080/inform

    In der UDM leitet man Port 8080 auf den CloudKey und schon kann ich den entfernten AP in die gewünschte Site einbinden.

    UDM Pro - USW24-Pro-PoE - USW24-Pro - USW-Flex - 3x nanoHD - 2x AC-M - Bridge zum Gartenhaus über NanoBeam - US8-150 - AC-M-Pro - Bridge zum Gerätehaus über NanoStation - US8-60 - AC-M, 2x UVC-G3-Bullet

    Laboranlage: USG-Pro4 - US16-PoE - CloudKey Gen2+


    Ubiquiti-Zertifikate: UEWA, UBWA

    Einmal editiert, zuletzt von Joerg012 ()

  • 2707-remoteeinbindung-unifi-jpg

    UDM Pro - USW24-Pro-PoE - USW24-Pro - USW-Flex - 3x nanoHD - 2x AC-M - Bridge zum Gartenhaus über NanoBeam - US8-150 - AC-M-Pro - Bridge zum Gerätehaus über NanoStation - US8-60 - AC-M, 2x UVC-G3-Bullet

    Laboranlage: USG-Pro4 - US16-PoE - CloudKey Gen2+


    Ubiquiti-Zertifikate: UEWA, UBWA

  • Ah ok, jetzt verstehe ich das Konstrukt. Das Du da Portscans drauf hast ist normal, der Port ist ja offen. Aber im Normalfall sollte die UDM das weg blocken. Die einzige Möglichkeit wäre den Port auf die entsprechenden Netze zu begrenzen was aber bei dynamischen IPs oder ipV6 nichts wird.

    Vigor 165 - USG-3P - USW-Lite-8-PoE - USW-Flex-Mini - UAP-AC-Lite - 2x U6-Lite - UCKG2+ - UVC-G3-FLEX - Synology DS216II+ - Synology DS220J - 3CX PBX


    • Hilfreich

    Moin,


    ich würde den port ändern, weg vom default.


    Also die Port Weiterleitung von zB 12345 auf 8080 an den CK

    Das set inform musst du natürlich anpassen aber irgendein 5 stelligen Port würde ich dafür schon nehmen

    Mein Setup

    Telekom VDSL 100 -> Vigor 130 -> USG 3-P -> 1x AP AC Pro / 2 Flex Minis


    Größeres Setup kommt im laufe des Jahres :D

  • Ja die Idee hatte ich auch schon. Aber wird das was bringen? Ich versuche es mal mit einem AP im Labor....

    UDM Pro - USW24-Pro-PoE - USW24-Pro - USW-Flex - 3x nanoHD - 2x AC-M - Bridge zum Gartenhaus über NanoBeam - US8-150 - AC-M-Pro - Bridge zum Gerätehaus über NanoStation - US8-60 - AC-M, 2x UVC-G3-Bullet

    Laboranlage: USG-Pro4 - US16-PoE - CloudKey Gen2+


    Ubiquiti-Zertifikate: UEWA, UBWA

  • Besser als nichts.


    und wenn du script kiddies hast die nur irgendwo nach ner Schwachstelle suchen gehen die mMn eher auf die Standard ports.


    Ich glaube es schadet nicht und ist nicht sonderlich schwer, aber der vergleich der "Attacken" würde mich mal interessieren wenn du umstellen solltest

    Mein Setup

    Telekom VDSL 100 -> Vigor 130 -> USG 3-P -> 1x AP AC Pro / 2 Flex Minis


    Größeres Setup kommt im laufe des Jahres :D

  • Ich ändere einfach mal den Port in der Weiterleitung und schaue was passiert. Die Ports für den STUN-Servver und das Captive Portal werden bislang auch nicht gescant

    UDM Pro - USW24-Pro-PoE - USW24-Pro - USW-Flex - 3x nanoHD - 2x AC-M - Bridge zum Gartenhaus über NanoBeam - US8-150 - AC-M-Pro - Bridge zum Gerätehaus über NanoStation - US8-60 - AC-M, 2x UVC-G3-Bullet

    Laboranlage: USG-Pro4 - US16-PoE - CloudKey Gen2+


    Ubiquiti-Zertifikate: UEWA, UBWA

  • ...bislang keine Scans, danke für die Unterstützung!:)

    UDM Pro - USW24-Pro-PoE - USW24-Pro - USW-Flex - 3x nanoHD - 2x AC-M - Bridge zum Gartenhaus über NanoBeam - US8-150 - AC-M-Pro - Bridge zum Gerätehaus über NanoStation - US8-60 - AC-M, 2x UVC-G3-Bullet

    Laboranlage: USG-Pro4 - US16-PoE - CloudKey Gen2+


    Ubiquiti-Zertifikate: UEWA, UBWA

  • Joerg012

    Hat das Label von offen auf erledigt geändert