WAN Interface logs

[ziegler]

Hallo,

mein opnsense funktioniert eigentlich so wie sie soll.
Nur eine Sache verstehe ich nicht. Ich kenne es z.B. von früher, der IPCop, da konnte ich immer in den LOG's
sehen wer so von aussen versucht meinen WAN IPzu scannen usw.

Hier in der OPNSense habe ich aber NULL logs, es wird anscheinend nichts mitgeloggt.
Das bots nicht meine WAN IP scannen glaube ich aber nicht.

Muss das logging auf deem WAN  noch extra aktiviert werden und ich habe nur den Punkt übersehen?

Vielen Dank

[Patrick M. Hausen]

System > Settings > Logging

[ziegler]

Vielen Dank :-)
Das habe ich irgendwie übersehen.

Wenn ich auswähle --> Deaktiviere das Schreiben von Protokolldateien auf die lokale Festplatte um die SSD etwas zu entlasten, wo speichert opensense den die Logs?
Gar nicht, nur im RAM? Und kann das irgendwo eingestellt werden?

[Patrick M. Hausen]

Sorry, keine Ahnung. Steht denn nichts dazu in der Doku?

[ziegler]

Da steht:

Disable writing log files to the local disk: Useful to avoid wearing out flash memory (if used). Remote logging can be used to save the logs instead if desired.

Wie und wie das jetzt gehandhabt wird erschliesst sich mir aber nicht. Nur das die SSD entlastet wird.

Wie ist eigentlich so die Empfehlung? Wird empfohlen das Logging auf WAN einzuschalten oder ist das gar nicht so wichtig ob ich da sehe das BOTS meine WAN IP scannen?

[Patrick M. Hausen]

"The number of times an uninteresting thing occurs is an interesting thing."

-- Marcus J. Ranum


Was ich damit sagen will: das einzelne Ereignis ist m.E. völlig irrelevant. Und ob es in einem privaten Kontext Sinn ergibt, bezweifle ich auch. Wenn das eine Firmen-Firewall ist, könnte man die Events in ein Influx/Grafana oder einen ELK-Stack pumpen und sich dann angucken, wieviele Events woher in welcher Zeit auftreten.

Wenn du damit experimentieren möchtest: https://github.com/pfelk/pfelk

Ich hab bei mir auf dem Interface zu den öffentlich erreichbaren Servern Suricata aktiviert. Damit sieht man konkrete Angriffe, nicht nur Portscans.

[ziegler]

Bei mir ist das alles privat, ein APU-Board mit einem PC per LAN und 3 WLAN Geräten angebunden.

Intrusion Detection ist für mein APU-Board wohl zu viel.

Das Logging auf dem WAN wäre kein Problem für die APU, aber ich werde das wohl abgeschaltet lassen.
Vielleicht ab und an mal einschalten um zu sehen was so los ist. Schont die SSD.

Ich hatte mir diese Video https://invidious.snopyta.org/watch?v=UXcvCbq428c angeschaut.
Bin deshalb darauf gekommen. Dort wurden Blocklisten installiert. Da hatte ich mich gefragt warum Blocklisten wenn die opnsene doch von sich aus schon blockt wenn keine Regel vorhanden ist.

[Patrick M. Hausen]

Blocklisten dienen dazu, dass Geräte in deinem LAN keine Verbindung nach draußen zu den geblockten Systemen aufmachen können, z.B. Werbe- und Tracking-Netzwerke.

[ziegler]

Deshalb habe ich das Video auch nicht ganz verstanden?
Es wurde eine Firwall-Regel erstellt anhand Blocklisten und GEO-IPs.

[Patrick M. Hausen]

Ja klar. Verbiete deinen internen Rechnern das Senden von Paketen anhand von Blocklisten ...

Interface: LAN
Source: any
Destination: Blocklist
Action: deny

Wie willst du das sonst machen?

[ziegler]

Du meinst über einen Aliases in den Firewall Einstellungen?
Ok, das verstehe ich.

Aber in dem Video ging es darum das z.B. Blocklisten von Spamhouse.org genommen wurden, auch ein Aliases erstellt worden ist und diese auf WAN angewendet worden ist. So wurden die IPs die von aussen gekommen sind geblockt.
Aber ich glaube das wurde gemacht weil Ports nach aussen geöffnet waren, z.B. Port 25, 993 usw....
Durch die Blockliste werden die IPs aus dieser Liste halt sofort geblockt und kommen erst gar nicht zu Port 25 z.B.

Ich denke jetzt habe ich das einigermaßen verstanden.

[JeGr]

Mal realistisch weil dazu gar nix geschrieben wurde: Wie groß IST denn deine SSD? Denn

> Wenn ich auswähle --> Deaktiviere das Schreiben von Protokolldateien auf die lokale Festplatte um die SSD etwas zu entlasten, wo speichert opensense den die Logs?

wozu willst du da deine SSD entlasten? Eine Sense Installation hat normalerweise so um die 2GB. Selbst wenn man sich mit Logs zumüllt (warum? dann wäre ein Loghost sinnvoller) kommt man normalerweise nicht unbedingt über 10G. Die kleinsten SSDs die ich heute noch sinnvoll bekomme sind meist >=64/128G. Die bekommst du mit deinen 10G rumgeschreibe im Normalfall nicht in vernünftig erlebbarer Zeit kleingeschrieben.

IMHO bezieht/bezog sich:

> Disable writing log files to the local disk: Useful to avoid wearing out flash memory (if used)

insbesondere auf alte CF oder SD Karten die natürlich wesentlich(!) weniger abkönnen und mehr für den "normalen" Gebrauch in Kameras o.ä. gedacht waren, aber weniger als Medium im Dauereinsatz. Da kamen aber später industrial Karten ins Spiel die da mehr abkönnen und ich denke selbst heutige SD Karten (vor allem in der Größe) haben da wieder weniger Probleme. Aber halbwegs vernünftige SSDs, selbst Consumer Grade Laufwerke, haben meist eine so hohe MTBF bevor da die Flash Zellen hops gehen, dass du das mit so wenig Daten eigentlich nicht erreichst.

Ist natürlich was anderes bei einem Storage System wo ständig bis zu oder über 80% der max. Kapazität geschrieben und wieder umgeschrieben wird. Aber hier wird ja höchstens ein paar (dutzend) Megabyte große Files geschrieben. Das ist sehr verschmerzbar. Wir hatten da in ~10J bislang nicht ein Fall dass ne Büchse kaputt ging mit "SSD hinüber" :)