IPS (Intrusion Prevention System) zeigt "TOR BLOCK"

**hoppel118** · 31. Januar 2022

Hallo in die Runde,

habe auch mal wieder eine Frage. Nachdem ich nun vor fast 2 Wochen meine neue UDM-SE in Betrieb genommen habe, möchte ich mal eine Frage klären. Unter /var/log/messages sehe ich folgende Meldungen:

Code

root@udm-pro-se-basement:~# cat /var/log/messages | tr -d '\000' | grep "BLOCK" 
Jan 22 03:13:19 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=107.189.14.180 DST=111.111.111.111 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=33090 PROTO=TCP SPT=4885 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan 22 03:42:58 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=3191 DPT=63687 LEN=9 
Jan 22 05:51:23 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=4658 DPT=61561 LEN=9 
Jan 22 07:29:30 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=3788 DPT=64569 LEN=9 
Jan 22 09:56:07 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=11347 DPT=54043 LEN=9 
Jan 22 13:25:00 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=13009 DPT=63955 LEN=9 
Jan 22 15:27:21 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=33914 DPT=61408 LEN=9 
Jan 22 17:36:52 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=64886 DPT=61682 LEN=9 
Jan 22 19:50:23 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=64300 DPT=64200 LEN=9 
Jan 22 21:13:43 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=27371 DPT=47570 LEN=9 
Jan 23 00:44:22 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=53889 DPT=35000 LEN=9 
Jan 23 03:22:34 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=82 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=TCP SPT=34845 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan 23 05:59:59 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=107.189.14.180 DST=111.111.111.111 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=10157 PROTO=TCP SPT=51858 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan 23 06:29:55 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=48 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=52632 DPT=53 LEN=28 
Jan 25 16:25:59 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=7805 DPT=35231 LEN=9 
Jan 25 17:49:48 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=50738 DPT=50481 LEN=9 
Jan 28 08:29:21 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=45.61.187.34 DST=111.111.111.111 LEN=44 TOS=0x00 PREC=0x00 TTL=244 ID=54321 PROTO=TCP SPT=45629 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan 28 11:07:14 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=39751 DPT=45111 LEN=9 
Jan 29 02:05:13 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=34402 DPT=988 LEN=9 
Jan 29 02:30:39 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=32794 DPT=9001 LEN=9 
Jan 29 03:07:33 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=45.61.187.34 DST=111.111.111.111 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=631 PROTO=TCP SPT=6313 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan 29 06:37:29 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=46533 DPT=5093 LEN=9 
Jan 29 07:27:27 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=45.61.187.34 DST=111.111.111.111 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=57216 PROTO=TCP SPT=49441 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Jan 29 08:41:18 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=9260 DPT=29698 LEN=9 
Jan 29 09:12:00 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=30313 DPT=5098 LEN=9 
Jan 30 05:11:43 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=52923 DPT=64609 LEN=9 
Jan 30 21:42:27 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=22943 DPT=55011 LEN=9 
Jan 30 23:03:52 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=61387 DPT=56919 LEN=9 
Jan 31 01:07:31 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=31121 DPT=56653 LEN=9 
Jan 31 03:18:39 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=26721 DPT=62159 LEN=9 
Jan 31 05:38:51 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=11963 DPT=58847 LEN=9 
Jan 31 07:40:02 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=54824 DPT=58506 LEN=9 
Jan 31 10:05:33 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=6855 DPT=56315 LEN=9 
Jan 31 13:08:44 udm-pro-se-basement kernel: TOR BLOCK: IN=ppp0 OUT= MAC= SRC=144.172.118.37 DST=111.111.111.111 LEN=29 TOS=0x00 PREC=0x00 TTL=240 ID=54321 PROTO=UDP SPT=14513 DPT=55861 LEN=9

Alles anzeigen

Bei der IP-Adresse 111.111.111.111 handelt es sich um meine öffentliche WAN IP-Adresse, die ich hier anonymisiert habe, da sie statisch ist.

Was sind das genau für Meldungen?

Nach außen habe ich eigentlich keine Ports offen, so dass ich solche Meldungen meinem Verständnis nach nicht haben dürfte. Mir macht das ganze etwas sorgen, da dort sehr häufig "ID=54321 PROTO=UDP" aufgeführt wird. (Dort werden zusätzlich auch ein paar TCP Ports aufgeführt, insofern es sich bei der ID um einen Port handelt: 33090 | 10157 | 631 | 57216 | 2x 54321)

Ich habe mir kürzlich nämlich ein paar Masqueraden für einige Xiaomi Devices eingerichtet, die auf UDP Port 54321 kommunizieren. Diese Xiaomi Devices (bspw. Smart Fan) erwarten nun aber, dass sich andere Kommunikationsstellen im selben Netz bzw. Wifi befinden. Es schient sich um ein "Sicherheits Feature" seitens Xiaomi zu handeln, verschiedene Roborock Modelle (bspw. S50) haben dieses Problem nicht, wenn man einen mDNS "Multicast DNS" Reflector an der UDM(-Pro/-SE) aktiviert. Nähere Informationen dazu findet ihr hier: https://github.com/rytilahti/python-miio/issues/422

Mein Smarthome Server und auch meine Smartphones befinden sich in meinem Hauptnetzwerk, während diese Xiaomi Komponenten sich in einem in sich abgeschotteten VLAN befinden (Typ Guest Netzwerk und Device Isolation aktiv). Somit funktioniert die Kommunikation mit diesen Geräten nicht netzintern, sondern nur über die Xiaomi Cloud. Mit den Masqueraden kann ich ich die Kommunikation über die Cloud umgehen und direkt lokal kommunizieren.

Diese Masqueraden sehen wie folgt aus:

Code

iptables -t nat -A POSTROUTING -s YOUR_SMARTHOME_SERVER_IP/32 -d YOUR_DEVICE_IP/32 -p UDP -j MASQUERADE --to-ports 54321

In dieser iptables Masquerade lege ich also fest, dass diese Regel ausschließlich für meinen Smarthome Server und das entsprechende Xiaomi Device angewendet werden soll.

Diese TOR BLOCK Meldungen oben könnte man jetzt so deuten, dass diese Masquerade auch die Firewall nach außen ins Internet öffnet, der UDP Port 54321 also von außen offen ist.

Oder wird die gesamte Xiaomi Kommunikation über die Xiaomi Cloud vom Intrusion Prevention System als TOR Netzwerk erkannt, weshalb diese BLOCKER entstehen?

Handelt es sich beim TOR BLOCK Meldungsfeld "ID=54321" überhaupt um den Port? Evtl. ist das ja auch nur ein Zufall, dass dort hinter der ID die Ziffernfolge 54321 auftaucht.

Oder bin ich hier völlig auf dem Holzweg?

Danke euch und Gruß Hoppel

Willkommen! Melden Sie sich an oder registrieren Sie sich.

IPS (Intrusion Prevention System) zeigt "TOR BLOCK"

Tags

1 Benutzer hat hier geschrieben

Wer ist war online

Benutzer online 71

Wer war online 189