Unifi UDM Logging

Hi zusammen,

ich habe eine Frage zu einer UniFi Udm. Ist es möglich, eine Art Firewall Log zu erhalten?

Habe das Problem, dass ein Gerät anscheinend Amok läuft und Port Scans durchführt nach Extern, ich es aber nicht finden kann und die UniFi lässt alle Anfragen in das Internet.

Dachte mir, kein Problem, habe auch die IP, die angefragt worden ist, vom ISP erhalten ... via SSH in /var/log/messages hereingeschaut und erschreckend festgestellt ... die logt ja nichts.

Mache ich etwas falsch? Kann ich irgendwie eine dst.ip oder src.ip finden im Log? Kenne es von anderen Anbietern wie z.b. Sopohs und Co. das man eine sehr gute einsicht auf sowas hat.

Habe auch am selben Tag noch geschaut in die "/var/log/messages" und nichts Brauchbares gefunden ...

Danke und VG

Zitat von defcon

Hast du für die Firewall Rules explizit das Logging aktiviert?

Falls nein, musst du dies für jede Regel separat aktivieren...

Je nach FW-Version der UDM und Network Version, taucht das Logging dann unter System Log im WebInterface vom Controller auf.

Alternativ kannst du dir das ganze Gedöhns natürlich mit externem Syslog einsammeln und grafisch/tabellarisch aufarbeiten.

Alles anzeigen

Hi,

ich möchte ja den kompletten Traffic sehen. Dafür gibt es ja keine Regel … Für alle anderen Regeln ist das Logging dabei. Jedoch ist dort der Fall nicht dabei, um nach diesem Gerät zu suchen ...
Das unter "System log im Webinterface" kann ich nicht finden, lediglich das für Syslog Einstellungen.

Ich habe keinen Syslog Server aktuell am Laufen.

Doof ist, dass ich nach etwas suche, dass heute um 10 Uhr im Netzwerk gefunkt hat und das würde ich gerne finden in den Logs.

Zitat von defcon

War es denn ein IDS/IPS alert?

Die findest du bei Threat detections.

Nein, wir haben vom IPS eine Meldung erhalten, dass von unserem Netz ausgehende DDOS Attacken stattfinden, so wie Port Scans.

Unifi sagt einfach gar nichts, als wäre nichts passiert, alles im grünen Bereich. Keine Alerts.

Deswegen suche ich ein vernünftiges Logging um evtl. nach den Systemen zu suchen (die mir der ISP gegeben hat) um eben hoffentlich das Gerät im Netzwerk zu finden.

Zitat von defcon

Ich kann dir morgen mal Screenshots machen.

Danke!

Zitat von defcon

Ist bei deinem Unifi System denn IPS oder IDS aktiv?

Ja, keine Aktivität fest zu stellen ...

Zitat von defcon

Mach mal von irgendeinem Client in deinem Netz über cmd oder Linux Shell ein:

curl -A "BlackSun" http://www.google.com

Curl gemacht, Quellcode in HTML von Google zu suchen, was genau benötigst du hierbei und was ist das Ziel dabei?

Zitat

Es tut mir leid, dir mitteilen zu müssen: "Vergiss es".

Die UDM /Pro /SE sind Gateway zum Steuern von AP oder Cam. Die Funktion von FW ist nicht die Kernkompetenz von Unifi und wird extrem stiefmütterlich bedient. Selbst in der letzten EA-Version gab es noch Fehler beim Konfigurieren der FW-Regeln.

Ein Logging, wie man es von Sophos oder OPNsense kennt, gibt es gar nicht. Selbst in den OS wie Windows oder Mac ist das FW-Log besser und ausführlicher. Für zu Hause finde ich es schon bescheiden, aber für das professionelle Umfeld ist eine UDM /Pro /SE ungeeignet als FW.

Vermutlich meinst du so etwas:

Ja … Ich meine genau das von deinem Screenshot!

Es gibt immer wieder kleine Kunden, die ich sehe und diese nutzen z.b. eine Fritz!Box ... deswegen dachte ich mir, tust etwas Gutes und tauscht diese gegen eine UDM / Pro. Viel besser als eine Fbox.

Wäre das Logging nur etwas besser ... a Traum ... Da nicht jeder eine Sophos/ Fortigate sich leisten (oder Sinn macht) kann, mit den ganzen renewals usw.

Ich habe mal, was gehört, dass es in GitHub paar Repos gibt, die die UDM mit erweitertem Logging bereichern. Hat jemand davon schon mal was gehört und hat vllt dazu paar Quellen?

Eventuell könnte es helfen den Honeypot mal zu konfigurieren und zu schauen, ob der anschlägt. Ansonsten wirds schwierig mit Unifi. Dann bleibt nur Handarbeit und jeden PC mal prüfen nach Malware.

Habe ich tatsächlich seit Tag 1, dieser hat auch nichts gemeldet... lediglich meine manuellen getriggerten Port Scans von meinem Zielsystem auf den Honeypo t.. Um zu testen, ob es überhaupt funzt.

Zitat von gierig

Ist ja halt auch ein Router / Gateway und keine Firewall auch wenn die grenzen verschwimmen mögen.

Mhm. Aber vermarktet wird das eher als Firewall ....

Zitat von gierig

Wenn du wissen willst wer was wo grade mit wem verbunden ist (und das natürlich ich über L3 Verbindungen geht)

„conntrack„ listet eigentlich alles auf und hat schon starke filter... ist aber halt auch nur die aktuelle Verbindung.

Da kannst du sir auch sonst "conntrackd“ anschauen, das wird normalerweise benutzt um Hochverfügbarkeits

firewalls zu bauen wo die zweite Maschine auch die die Verbindungen der Ersten kennt und im fall der fälle übernimmt

Taug aber auch zum loggen... halt nichts fertiges...

Ich checke das mal ab, danke für den Tipp!

Zitat von gierig

Wenn du ein wenig „mit Plotten“ möchtest... schau dir

iptraf-ng (apt-get install iptraf-ng zum installieren)

oder iftop ist auch schön (nicht optisch)

Alles klaro, aktuell hab ich Wireshark noch am Laufen via SSH Tunnel capture ...

Zitat von phino

Ja, dies sehe ich auch so. Allerdings wird auf den Webseiten etwas anderes verkauft. Und bei den alten USG stand es ja schon im Namen. Das security gehört gestrichen.

"All-in-one, enterprise-grade UniFi OS Console and security gateway designed to host the full UniFi application suite."

Ich habe noch eine UDM PRO am Laufen und muss sagen, sooo schlecht ist das ganze nicht.

Wie gesagt, für kleine Kunden, die nur eine Fritz!Box hatten, ist das halt doch schon eine Bereicherung.

Es gibt ja einige klein Kunden, die sich halt eine Sophos mit den ganzen jährlichen renewals nicht leisten können und fand das als Alternativ zum "start" echt top ..

+ Vermarktet wird das ja dennoch zum Teil als Security Firewall.

Zitat von defcon

theoretisch gesehen, sollte du einen IPS/IDS alert bekommen, in der Contrroller oberfläche.

Auf welcher Version FW und Network ist deine UDM?

Nope, IPS/IDS reagiert 0. Diese ist auch als IPS konfiguriert, damit gleich eine Aktion stattfindet.

→ Evtl. weil es nur eine UDM ohne Pro ist? Habe gesehen das die Pro Variante mehr threat detection hat, dazu eben port scans und DOS..