Beiträge von lewandowski

Zitat von gierig

Ist ja halt auch ein Router / Gateway und keine Firewall auch wenn die grenzen verschwimmen mögen.

Mhm. Aber vermarktet wird das eher als Firewall ....

Zitat von gierig

Wenn du wissen willst wer was wo grade mit wem verbunden ist (und das natürlich ich über L3 Verbindungen geht)

„conntrack„ listet eigentlich alles auf und hat schon starke filter... ist aber halt auch nur die aktuelle Verbindung.

Da kannst du sir auch sonst "conntrackd“ anschauen, das wird normalerweise benutzt um Hochverfügbarkeits

firewalls zu bauen wo die zweite Maschine auch die die Verbindungen der Ersten kennt und im fall der fälle übernimmt

Taug aber auch zum loggen... halt nichts fertiges...

Ich checke das mal ab, danke für den Tipp!

Zitat von gierig

Wenn du ein wenig „mit Plotten“ möchtest... schau dir

iptraf-ng (apt-get install iptraf-ng zum installieren)

oder iftop ist auch schön (nicht optisch)

Alles klaro, aktuell hab ich Wireshark noch am Laufen via SSH Tunnel capture ...

Zitat von phino

Ja, dies sehe ich auch so. Allerdings wird auf den Webseiten etwas anderes verkauft. Und bei den alten USG stand es ja schon im Namen. Das security gehört gestrichen.

"All-in-one, enterprise-grade UniFi OS Console and security gateway designed to host the full UniFi application suite."

Ich habe noch eine UDM PRO am Laufen und muss sagen, sooo schlecht ist das ganze nicht.

Wie gesagt, für kleine Kunden, die nur eine Fritz!Box hatten, ist das halt doch schon eine Bereicherung.

Es gibt ja einige klein Kunden, die sich halt eine Sophos mit den ganzen jährlichen renewals nicht leisten können und fand das als Alternativ zum "start" echt top ..

+ Vermarktet wird das ja dennoch zum Teil als Security Firewall.

Zitat von defcon

theoretisch gesehen, sollte du einen IPS/IDS alert bekommen, in der Contrroller oberfläche.

Auf welcher Version FW und Network ist deine UDM?

Nope, IPS/IDS reagiert 0. Diese ist auch als IPS konfiguriert, damit gleich eine Aktion stattfindet.

→ Evtl. weil es nur eine UDM ohne Pro ist? Habe gesehen das die Pro Variante mehr threat detection hat, dazu eben port scans und DOS..

Zitat von defcon

Ist bei deinem Unifi System denn IPS oder IDS aktiv?

Ja, keine Aktivität fest zu stellen ...

Zitat von defcon

Mach mal von irgendeinem Client in deinem Netz über cmd oder Linux Shell ein:

curl -A "BlackSun" http://www.google.com

Curl gemacht, Quellcode in HTML von Google zu suchen, was genau benötigst du hierbei und was ist das Ziel dabei?

Zitat

Es tut mir leid, dir mitteilen zu müssen: "Vergiss es".

Die UDM /Pro /SE sind Gateway zum Steuern von AP oder Cam. Die Funktion von FW ist nicht die Kernkompetenz von Unifi und wird extrem stiefmütterlich bedient. Selbst in der letzten EA-Version gab es noch Fehler beim Konfigurieren der FW-Regeln.

Ein Logging, wie man es von Sophos oder OPNsense kennt, gibt es gar nicht. Selbst in den OS wie Windows oder Mac ist das FW-Log besser und ausführlicher. Für zu Hause finde ich es schon bescheiden, aber für das professionelle Umfeld ist eine UDM /Pro /SE ungeeignet als FW.

Vermutlich meinst du so etwas:

Ja … Ich meine genau das von deinem Screenshot!

Es gibt immer wieder kleine Kunden, die ich sehe und diese nutzen z.b. eine Fritz!Box ... deswegen dachte ich mir, tust etwas Gutes und tauscht diese gegen eine UDM / Pro. Viel besser als eine Fbox.

Wäre das Logging nur etwas besser ... a Traum ... Da nicht jeder eine Sophos/ Fortigate sich leisten (oder Sinn macht) kann, mit den ganzen renewals usw.

Ich habe mal, was gehört, dass es in GitHub paar Repos gibt, die die UDM mit erweitertem Logging bereichern. Hat jemand davon schon mal was gehört und hat vllt dazu paar Quellen?

Eventuell könnte es helfen den Honeypot mal zu konfigurieren und zu schauen, ob der anschlägt. Ansonsten wirds schwierig mit Unifi. Dann bleibt nur Handarbeit und jeden PC mal prüfen nach Malware.

Habe ich tatsächlich seit Tag 1, dieser hat auch nichts gemeldet... lediglich meine manuellen getriggerten Port Scans von meinem Zielsystem auf den Honeypo t.. Um zu testen, ob es überhaupt funzt.

Zitat von defcon

War es denn ein IDS/IPS alert?

Die findest du bei Threat detections.

Nein, wir haben vom IPS eine Meldung erhalten, dass von unserem Netz ausgehende DDOS Attacken stattfinden, so wie Port Scans.

Unifi sagt einfach gar nichts, als wäre nichts passiert, alles im grünen Bereich. Keine Alerts.

Deswegen suche ich ein vernünftiges Logging um evtl. nach den Systemen zu suchen (die mir der ISP gegeben hat) um eben hoffentlich das Gerät im Netzwerk zu finden.

Zitat von defcon

Ich kann dir morgen mal Screenshots machen.

Danke!

Zitat von defcon

Hast du für die Firewall Rules explizit das Logging aktiviert?

Falls nein, musst du dies für jede Regel separat aktivieren...

Je nach FW-Version der UDM und Network Version, taucht das Logging dann unter System Log im WebInterface vom Controller auf.

Alternativ kannst du dir das ganze Gedöhns natürlich mit externem Syslog einsammeln und grafisch/tabellarisch aufarbeiten.

Alles anzeigen

Hi,

ich möchte ja den kompletten Traffic sehen. Dafür gibt es ja keine Regel … Für alle anderen Regeln ist das Logging dabei. Jedoch ist dort der Fall nicht dabei, um nach diesem Gerät zu suchen ...
Das unter "System log im Webinterface" kann ich nicht finden, lediglich das für Syslog Einstellungen.

Ich habe keinen Syslog Server aktuell am Laufen.

Doof ist, dass ich nach etwas suche, dass heute um 10 Uhr im Netzwerk gefunkt hat und das würde ich gerne finden in den Logs.

Hi zusammen,

ich habe eine Frage zu einer UniFi Udm. Ist es möglich, eine Art Firewall Log zu erhalten?

Habe das Problem, dass ein Gerät anscheinend Amok läuft und Port Scans durchführt nach Extern, ich es aber nicht finden kann und die UniFi lässt alle Anfragen in das Internet.

Dachte mir, kein Problem, habe auch die IP, die angefragt worden ist, vom ISP erhalten ... via SSH in /var/log/messages hereingeschaut und erschreckend festgestellt ... die logt ja nichts.

Mache ich etwas falsch? Kann ich irgendwie eine dst.ip oder src.ip finden im Log? Kenne es von anderen Anbietern wie z.b. Sopohs und Co. das man eine sehr gute einsicht auf sowas hat.

Habe auch am selben Tag noch geschaut in die "/var/log/messages" und nichts Brauchbares gefunden ...

Danke und VG

Hi zusammen,

sorry das es jetzt länger gedauert hat zu Antworten, ich habe noch mit Unifi direkt kommuniziert ..

Leider kein Erfolg, die haben mir folgendes gesagt.

Zitat

After discussing this with the internal team, I can confirm this is not an issue with the access points.

It will show power saving mode in the Network Application only when the clients are in that mode and there is no option in the access points to specify this (its client device specific).

You can consider disabling the power saving mode on the client device as well as the 'low data mode' set on the client device.

Somit ist das nicht möglich zu deaktivieren, sondern wird Client spezifisch gesteuert.

Zitat von thghh

Ich nutze in meinen Netzen UASPD und habe diese Probleme mit unseren Apple Produkten nicht. Es muss also andere Abhängigkeiten geben, die bei dir diese Probleme verursachen.

Ich habe bei mir auch noch nie dieses grüne Blatt gesehen.

Überprüfe deine Einstellungen einmal anhand der nachfolgenden Tips und Erklärungen.

https://evanmccann.net/blog/20…i-advanced-wi-fi-settings

P.S. Du solltest bitte auch einmal mitteilen, was für UniFi Geräte und Software mit welchen Softwareversionen genutzt werden.

Alles anzeigen

Ich nutze eine UDM Pro mit aktuellsten Software stand .. (v2.4.27). Mich wundert es bloß, das bei dir alles funktioniert. Ich denke aber das du eine SIM Karte in deinen Geräten hast oder?

Zitat von exit

Ähnliches hatte ich damals mit dem Diensttel. meiner Frau... Nachdem ich die Option rausgenommen hatte, war auch der Fehler verschwunden....

Klingt bei dir so als ob er die Einstellungen nicht übernimmt bzw anwendet....einfach mal den Klassiker nach der erfolgreichen Speicherung versucht? Also den Controller einmal Neustarten....

Sorry für ein bisschen OT, ich weiß hat nix mit dem TE seinem Problem zu tun...aber ist nur fix eine kleine verständnisfrage :)....ist das bei UAPSD nicht so das er ggf auch Daten zwischenspeichert und diese dann erst später übermittelt?

Dachte hätte sowas mal gelesen....

Ja, aber laut unifi, wird standardmäßig das deaktiviert ausgeliefert, was hier der Fall war. Deswegen verstehe ich es nicht. Klassiker wurde auch schon versucht, mit Speichern, provisionieren usw.

Ich habe grade noch eine andere Anlage getestet, auch UDM-Pro, ohne AP … Sprich der integrierte AP wird verwendet ... Ein WIFI Netz, UASPD deaktiviert → Gleiches Problem.

Das fällt aber nur bei denen auf, die keine SIM-Karte nutzen und nur mit WLAN verbunden sind, da kein Fallback Verbindung vorhanden ist für Push-Benachrichtigungen.

Genau, du hast es richtig verstanden, UAPSD macht eine Art Daten Zwischenspeicherung und übermittelt die Daten verzögert.

Zitat von jkasten

Ja bin ich mir sicher. Das behebt dein Problem. Warum es sich aber bei dir nicht deaktivieren lässt kann ich nicht sagen. Evtl hat sich da was aufgehängt durch das setzen der Einstellungen I. Alten und neuen Interface.

Was kannst du mir empfehlen zu machen? Ich befürchte, an den AP's liegt es nicht. Bringt es was sich zu verbinden via SSH und die config an einem der AP's zu prüfen?

→ Lustigerweise, die UASPD Funktion war schon immer deaktiviert …

Zitat von jkasten

Hmm, merkwürdig... Sonst aktiviere das einmal, warte bis die APs sich alle neu provisioniert haben und deaktiviere es wieder. Eventuell klemmt da irgendwas.

Hat leider nicht funktioniert. Bist du dir sicher, dass es überhaupt möglich ist dies zu deaktivieren?

Kann es sein das es iOS seitig ein Thema ist? Könnte mir dies zumindest vorstellen, eine Art Batterie spar Methode für das iPhone, damit es länger überlebt.

Zitat von jkasten

Schau mal in der neuen Ansicht ob es da auch deaktiviert ist. Zu finden untern WLAN und dort im jeweiligen Netz.

Das habe ich bereits probiert, ist schon deaktiviert ...

Zitat von jkasten

Powersafe deaktivieren. führt nur zu den von dir genannten Problemen.

Hi jkasten,

kannst du mir verraten, wo ich die Funktion finde? Ich hab schon danach gesucht und ich finde einfach nichts...

EDIT:

Alle meine WLAN-Netzwerke haben bereits UAPSD deaktiviert ...

Viele Grüße

Damian

Hallo zusammen,

ich habe da ein Problem mit meinen iOS-Geräten. Es scheint so, dass diese die WIFI Verbindung zu den UAP's verlieren/beenden, da diese im Energiesparmodus läuft.

Unter Clients sehe ich bei den betroffenen Geräten immer so ein grünes Blatt "Power save enabled".

Wenn dieses an ist, dann funktioniert eine APP, die VoIP Gespräche tätigt, nicht mehr. Sobald das iOS Aktiv ist, verschwindet die "Power Save enabled" Funktion in der Übersicht und die APP Funktioniert.

UAPSD ist deaktiviert und habe es auch nur in 2,4GHZ aktuell am Laufen. Alles ohne Erfolg.

Hat jemand eine Idee oder ist es überhaupt möglich diese Funktion zu deaktivieren?

Besten Dank!

EDIT: Hier ein Bild, was ich meine.