International Forums > German - Deutsch

Wie richtig Einbrüche verhindern?

<< < (2/5) > >>

dsecure:

--- Quote from: ole on July 13, 2020, 08:04:37 pm ---Hi,

ich habe ein ähnliches Setup mit Cable-Router, OPNsense etc. wie Du bzw. wie JeGr vorgeschlagen hat. Hier einmal wie ich vorgegangen bin:
[...]

--- End quote ---

Moin, deine Erklärung finde ich gut, ich hätte aber eine Frage, auf deinem letzten Bild, die Konfig von Unbound nehme ich an, was genau macht die Einstellung bei Custom Options bei dir?

Das mit der Port 53 Umleitung auf 127.0.0.1 funktioniert auch bei mir, als Default DNS habe ich mein Pi-Hole angegeben, zu welchem dann weiter gelietet wird, bist du mit open-dns soweit zufrieden und hast du da evtl. einen direkten Vergleich zu Pi-Hole?

Block Any bezieht sich bei euch (JeGr und ole) auf die WAN Schnittstelle oder hab ich da was überlesen? Bei LAN ist bei mir unteranderem als default zB. die anti aussperrregel und die NAT konfig drinnen, sollte so passen oder? ;D

guest24551:
So guten Morgen allerseits und danke für das Feedback.

Leider kann ich hier kein Paketcapture hochladen, weil das die erlaubte größe überschreitet.

Ich habe noch einen Teil vergessen zu erwähnen. Das mag ein kleiner Log auszug sein, aber das ist der Anfang von "etwas größerem".
IPIFY.ORG scannt in regelmäßigen 10 Minuten abständen.
Beim 1. Angriff hat man es geschafft mittels DNS-Rebind die GUI von meinem managed switch zu immitieren. Aufgefallen ist mir das erst durch falsche und geänderte DNS Einträge auf dem Switch die nicht von mir stammen. Also insofern darf ich schon etwas Panik schieben, wenn soetwas (mehrfach) durch meine Firewall dringt.

Wie ich auf DNS komme?

Aus Maltrail lese ich das so raus. (Dies ist der Stand nach dem letzten Angriff) (siehe Anhang)
Wenn es von innen kommen würde, würde dann nicht die LAN Adresse statt WAN als Ziel angegeben werden?


Bis auf das weiterleiten der DNS requests, habe ich alles ähnlich wie @Ole eingerichtet.

Ich habe mal die Zeitstempel in Suricata verglichen und mir ist aufgefallen, dass meine Linux Kiste zu der Zeit nicht in Betrieb war und es ist der einzige Client hinter der Firewall. Alles andere befindet sich im Fritzbox LAN. Aber selbst da, sind da bis auf 2 Smartphones und 1 eBook nix an.

guest24551:
Ich habe nun nachträglich das Port Forwarding auf 53 eingerichtet. Alles andere hat soweit gepasst.

Um nochmal auf JeGr's kommentar zurück zu kommen. Die Dokumentation habe ich mir bereits mehrfach, aber noch nicht vollständig durchgelesen. Ich stoße auch oft vor vielen kleineren Problemen. Z.B. Kann ich keine GeoIP Aliase trotz der Einrichtung nach Doku abrufen, weil Opnsense scheinbar keinen gescheiten Handshake mit der URL "https://download.maxmind.com/app/geoip_download?edition_id=GeoLite2-Country-CSV&license_key=........ " hinbekommt.

DNS o. TLS habe ich ebenfalls schon eine Weile am laufen. Ich versuche momentan auch DNSSEC richtig einzurichten, allerdings bekomme ich zu z.B. Internet.nl immer noch keine Chain of Trust hin.

Ich bin noch im Lernprozess, aber ich entdecke ständig neue Features von Opnsense.

micneu:
zu maxmind kannst du im forum suche, da gab es vor kurzem einen beitrag...

JeGr:
> IPIFY.ORG scannt in regelmäßigen 10 Minuten abständen.

Ipify.org scannt nicht. Geh doch mal auf die Seite. https://www.ipify.org/ und schau dir an, WAS die eigentlich machen. Sie bieten lediglich einen Service an, dass du via API/programmatisch deine externe IP abfragen kannst. Nichts anderes wie http://checkip.dyndns.org nur eben für Entwickler zur Nutzung in Programmen und Tools. Warum sollten die also DICH angreifen?

> Beim 1. Angriff hat man es geschafft mittels DNS-Rebind die GUI von meinem managed switch zu immitieren. Aufgefallen ist mir das erst durch falsche und geänderte DNS Einträge auf dem Switch die nicht von mir stammen. Also insofern darf ich schon etwas Panik schieben, wenn soetwas (mehrfach) durch meine Firewall dringt.

Ich habe keine Ahnung was da wo wie vorher vorgefallen ist, aber das klingt einfach weird. Dein managed Switch macht DNS und hat geänderte DNS Einträge? Was hast du denn für Switche auf denen selbst DNS aktiv ist wenn du davor eine OPNsense hast die DNS macht? Verstehe ich nicht ganz. Zudem nimmst du nur an, dass irgendwas durch deine Firewall "drang" und deinen Switch verstellt hat. So richtig Sinn macht das für mich noch keinen, aber mag korrekt so passiert sein, das maße ich mir nicht an zu verstehen ohne Details zu kennen.

In deinem Screenshot unten wird auch Ipify an dem du dich etwas festbeißt wie ich finde auch lediglich als "IPInfo Suspicious" geflaggt, NICHT als Malware oder sonstwie bösartig. Da deine IP .2.65 aber lustige Sachen macht mit DNS und Malware Sachen aufruft laut deinem Screen, würde ich eher mal die interne IP .2.65 abklemmen und untersuchen, was darauf läuft und was für Mist die Kiste treibt. Klingt nämlich eher als hätte sich eine Kiste intern nen Trojaner oder Malware eingefangen und würde Blödsinn machen, als dass irgendjemand durch deine Firewall durchtunnelt :) Das würde auch erklären, was von der IP Ipify nutzt, wahrscheinlich eben eine Malware auf dem Rechner, die ihre externe IP rausfinden will um sich ggf. rauszutunneln oder Murks reinzuladen.

Zu GeoIP und Co hatte ja Mic schon geschrieben, dass das nicht mehr geht/ging liegt am neuen Licensing von MaxMind

Navigation

[0] Message Index

[#] Next page

[*] Previous page