Sehr langsames Internet über OPNsense

[micneu]

oder kein windows nutzen :)

[W0nderW0lf]

Dann kann ich aber nix mehr zocken  ;D

[JeGr]

Wenn du keine Dienste auf dem WAN anbietest (Ports offen) und keine sinnlosen FW-Regeln auf dem WAN hast, die dir Löcher reissen, ist IDS/IPS auf dem WAN nicht wirklich eine Notwendigkeit. Oder brauchst du die ganzen (Fehl-)Alarme um dich täglich zu gruseln, wie böse doch die Welt da draussen ist? ;-)

Wenn deine Win-10 Rechner anfangen Malware aus dem Netz zu holen solltest du das auch auf dem entsprechenden LAN-Interface mit IDS/IPS finden...

Schön geschrieben!
Schlechter Vergleich dazu @W0nderW0lf: Du lässt dir erst ne Straßenanbindung an die Schnellstraße bauen (dein INet Zugang), setzt dich dann draußen hin und schaust zu wieviel Verkehr und böse Buben sich da auf der AB tummeln (oder zumindest auf deinem Streckenabschnitt des Providers). Die biegen nicht mal zu dir ab (weil kein offener Port) und wenn ist es nur der Postbote (bpsw. VPN frei), aber was da draußen an Idioten rumfährt! Mein Gott! :D

Manchmal ist "zuschauen" eben auch sinnlose Panik bekommen vor nichts und wieder nichts ;) Internet "Grundrauschen" hast du heute an jedem Anschluß und wird auch nicht weniger. Nur sehen es die meisten Leute nicht, weil ihre 0815 Box das eben nicht zeigt - ansonsten würden die ja alle durchdrehen ^^

[W0nderW0lf]

Schlechter Vergleich dazu @W0nderW0lf: Du lässt dir erst ne Straßenanbindung an die Schnellstraße bauen (dein INet Zugang), setzt dich dann draußen hin und schaust zu wieviel Verkehr und böse Buben sich da auf der AB tummeln (oder zumindest auf deinem Streckenabschnitt des Providers). Die biegen nicht mal zu dir ab (weil kein offener Port) und wenn ist es nur der Postbote (bpsw. VPN frei), aber was da draußen an Idioten rumfährt! Mein Gott! :D

Manchmal ist "zuschauen" eben auch sinnlose Panik bekommen vor nichts und wieder nichts ;) Internet "Grundrauschen" hast du heute an jedem Anschluß und wird auch nicht weniger. Nur sehen es die meisten Leute nicht, weil ihre 0815 Box das eben nicht zeigt - ansonsten würden die ja alle durchdrehen ^^

Witziger vergleich.. ^^ Aber meine vorhergehende Frage wurde damit noch immer nicht beantwortet. Deswegen werde ich das nun ähnlich darstellen wie du. Wenn ich sehe dass auf der Autobahn die apokalypse ausgebrochen ist und mich dazu entscheide die Jalousie runter zu fahren und meine Ohren in die Schublade zu legen, wie bekomme ich dann mit, wenn ein Dämon die Haustür auf macht?
Ich frage ganz dumm, weil mir vorgestern was merkwürdiges passiert ist, dass das DNS in meinem Netzwerk angriff. Ursache dafür war, dass ich nicht die alte config von vor meiner Neuinstallation wiederhergestellt habe, sondern meine Firewall quasi von Grund auf neu konfiguriert habe mit fast den gleichen Regeln.
Am Abend ist dann folgendes passiert:

Windows hochgefahren, bei der Anmeldung schon gewundert, dass kein Netzwerk angeblich vorhanden ist. Beim Testen hatte ich aber normal internet. Parallel dazu hatte ich meine Linux Kiste eingeschaltet und konnte nicht über ssh auf OPNsense zugreifen. In den Logs von Unbound hatte ich dann gesehen, dass mein Windows eine Domain "uk.com" innerhalb unbounds registriert hat.
Leider habe ich das Log nicht vollständig gebackupt...

Kurzer Einblick ->

2020-09-16T21:47:32   suricata[66437]   [Drop] [1:2029994:1] ET INFO Suspicious NULL DNS Request [Classification: Misc activity] [Priority: 3] {UDP} 192.168.5.3:45800 -> 192.168.5.1:53
2020-09-16T21:47:32   suricata[66437]   {"timestamp": "2020-09-16T21:47:32.448494+0200", "flow_id": 1781564980910062, "in_iface": "igb0^", "event_type": "alert", "src_ip": "192.168.5.3", "src_port": 45800, "dest_ip": "192.168.5.1", "dest_port": 53, "proto": "UDP", "alert": {"action": "blocked", "gid": 1, "signature_id": 2029994, "rev": 1, "signature": "ET INFO Suspicious NULL DNS Request", "category": "Misc activity", "severity": 3, "metadata": {"updated_at": ["2020_04_22"], "signature_severity": ["Informational"], "deployment": ["Perimeter"], "created_at": ["2020_04_22"], "attack_target": ["DNS_Server"], "affected_product": ["Windows_XP_Vista_7_8_10_Server_32_64_Bit"]}}, "dns": {"query": [{"type": "query", "id": 24554, "rrname": "_probe.uk.net", "rrtype": "NULL", "tx_id": 0}]}, "app_proto": "dns", "flow": {"pkts_toserver": 1, "pkts_toclient": 0, "bytes_toserver": 84, "bytes_toclient": 0, "start": "2020-09-16T21:47:32.448494+0200"}}

020-09-16T21:32:11   suricata[20011]   [Drop] [1:2019512:3] ET POLICY Possible IP Check api.ipify.org [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 146.112.61.104:443 -> 192.168.178.22:47162
2020-09-16T21:32:11   suricata[20011]   {"timestamp": "2020-09-16T21:32:11.803272+0200", "flow_id": 1838494712009307, "in_iface": "igb0", "event_type": "alert", "src_ip": "146.112.61.104", "src_port": 443, "dest_ip": "192.168.178.22", "dest_port": 47162, "proto": "TCP", "tx_id": 0, "alert": {"action": "blocked", "gid": 1, "signature_id": 2019512, "rev": 3, "signature": "ET POLICY Possible IP Check api.ipify.org", "category": "Potential Corporate Privacy Violation", "severity": 1, "metadata": {"updated_at": ["2020_08_20"], "created_at": ["2014_10_27"]}}, "tls": {"subject": "C=US, ST=California, L=San Francisco, O=OpenDNS, Inc., CN=api.ipify.org", "issuerdn": "O=Cisco, CN=Cisco Umbrella Secondary SubCA fra-SG", "serial": "5F:62:62:D8", "fingerprint": "99:aa:65:c1:36:10:0b:cb:30:60:6a:e0:5d:da:ad:45:30:b1:57:ea", "sni": "api.ipify.org", "version": "TLS 1.2", "notbefore": "2020-09-14T19:02:18", "notafter": "2020-09-19T19:02:18", "ja3": {"hash": "49e76101e93ff7ad65a47925a25c2cff", "string": "771,4866-4867-4865-49196-49200-159-52393-52392-52394-49195-49199-158-49188-49192-107-49187-49191-103-49162-49172-57-49161-49171-51-157-156-61-60-53-47-255,0-11-10-22-23-13-43-45-51-21,29-23-30-25-24,0-1-2"}, "ja3s": {"hash": "4408e3e8f843eb342875319a6e015e93", "string": "771,157,0-65281"}}, "app_proto": "tls", "flow": {"pkts_toserver": 4, "pkts_toclient": 5, "bytes_toserver": 789, "bytes_toclient": 3595, "start": "2020-09-16T21:32:11.725595+0200"}}
2020-09-16T21:27:04   suricata[20011]   [Drop] [1:2012692:6] ET POLICY Microsoft user-agent automated process response to automated request [Classification: A Network Trojan was Detected] [Priority: 1] {TCP} 92.123.229.216:80 -> 192.168.178.22:50617
2020-09-16T21:27:04   suricata[20011]   {"timestamp": "2020-09-16T21:27:04.016188+0200", "flow_id": 67067642884544, "in_iface": "igb0", "event_type": "alert", "src_ip": "92.123.229.216", "src_port": 80, "dest_ip": "192.168.178.22", "dest_port": 50617, "proto": "TCP", "alert": {"action": "blocked", "gid": 1, "signature_id": 2012692, "rev": 6, "signature": "ET POLICY Microsoft user-agent automated process response to automated request", "category": "A Network Trojan was Detected", "severity": 1, "metadata": {"updated_at": ["2011_04_19"], "created_at": ["2011_04_19"]}}, "http": {"hostname": "www.microsoft.com", "url": "/", "http_user_agent": "Microsoft Windows Network Diagnostics", "http_content_type": "text/html", "http_method": "GET", "protocol": "HTTP/1.1", "status": 200, "length": 1020}, "app_proto": "http", "flow": {"pkts_toserver": 3, "pkts_toclient": 3, "bytes_toserver": 292, "bytes_toclient": 1474, "start": "2020-09-16T21:27:03.963008+0200"}}

Unbound

(192.168.5.3 ist der Linux Client der die neue böse Domain auflöst)

2020-09-16T22:08:06   unbound[18654]   [18654:2] info: resolving _probe.uk.uk. A IN
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: validate(nxdomain): sec_status_insecure
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: validated DNSKEY uk. DNSKEY IN
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: query response was ANSWER
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: reply from <.> 1.0.0.1#853
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: response for uk. DNSKEY IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: 192.168.5.3 uk. DNSKEY IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: 192.168.5.3 uk. DS IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: validate(nxdomain): sec_status_insecure
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: validated DNSKEY uk. DNSKEY IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: query response was ANSWER
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: reply from <.> 1.1.1.1#853
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: response for uk. DNSKEY IN
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: resolving uk. DNSKEY IN
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: validated DS uk. DS IN
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: query response was NXDOMAIN ANSWER
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: reply from <.> 1.0.0.1#853
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: response for _probe.uk.uk. AAAA IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: resolving uk. DNSKEY IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: validated DS uk. DS IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: query response was NXDOMAIN ANSWER
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: reply from <.> 1.1.1.1#853
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: response for _probe.uk.uk. A IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: resolving _probe.uk.uk. A IN
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: resolving _probe.uk.uk. AAAA IN
2020-09-16T22:08:06   unbound[18654]   [18654:3] info: 192.168.5.3 _probe.uk.uk. A IN
2020-09-16T22:08:06   unbound[18654]   [18654:2] info: 192.168.5.3 _probe.uk.uk. AAAA IN

2 Fehler sind mir bei meiner configuration aufgefallen.
1. Durch das wiederherstellen von ausschließlich unbound DNS über ein Backup, wird nur die Allgemeine Konfiguration wiederhergestellt und nicht die zusätzlichen Einstellungen wie Blacklists mit URL's, sowie Verschiedenes > DoT Server.
2. Habe ich bei meiner DNS Portweiterleitung ein entscheidendes Detail vergessen: TCP/UDP zu setzen statt nur TCP

Lösung war 1. Windows Client vom Netz trennen und 2. OPNsense platt machen und alte config wiederherstellen.
Und da frage ich mich halt ... wäre ich ohne Suricata trotzdem besser dran gewesen?

[micneu]

Was schließe ich aus deiner Erfahrung, gut das ich kein Windows einsetze ;)


Gesendet von iPhone mit Tapatalk Pro

[JeGr]

What? Sorry ich seh in den Logs weder einen Angriff noch sonst irgendwas von außen. Ich sehe nur einen "Null DNS Request" - warum auch immer - und einen angeblichen Trojanerfund auf dem Client. Was IMHO nichts mit der Firewall zu tun hat und nichts von außen. Was hat das also mit dem Thema zu tun, dass - wenn ich eh alles von außen blocke - mir nicht noch zusätzlich Kram VPN AUSSEN anschauen muss?

Wenn mein Client infiziert ist, kommt die Attacke von innen. Nicht von außen. Das war alles, was die anderen Kollegen hier geschrieben haben. Und dein Daemon Vergleich hinkt, weil von AUSSEN alles Default GEBLOCKT ist. Also ist da keine Tür, wo irgendwer einfach reinkommen kann. Außer du machst welche auf.