Liebe OPNsense Gemeinde,
ich habe eine für mich beunruhigende Entdeckung gemacht, und brauche dringend euren Rat !
Es werden Unmengen an Daten (ca. !!! 500 GigaByte !!! pro Woche) über HTTPS(443) von meiner OPNsense-Installation an mehrere CloudFlare-Server gesendet.
Folgende CloudFlare-Server habe ich identifiziert:
104.26.4.15
104.26.5.15
172.67.75.166
Sophos-Firewall wöchentlicher Bericht:
(https://www.its-althen.net/assets/images/temp/Sophos-20201025.png)
Live-Ansicht OPNsense:
(https://www.its-althen.net/assets/images/temp/opnsense-20201026.png)
Die ersten Pakete scheinen ab Ende September an die CloudFlare-Server gesendet worden zu sein.
Möglicherweise im Zusammenhang mit einer Aktualisierung von OPNsense und deren Plugins zu dieser Zeit.
Hintergrund:
Zurzeit läuft bei mir eine Sophos-Firewall als Bollwerk gegen das Internet.
Ich wollte schon vor geraumer Zeit auf OPNsense umstellen, hatte aber zu wenig Zeit, die wesentlichen Einstellungen zum Laufen zu bringen.
Daher lief die OPNsense (ist derzeit ausgeschaltet) zu Testzwecken hinter meiner Sophos-Firewall.
Der Datenverkehr in meinem LAN läuft zu meiner fragwürdigen Beruhigung hauptsächlich verschlüsselt über SSL (Server/Client zu Server etc...) ab.
Im LAN wird ausschließlich die Sophos als Gateway verwendet.
Hat irgendjemand eine Idee, welche Daten da ausgetauscht worden sein könnten?
Leider geben sowohl die Protokolle auf OPNsense als auch Sophos keine tiefergreifenden Informationen her, um wieder sicher schlafen zu können.
Habt Ihr ähnliche Beobachtungen gemacht?
Gefühlt würde ich fast annehmen, dass da ein Sniffer im Spiel ist.
Ich danke euch schonmal vorab, für eure Ratschläge und Meinungen.
Da das mein erster Post in diesem Forum ist, bitte ich schon jetzt um Nachsicht, wenn ich ggf. bestimmte Regeln nicht eingehaltene haben sollte.
Gruß
Andreas
Schalte doch mal Insight an und versuche den internen Host zu finden.
Sieht für mich nach einem S3 Backup aus das von intern läuft.
OPNsense selbst sendet nix, wieso auch :)
Der Grund wird nicht deine OPNsense sein, sondern ein Client dahinter.
Schau mal auf der OPNsense nach, welcher Client da soviel Traffic verursacht.
Vielen Dank für eure schnelle Rückmeldung.
Das ging ja schnell. :)
@mimugmail:
Meine Clients und Server nutzen für Backups nur die internen Cloud-Server.
Die Nutzung eines externen Cloudspeichers lehne ich auf Grund meiner Paranoia grundsätzlich ab.
Aus dem Insight geht hervor, dass OPNsense(IP) über LAN direkt mit CloudFlare kommuniziert.
(Siehe eingangs gepostetes Image "Etikett" = Live-Ansicht OPNsense / Leider muss man den Post nach rechts scrollen, um das gesamte Image zu sehen)
@lfirewall1243:
Wie bereits eingangs erwähnt, ist mein Standard-Gateway die Sophos.
DNS und DHCP werden von meinem Samba-Server bereitgestellt.
Die Live-Ansicht zeigt auch keine nennenswerte Traffic von gelegentlichen Client-Anfragen.
Mir ist das ganze ein Rätsel und eingedenk der Datenmenge sehr Beunruhigend.
$ dig db-ip.com
[...]
;; ANSWER SECTION:
db-ip.com. 263 IN A 104.26.5.15
db-ip.com. 263 IN A 104.26.4.15
db-ip.com. 263 IN A 172.67.75.166
@pmhausen:
Danke für die Info. Ist ja interessant.
Jetzt frage ich mich nur, warum OPNsense von sich aus so eine immense Traffic (ca. 500GB / Woche) zu db-ip.com erzeugt. ???
In der Tat nutze ich in OPNsense die GeoIPLocation um diverse Länder auszusperren.
ich bin mal neugierig:
1. bitte einen grafischen netzwerkplan
2. ist die sense im privaten oder firmen einsatz
3. solltest du die sense privat einsetzen, warum zuhause geoip?
@micneu:
Ich bin auch immer neugierig. ;)
1. (https://www.its-althen.net/assets/images/temp/Netzplan.png)
2. Im privaten Einsatz zuhause.
3. Ich setze GeoIp nur gegen das WAN ein (Sophos + OPNsense)
Auch auf die Gefahr der Wiederholung:
Es ist geplant, früher oder später die Sophos gegen OPNsense zu ersetzen.
Auf Grund des Zeitmangels und des fehlenden KnowHow's sitzt die OPNsense zum Testen hinter der Sophos.
Wie ist eigentlich die Syntax zum Einbinden von Images (height/width) ???
ich habe bedenke das dein geoip wirklich in deinem anwendungsfall sinnvoll ist.
geoip macht sinn wenn man dienste die man anbietet nur aus bestimmten regionen nutzbar sein sollen, so was wie seiten aus russland sperren macht keinen sinn, den auch eine deutsche seite könnte da liegen.
Der Traffic kommt nicht von deiner OPNSense sondern von irgendeinem Client.
Da deine Sophos dein Gateway auf dem WAN Interface sein wird, wird auch von der OPNSense, wenn nichts anderes konfiguriert, ge SNATted und dann sieht das auf deiner Sophos halt so aus als wäre die OPNSense der Übeltäter.
@micneu:
Es geht mir weniger um den Ausgangsverkehr als um den Eingangsverkehr.
Meine Sophos-Protokolle zeigen ganz deutlich, dass meine internen Portale (NAS-Dienste, Mailserver etc... über den Revers-Proxy) ständig von bestimmten Ländern gehackt werden sollen.
Daher sperre ich gezielt bestimmte Länder und identifizierte Hacker IP-Bereiche (z.b. Hetzner) für den eingehenden Datenverkehr aus.
Meine eingehenden Ports habe ich entsprechend ebenfalls auf die notwendigsten reduziert.
@hazard:
Wie bereits im Eingangspost gezeigt (Siehe Image "Live-Ansicht OPNsense:") stammt die Traffic eindeutig von der OPNsense.
Zitat: "let out anything from firewall host itself". Die Quelle ist OPNsense.
Schalte doch mal testweise GeoIP gedöns ab. Macht meines erachtens in den meisten Fällen eh nicht viel Sinn.
Wenn du keine ALLOW Regeln auf der WAN Seite hast eh nicht. Ansonsten reichts ein gutes Regelmanagement, IDS und WebProxy mit ClamAV. GeoIPs machen auf dauer nur Probleme, da braucht ein Dienstanbieter nur mal die Server wechseln, und zack wundern sich alle warum nix mehr läuft.
Kann auch sein, dass ein Client nach CloudFlare funkt und durch die GeoIP Funktion wird das als OPNsense eigener Traffic angezeigt.
Und nur weil deine Sophos anzeigt das 429GB von der OPNsense kommen, heißt es nicht, dass es OPNsense eigener Traffic ist. Wahrscheinlich ein Client der so viel Lädt und OPNsense fragt schaut nur den GeoIP nach (LiveView).
Denn Live View zeigt nicht den Traffic an.
Schau mal in der OPNsense unter Berichterstattung -> Datenverkehr. Da müsste dann ja einige GB am Tag von der OPNsense selbst kommen
Let out anything by default kann alles sein, auch Traffic der durchgeht. Einfach ein Feature nach dem anderen Abschalten.
Mach doch Geo auf der Sophos? Dann haste den Dreck gleich da weg
Quote from: merkosh on October 28, 2020, 12:48:15 PM
@pmhausen:
Danke für die Info. Ist ja interessant.
BTW: ich hab von denen heute auch zum ersten Mal gehört. Dein Problem hat mich neugierig gemacht und ich hab Deine Ziel-IP-Adressen in Duckduckgo geworfen ... ;)
Gruß
Patrick
Liebe Mitglieder,
ich möchte mich bei allen Beteiligten für Ihre Ratschläge und Hilfe bedanken.
Leider komme ich auch aus zeitlichen Gründen nicht weiter.
Dank "pmhausen" und dem Hinweis auf "db-ip.com" gehe ich bis auf Weiteres davon aus, dass keine wesentlichen Daten übertragen worden sind.
Sehr bedenklich finde ich die Tatsache, dass es mir nicht möglich ist, die genaue Ursache zu finden.
Und nein, kein Client kommuniziert mit OPNsense.
Die OPNsense bleibt jetzt erst mal aus.
Meine Sophos macht ihren Job inklusive Aussperren mit GeoIP einwandfrei, auch wenn ich das Design und den Frontend von OPNsense deutlich ansprechender finde.
Ich denke, der Thread kann geschlossen werden.
Nochmals danke an alle.
Gruß
Andreas
Da ist doch schon etwas unfair, wenn nicht zu sagen unverschämt, eine haltlose Behauptung aufzustellen und das Thema aus Zeitmangel abzuschließen.
Es gibt genügend Methoden die Quelle zu finden, wenn man diese nicht kennt sollte man auch nicht mit dem Finger auf Schuldige zeigen.
Sorry wenn ich so direkt bin.
Wurde unter Umständen die Proofpoint bzw. ET Pro Telemetry Funktion aktiviert? Die optionale und händisch zu aktivierende Funktion sendet ja bewusst Daten in die Cloud.
https://docs.opnsense.org/manual/etpro_telemetry.html
Kann auch die Installation von Sensei sein, oder einfach das Update von 20.7 auf 20.7.4 .. es kann alles mögliche sein
Da sind mehrere Punkte mehr als "fragwürdig". Schon die Aussagen wie "ständige Hackversuche von XY Ländern" als Argument für GeoIP halte ich für mindestens zu hinterfragen. Nur weil es Grundrauschen und Traffic von überall her gibt und die Sophos ggf. irgendwas gleich als "Angriff" ins Log blubbert, muss noch lange nicht heißen, dass es auch wirklich einer war. Was bestimmte Hersteller oder IDS/sonstige Systeme so als "Angriff" werten ist sehr variabel. Da reicht bei manchen schon ein Portscan. Da stimme ich eher Mic zu und frage mich ob da der GeoIP Sinn macht.
Davon abgesehen ist das Blaming wo der Zugriff herkam schon enorm doof. Jetzt bleibt es so stehen, als ob die OPNsense was falsches/böses tut nur weil Zeitmangel, Desinteresse oder ne andere Kiste den Job eh schon machen. Man hätte auch einfach mal alles abdrehen können, was GeoIP macht und sehen ob es immer noch auftritt. Und hinterher wars dann doch ne Kiste die hinter der Sense stand. Hatten wir alles schon :)
Quote from: JeGr on November 03, 2020, 10:23:01 AM
Da sind mehrere Punkte mehr als "fragwürdig". Schon die Aussagen wie "ständige Hackversuche von XY Ländern" als Argument für GeoIP halte ich für mindestens zu hinterfragen. Nur weil es Grundrauschen und Traffic von überall her gibt und die Sophos ggf. irgendwas gleich als "Angriff" ins Log blubbert, muss noch lange nicht heißen, dass es auch wirklich einer war. Was bestimmte Hersteller oder IDS/sonstige Systeme so als "Angriff" werten ist sehr variabel. Da reicht bei manchen schon ein Portscan. Da stimme ich eher Mic zu und frage mich ob da der GeoIP Sinn macht.
Davon abgesehen ist das Blaming wo der Zugriff herkam schon enorm doof. Jetzt bleibt es so stehen, als ob die OPNsense was falsches/böses tut nur weil Zeitmangel, Desinteresse oder ne andere Kiste den Job eh schon machen. Man hätte auch einfach mal alles abdrehen können, was GeoIP macht und sehen ob es immer noch auftritt. Und hinterher wars dann doch ne Kiste die hinter der Sense stand. Hatten wir alles schon :)
Das werden wir aus Zeit Gründen nur leider nie erfahren