Schützt die FW den Router ?

Es gibt 10 Antworten in diesem Thema, welches 814 mal aufgerufen wurde. Der letzte Beitrag () ist von Tomcat.

    Hi

    ich habe bei mir in den Logs festgestellt das der Router von eine IP Kontaktiert wird um OpenVPn aufzubauen welche offentsichtlich von DHSILD für alle NAT Rechner blockiert wird.


    Soll heisen DSHILD schützt anscheinend nur die internen Rechner und nicht den Gateway. Was dann auch für andere Teile des Schutzes gelten könnte.


    Kann das jemand nachvollziehen ? Wenn ja müsste das für alle gelten denn ich denke das macht Ubiquity bei allen Kisten gleich. Also auch eine UDR/UDM Pro/etc wäre meiner Meinung nach von dem Thema betroffen.


    Anbei mein Post bei UI: https://community.ui.com/quest…-b5c2-19b697b66b02?page=0


    Gruss

    Solltest du mit DHSILD oder DSHILD den DNS Schild meinen, wirst du gleich enttäuscht sein.

    Denn dieser sorgt nur für etwas Privatsphäre deiner DNS Anfragen gegenüber deinem

    Provider bzw. über den gesamten Weg zum jeweiligen DNS Anbieter.


    Er nimm keinen Einfluss auf Verbindungen gleich ob raus oder rein.


    Die Meldungen die du im UI forum gepostet hat klingen eher in das das 08/15 rauschen

    Dem man Hemden Tag ausgesetzt ist in dem Fall Evt. ein http Scanner der prüft

    Ob da da ein Webserver hintersteckt (oder irgendein anderen Dienst). Mit den Anfragen kann der VPN nichts anfangen und wundert sich über Müll.

    Wie soll denn die Firewall auch an der Stelle schon blocken, um das zu können muss sie die Verbindung ja erstmal annehmen. Das macht jede Firewall auf der Welt so.

    Hi,

    jkasten , gierig


    sorry sehe ich anders und machen auch Firewalls anders, Normalerweise kommst Du bei einer Firewall nur über ein dediziertes Interface an die Konfigurationsoberfläche. Am besten sogar Physikalisch getrennt. Da wir hier nur eine FW Funktion haben geht das nicht. Aber ich lasse doch IPs von denen ich ausgehe dass Sie schlechtes im Sinnhaben nicht an mich ran.


    Wenn ich weiss dass das ein Arschloch ist rede ich doch nicht mit ihm. Besonders wenn man bedenkt die Firwall blockiert ja schon das durchleiten des Verkehrs, wie man hier sieht.



    Aber selber läst Sie es zu das der Idiot erst mal checken kann was denn so an SW läuft. Könnte ja ne OpenVPN SW sein mit nem Bug und dann kommt man ja vielleicht rein.

    Und als erstes wird hier eine " unsupported key-method" probiert. Mmm ob das schon so ein Check war ?


    Code
    2024-03-02T17:05:06+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:35184 Peer tried unsupported key-method 1
2024-03-02T17:05:06+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:35184 TLS Error: unknown opcode received from [AF_INET]167.94.138.34:35184 op=1
2024-03-02T17:05:06+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:35184 Fatal TLS error (check_tls_errors_co), restarting
2024-03-02T17:05:07+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:45500 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]167.94.138.34:45500
2024-03-02T17:05:07+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:45500 Fatal TLS error (check_tls_errors_co), restarting
2024-03-02T17:05:13+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:43608 Connection reset, restarting [-1]
2024-03-02T17:05:13+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:60410 Connection reset, restarting [0]
2024-03-02T17:05:17+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:41158 Connection reset, restarting [0]
2024-03-02T17:05:17+01:00 Gatekeeper openvpn[3056]: 167.94.138.34:35136 Connection reset, restarting [-1]


    Was ich meine ist das hier:

    Zitat von tesme33

    Aber selber läst Sie es zu das der Idiot erst mal checken kann was denn so an SW läuft.

    Sorry, verstehe ich richtig das du dich darüber aufregst das dein VPN server der du laufen hast von extern

    angesprochen wird ?


    Zitat von tesme33

    Aber selber läst Sie es zu das der Idiot erst mal checken kann was denn so an SW läuft. Könnte ja ne OpenVPN SW sein mit nem Bug und dann kommt man ja vielleicht rein.

    Aber woher soll den deine der Firewall Part auf deinem Router wissen das der Böse ist und nicht legitim ?


    Zitat von tesme33

    Was ich meine ist das hier:

    IPs with a Bad Reputation

    DSHIELD

    Ahh IPS, alles klar danke...


    Wie kommst du bloß darauf das ein IPS system (oder irgendwas anderes) ALLES „Bösen“ Ip kennen kann

    die Scantest machen ? Oder anders, warum sollte jemand grade diese IP, die zu einem

    "The Leading Internet Intelligence Platform for Threat Hunting and Attack Surface Management."

    Unternehmen gehören die sich auf die Fahne geschrieben haben Unsichere Dinge zu finde ?


    Overall klingt es für mich als wenn du das Übliche Grundrauchen im Internet überschätzt.

    Jeden Tag wird deine IP ein paar duzend mal gescannt und natürlich klopfen alle an

    um zu schauen ob man reinkommt...

    Hi gierig



    Zitat

    Sorry, verstehe ich richtig das du dich darüber aufregst das dein VPN server der du laufen hast von extern

    angesprochen wird ?

    Aber woher soll den deine der Firewall Part auf deinem Router wissen das der Böse ist und nicht legitim ?



    Aufregen tue ich mich nicht. Es gibt keine Fehlerfreie SW. Wenn aber jemand sagt man ist geschützt vor einer gewissen Menege von IPs. Welche schon aufgefallen sind dann würde ich keine halbgare Lösung erwarten.


    Keiner sagt dass man alle IPs kennen muss aber das heist nicht das man nicht sein Wissen nutzen sollte um vielleicht das eine oder andere Prozent mehr an Sicherheit zu bekommen. Und bei der aktuellen Implementierung kann man nur den Kopf schütteln. Oder sich einfach denken ist ja nur ein 130€ Router. Der kanns halt nicht besser. Oder man hat halt nicht für mehr bezahlt. Ne PFSense / OPNSense ist da konsequenter.



    Zitat

    Unternehmen gehören die sich auf die Fahne geschrieben haben Unsichere Dinge zu finde ?


    Da darf ich nun aber grinsen. Bestätigst Du hier dass der Router unsicher ist. :smiling_face:


    Hast du Dir die Zeit genommen bei Dir mal zu schauen ?

    Zitat von tesme33

    Wenn aber jemand sagt man ist geschützt vor einer gewissen Menege von IPs. Welche schon aufgefallen sind dann würde ich keine halbgare Lösung erwarten.

    ...

    ...

    Ne PFSense / OPNSense ist da konsequenter.

    Wer oder was sagt das die Ip schon aufgefallen sind außer dir ? (Quelle ?) Wer oder was bestimmt was auffällig ist und wo genauist der Schwellwert erreicht wo eine IP gut oder böse ist ? Wie genau ist sind PF und Open-sense da Konsequenter ?

    Gibt es dort Filterleisten die die IP mit eingebunden hat als „böse“ Klassifizieren ?

    Sind da alle IP auf der Liste dann auch wirklich böse ? Was passiert wenn ich sage

    Nein die IP sind gut, ich geb den ja mein Geld zum scannen ?



    Zitat von tesme33

    Da darf ich nun aber grinsen. Bestätigst Du hier dass der Router unsicher ist

    Wie kommst auf diese Interpretation ?

    Die Aussage war das die IP die du im LOG hast zu einem Unternehmen gehört. Deren Dienstleitung es ist

    dinge zu scannen und Lücken zu finden. Warum die Grade heiß auf DEINE Ip sind ist dann Dir überlassen.

    Das hat nicht mit der UI gefaffel zu tun , das würde auch passieren wenn du im Gegenwert eines Kleinwagens

    da ne Cisco ASA hinstellst.


    Aber JA. Keine Zertifizierung von Irgendwem, kein Audit von Irgendwem anderen.

    Relativ viel Kram on the Box die üblicherweise von Hintergeschaltetet eignen Systemen Übernommen

    bei den UDM Büchsen noch ein cam server, Telefonanlage, Tür Access Steuerung alles auf einem

    Router der in 90% direkt am internet hängt...


    Zitat von tesme33

    Hast du Dir die Zeit genommen bei Dir mal zu schauen ?

    Was soll ich schauen ? Mein Router hat keinen Ports für die Öffentlichkeit geöffnet.

    Fertig :smiling_face:


    Aber gut ist ja nicht das einzige was direkt am Internet Hängt:

    Heute 04.03, von meinen „Kommunikation“ Server (root server für Mail & VOIP)


    SSH: 532 Login versuche von 81 IP Adressen. Schade kein passender username dabei,

    root wurde schon lange nicht mehr versucht.

    ist mir egal...sollen sie doch funktioniert eh nur MIT den passenden KEY.


    SMTP heute ganz ruhig..so im Durchschnitt 1-3 nachrichten In der Minute die ich Ablehnen weil irgendein Honk

    testet ob ich nen OpenRelay betreibe, bzw. er es per SMTAuth Versucht ne kennung zu finden die ihm erlaubt über mich

    zu Relayen....Die kommen immer schubweise.. am 15 des letzen Monats waren es dann auch mal 500 per min für ein paar Stunden


    das ist aber halt alles nur rauchen im Wald.

    Zitat von gierig

    Overall klingt es für mich als wenn du das Übliche Grundrauchen im Internet überschätzt.

    Jeden Tag wird deine IP ein paar duzend mal gescannt und natürlich klopfen alle an

    um zu schauen ob man reinkommt...

    Ein ehemaliger Kollege von mir ( Firewall-Admin ) hat mal Statistiken gemacht - zu unserem Firmennetzwerk wurden rund 200.000 Portscans gemacht - pro Tag wohlgemerkt - das ist normales Grundrauschen, da kann man eh nichts gegen machen.

    Der Sinn dieser Portscans ist es nun mal offen Ports zu finden um bei denen wiederum dann Einbruchsversuche zu starten.

    Ergo: macht eure Firewall von aussen dicht und das Problem ist erledigt, jeder offene Port ist ein potentielles Angriffsziel.
    Wenn man wirklich Zugang von aussen benötigt, sollte man weitere Maßnahmen ergreifen, wenn möglich, z.b. GeoBlocking um Anfragen aus bestimmten Ländern zu sperren.


    Eine PFSense / OPNSense ist da nicht nur konsequenter, sondern macht das, was jede gute Firewall macht - alles erst mal per Default blocken, frei nach dem Motto "Was nicht erlaubt ist, ist verboten" und das richtig so.

    Wenn ich auf meiner OPNSense ein VLAN neu einrichte, dürfen die Clients darin erst mal gar nichts, nicht mal ins Internet.

    Ich hab zwar bei mir VPN offen aber auch Geoblocking aktiviert mit Limitierung auf Deutschland, alle anderen Länder sind gesperrt - kostet gewaltig Resourcen, weil die Firewall die IP-Listen im Arbeitspeicher haben muss.

    Wichtig ist doch eigentlich eher, dass der Admin weiß wie seine Firewall tickt und das beim Administrieren berücksichtigt.


    Wer in Routern/Firewalls Ports öffnet oder auf Servern öffentlich zugängliche Dienste anbietet, dem sollte bewusst sein, das die Frage nicht lautet ob er angegriffen wird, sondern wann. In der Regel dauert es nur wenige Sekunden bis die ersten Scans und oder Loginversuche erfolgen. Keine IP ist noch jungfräulich. Da kann man wohl eher davon ausgehen, dass jede IP inzwischen in irgendwelchen Datenbanken für offene Ports und Dienste (gerne mit Art des Dienstes und der angetroffenen Software inkl. Version) auftaucht. Wie aktuell das Ganze ist, ist eine andere Frage.


    Wilde IP Listen, die irgendwer aufgestellt hat, als Filtergrundlage sind ganz nett - bringen aber auch eine Menge false positives ... Das ist halt immer so, wenn man sich auf Daten anderer verlassen soll/muss/kann.


    Zusätzliche Schutzmaßnahmen wie VPN, GEOBlocking u.ä. sollte man nutzen sofern möglich. Im Privatbereich sollte das meist klappen. Im Bussinessumfeld kommt es drauf an. Wenn Mitarbeiter durch die ganze Welt tingeln, wird es schwieriger. Heute Frankreich, morgen Dubai, übermorgen China ... Wild rumfilternde Internetanschlüsse in irgendwelchen Hotels ...

    Zitat von Tomcat

    Eine PFSense / OPNSense ist da nicht nur konsequenter, sondern macht das, was jede gute Firewall macht

    Just to say. Unifi gateways sind Router mit Firewall Funktion. Die PF und Open (Oder halt auch Checkpoint, sonicwalls, Cisco ASA) sind Firewalls die auch Routen können. Das klingt banal, erklärt aber genau den Ansatz warum

    da erstmal alles VLAN miteinander Sprechen können, denn es ist die ureigne Aufgabe eines Routers

    zu Routen (war auch noch nie anders)


    Ansonsten stimmt es natürlich.

    macht euren kram dicht wenn ihr nicht will das jemand anklopft.

    Zitat von DoPe

    Wilde IP Listen, die irgendwer aufgestellt hat, als Filtergrundlage sind ganz nett - bringen aber auch eine Menge false positives ... Das ist halt immer so, wenn man sich auf Daten anderer verlassen soll/muss/kann

    Korrekt, bestes Beispiel sind die ganz auf Github veröffentlichten Filterlisten für den PiHole - manchmal hab ich den Eindruck, das die Ersteller einen Wettstreit haben, wer die meisten Domains auf seiner Liste hat. Da werden normale Internetdienste geblockt und man wundert sich, das zuhause nichts mehr funktioniert.

    Ich nutze bei mir nur noch die offiziellen Listen, die von AdGuard kommen und nicht den ganzen Müll, der im Netz rumliegt, die machen nur Probleme.

    Das selbe gilt eben für GeoBlocking oder Spamfilter-Listen.