OPNsense Forum
International Forums => German - Deutsch => Topic started by: docb on February 26, 2019, 07:47:35 am
-
Hallo zusammen,
ich hatte gestern eine Steuerungsanfrage auf meinem TV, die ganz sicher von niemanden aus meinem Haushalt ausgelöst wurde. Zudem habe ich von Microsoft eine Email bekommen, daass jemand meinen Account aus Russland benutzt. Jetzt würde ich natürlich gerne schauen, was gestern Abend auf meinen TV zugegriffen hat. Wenn ich auf Firewall: Protokolldateien: Originalansicht gehe und dort nach der IP vom TV suche, kommt kein Ergebnis - meine Befürchtung, dass die Datei schon wieder überschrieben wurde, weil zu viele Einträge waren. Daher meine Fragen:
- wie / wo sucht man denn üblicherweise, wenn man etwas Verdächtiges entdeckt?
- kann ich noch wo suchen außer in den Firewall Protokolldateien?
- Ich habe ca. 70 Netzwerkgeräte, wie groß sollte ich die Logdateien machen, damit ein paar Tage gespeichert bleiben?
Viele Grüße
doc
-
Hallo docb,
Du wirfst gerade zwei Dinge in einen Topf. Kümmern wir uns mal um deine eMail.
Kam sie tatsächlich von Microsoft? IP-Adresse überprüft? Wenn JA - dringend Passwort ändern!!!
Wenn NEIN - Mail löschen.
Gib deinem TV einfach eine feste IP-Adresse. Jetzt kannst du kontrollieren wohin dein TV telefonieren will und die Regeln entsprechend anpassen. Speichere deine Protokolldateien auf eine Synology und du kannst sie noch nach Jahren durchsuchen... ;-)
Viele Grüße
-
;-) die zwei Dinge habe ich nur in einen Topf geworfen, um mein aktuelles Bedrohungsgefühlt zum Ausdruck zu bringen...
Email war von MS, im MS-Account war auch der Zugriff aus Russland dokumentiert. Das ist erledigt.
Der TV hat eine feste IP und es geht nicht drum, dass der telefoniert, sondern dass jemand auf ihn zugreifen wollte (Steuerungsanfrage, die ich über die Fernbedienung abgelehnt habe). Jetzt wüsste ich natürlich gerne, von welcher IP gestern auf meinen TV um ca. 19:50 Uhr zugegriffen wurde.
Viele Grüße
doc
-
Hallo docb,
"telefoniert" war als Synonym gemeint für mit wem spricht dein TV.
Du kannst entweder via Shell die Datei /var/log/filter.log einsehen oder via Weboberfläche unter Firewall/Protokolldateien/Originalansicht nachsehen.
Wenn Du keine Einträge mehr um diese Uhrzeit im Protokoll hast, dann wurden sie schon überschrieben.
Falls du genügend Speicher hast, kannst du die Protokollgröße heraufsetzen (Standard sind ca. 500 kb).
Sollte nicht genügend Speicher zur Verfügung stehen ist die Auslagerung der Protokolldateien auf eine Synology vielleicht interessant.
Ich dachte die OPNsense ist von haus aus so eingestellt, das nichts reinkommt, was nicht ecxplizit freigegeben ist.
Viele Grüße
-
...ja, aber wenn eine M$-Kiste infiziert ist nützt das garnix. Ich würde mich mal gezielt um Windows-Mühlen im Netzwerk kümmern. Und deren Internettraffic protokollieren/unterbinden.
-
@uneu: mist, dann war die Größe der Protokolldatei zu klein - hab mal auf 1000000 (hoffentlich wirklich Byte und nicht kB ;))erhöht, Speicherplatz ist zu genüge da. Tja und ich hoffe, dass nichts reinkommt, auf der WAN Schnitstelle sind nur der https port und der vpn port freigegeben. Aber über die lässt sich bestimmt auch viel Humbug treiben.
@chemlud: jo, die stehen unter besonderer Beobachtung... wobei die Geschichte echt merkwürdig ist. Angeblich hat sich jemand in den Account eingeloggt - ich habe aber 2FA also kann ich mir das kaum vorstellen (aber gut, wer weiß). Die Infos die MS dazu gibt sind aber auch echt dürftig... Gerät/Plattform: Windows, Browser/App:
Firefox, IP-Adresse: 178.206...., Ungefährer Standort: Russische Föderation... wäre halt toll zu wissen, ob erfolgreich angemeldet oder nicht ;-)
Komisch ist vor allem die Kombination der beiden Dinge am gleichen Abend.
Viele Grüße
doc
-
@auf der WAN Schnitstelle sind nur der https port und der vpn port freigegeben
Du betreibst einen Webserver? In einem eigenen Netz oder einer DMZ?
2FA womit? eMail?
"If you turn on two-step verification, you’ll get a security code to your email, phone, or authenticator app every time you sign in on a device that isn't trusted."
Wenn dein eMail kompromittiert ist (damit fängt's normalerweise an), dann würde das nix helfen. Auch eine SIM-Karte kann man kopieren. Aber warum hat man überhaupt einen Accunt bei denen? :-D
Würde mr mehr Sorgen um Amazon/eBay/Bank etc. machen...
-
Der Webserver ist auf der gleichen Maschine (alles ESXi) und die verschiedenen Dienste werden über HAProxy auf den Server geproxyt (auf die jeweilige IP / den Port des Services). Das ist (zumindest soweit ich Firewall-Anfänger das verstehe UND kann) wohl die sicherste Methode. Die Dienste sind zudem mit htpasswd abgesichert.
Die 2FA mit Authenticator App - wobei man das ja umstellen kann auf Email. Die ist aber (fast sicher ;)) nicht kompromittiert, das läuft über Google mit 2FA und da bekomme ich jede Anmeldung gemeldet. Da gab es keine. Und die ganzen anderen Accounts sind hoffentlich auch "ohne", die haben alle ganz andere Passwörter (keepass). Ich denke für einen Hobby-PC-Freak ist das ganz ordentlich abgesichert. Aber ich lerne gerne immer dazu. Ich hoffe, dass das aus Russland also nur ein Anmeldeversuch war, der hoffentlich gescheitert ist. Und den Account habe ich wegen OneDrive... Ich habe auch schon mal ne Nextcloud hinter OpnSense überlegt, aber ich traue Microsoft noch eher zu, die Daten zu sichern (noch dazu alle mit Boxcryptor verschlüsselt) als mir selbst beim Betrieb der OPNSense. Dafür bin ich da zu noobig.
Viele Grüße
doc
-
Viel Glück! ;-)
-
Hallo docb,
zum Abschluss noch folgende Tipps:
TV: Mach den Port für IP-Steuerung dicht - zumindest für den Netzwerkverkehr von und zum WAN-Netzwerk.
Webserver: Besser in einem eigenen Netz betreiben.
Sicherheit: Mal deine 70 Geräten nach verdächtigem Verhalten überprüfen (z.B. @chemlud: "Windows-Mühlen"),
Konzept erstellen, Regeln anpassen.
Viele Grüe und viel Glück dabei
Udo