Hallo alle miteinander.
Nachdem ich Anfang der Woche von Vodafone zur Telekom gewechselt bin, habe ich mich auch - rein aus Interesse und nicht aus Notwendigkeit - mit der Einrichtung von OPNsense befasst.
Ich bin derzeit als Systemadmin in Ausbildung tätig und möchte mir daher auch Alternativsysteme ansehen.
Meine OPNsense ist noch mehr oder weniger im 'Auslieferungszustand', weil ich ehrlich gesagt gerade keine wirkliche Verwendung, außer einer gewissen Transparenz meiner Verbindungen, habe.
Bei diesem Thema ist mir in den Live Firewall Logs jedoch aufgefallen, dass ich ziemlich viele eingehende Verbindungen auf meinem WAN-Interface habe, die von der 'default deny rule' behandelt werden.
Folgender Aufbau kommt bei mir zum Tragen:
WAN / Internet (Telekom BNG)
:
: TAE-Dose
:
.-----+-----.
| Gateway | Vigor 165 (Bridge Mode)
'-----+-----'
|
WAN | PPPoE durchgereicht an OPNSense
|
.------------------.
| Hyper-V Host | 192.168.254.3 (Host)
| .-----+------. | virtueller Switch für 1x LAN & 1x WAN
| | OPNsense | |
| '-----+------' | 192.168.254.1 (OPNsense VM)
'------+----------'
|
LAN | 192.168.254.0/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (Clients/Servers)
Maschinen-Info:
OPNsense 20.1.8-amd64
FreeBSD 11.2-RELEASE-p20-HBSD
4 vCores
4GB RAM
VM mit PPPoE Einwahl
DHCP und DNS werden vom Host getragen
Ich hoffe mit der Darstellung wird ersichtlich, was ich hier mache.
Da ich mich auch auf Arbeit ein wenig mit der Thematik UTM auseinander gesetzt habe, irritiert mich diese 'default deny rule' - liege ich richtig in der Annahme, dass da scheinbar jemand versucht an meinem WAN offene Ports zu scannen um sich so einen Weg ins LAN zu suchen?
Bei der von uns (firmentechnisch) eingesetzten Lösung sieht das alles anders aus und auch ein solches Aufkommen bin ich nicht gewöhnt und habe nun ehrlich gesagt ein wenig Angst, dass sich schon innerhalb der ersten Woche jemand an meinem Netz vergreift. Das würde ich natürlich gerne verhindern.
Kann mir jemand diese Umstände womöglich passend erklären?
Hallo. Erfolgen die Zugriffe den von externen Ip Adressen oder von Internen? Ich habe z.b an meiner FB einige Smart Home Geräte. Die senden einen Broadcast alle paar Sekunden, der von der Opnsense geblockt werden.
Gesendet von iPhone mit Tapatalk
Sowohl als auch, was intern auf die Schnittstelle geht, sind, wie du bereits sagtest, hauptsächlich Broadcasts.
Da ich hier einen Dual Stack Anschluss habe, gehen entsprechend auch Anfragen diesbezüglich raus.
Sorgen mache ich mir aber um die, die rein kommen, obwohl ich die nicht erwarte.
Bei mir finden sich keinerlei Smart Home Gerät und Services biete ich auch nicht an (Webserver etc.).
Anfragen bei Suchmaschinen mit Inhalt einer der externen IP-Adressen resultieren in Webseiten, die diese Adressen Botnetzen und sowas zuordnen.
Zudem fällt mir nun auch auf, dass viele Anfragen über die WAN Schnittstelle nach außen gehen. Verschiedene Ports und verschiedene IP-Adressen (was normal ist), aber die Ports, von denen gesendet wird, stimmen nicht mit den Ports, auf denen es ankommen soll, überein. Das Label dazu ist 'let out anything from firewall host itself (force gw)'.
Das geht hauptsächlich an die Ports 80, 443 und 53, was ja normal ist, aber es kommt mir komisch vor, dass das bspw. von Port 36098 an 53 geht.
Ich betreibe meine Firewall seit zwei Wochen und das ist mir auch aufgefallen dass die Ports von welchen die Anfrage kommt nicht den entsprechen wo die Anfrage hingeht. Ich habe die zwei Standard Regeln im Lan die bei der Einrichtung angelegt werden abgeschaltet und für alle Ports selber ausgehende Regeln definiert somit geht kein Traffic raus den ich nicht möchte. Alles was vom WAN rein will wird default erstmal geblockt.
Gesendet von iPhone mit Tapatalk
Kannst du mir zufällig sagen, was genau du da getan hast?
So wären bei mir schon mal weniger Einträge vorhanden, was mich beruhigen würde.
Naja um ehrlich zu sein währen es ja mehr Einträge. Bei einer default Installation darf der komplette LAN Verkehr ja nach draußen. Ich lasse nur die Ports raus die ich eingestellt habe. Damit werden mehr Sachen geblockt und es kommen mehr Einträge. Kannst du mal ein Screenshot von der log machen?
Gesendet von iPhone mit Tapatalk
So ich habe jetzt mal folgende Regel erstellt.
Block IPv4 UDP Smart_Rollos * * 6667 * * Block_Smart_Broadcast
Smart Rollos ist dabei ein Alias der die ganzen Ins meiner Smarthome Rollo Schalter enthält.
Der Punkt Protokolliere Pakete die von dieser Regel behandelt werden in der Regel wähle ich cniht aus, weil dann Logeinträger erstellt werden.
Eigentlich brauche ich die Regel nicht, da die Default einstellungen der Firewall diesen zugriff sowieso blockt. Aber wenn ich eine Deny Regel erstelle, tauchen diese Blockierungen nicht mehr in den Logs auf. Damit wird es übersichtlicher.
> Das geht hauptsächlich an die Ports 80, 443 und 53, was ja normal ist, aber es kommt mir komisch vor, dass das bspw. von Port 36098 an 53 geht.
Das ist normal, da hier ein Client mit dem Service spricht. Clientseitig wird meistens ein Port >1023 benutzt da diese nicht/wenig vergeben/reserviert sind. Serverseitig sind die Standardports (HTTP/HTTPS/DNS) <1024 in Verwendung. Also alles richtig.
> Da ich mich auch auf Arbeit ein wenig mit der Thematik UTM auseinander gesetzt habe, irritiert mich diese 'default deny rule' - liege ich richtig in der Annahme, dass da scheinbar jemand versucht an meinem WAN offene Ports zu scannen um sich so einen Weg ins LAN zu suchen?
Jein. Da sitzen nicht zig Dutzend Leute jetzt auf der Lauer prompt dass du bei der Telekom bist und wollen "dich hacken". Das ist inzwischen einfach leidiges Grundrauschen das von verschiedenen Dingen gebildet wird
* Dumm/schlecht konfigurierten Servern/Services, die in dir angrenzenden Netzbereichen auch bei der Telekom liegen und geschwätzig sind
* Uralten oder/und nicht gepatchten Server/Services im Internet die auf diversen Blocklisten stehen und einfach Mist ins Netz pulvern. Sieht man auch an diversen Ports von Uralt Viren/Trojanern oder Malware die immer noch durch die Netze geistern
* Scanner wie Sipvicious oder ähnliche, die gezielte Ports oder IP Bereiche abscannen und Schwachstellen posten mit Metasploit, Nessus, OpenVAS und Co.
* Traffic der an den vorherigen Eigentümer der IP Adresse geht
uvm. Das ist einfach (leider) grundrauschen und durch die default deny rule und deren Logging bekommt man hier eben wesentlich mehr mit als bei irgendwelchen kommerziellen Dingern, die dann ab und an mal rot leuchtende Nachrichten aufploppen lassen mit "Angriff abgewehrt blabla". Klingt geiler, bringt aber genauso wenig ;)
Vielen Dank für eure Antworten!
Ich habe mit meinen Kollegen darüber gesprochen - noch bevor ich eure letzten Antworten gelesen habe- und deren Einschätzung war genau die selbe.
Mich freut es zu sehen, dass einer der Gründe, wieso ich mir das so gebaut habe, wie ich es betreibe, auch den Sinn erzielt, der mir dabei vorschwebte - zu sehen, was so alles bei mir ankommt. Das ist mit normalen Consumer Geräten schlichtweg nicht möglich.
Damit mache ich mir hierüber erst einmal weniger Gedanken. Vielen Dank.