Client Isolation zur Analyse der Verbindungen

[guest15032]

Hi,

wahrscheinlich denke ich wieder ein wenig zu kompliziert: Gibt es eine einfache Möglichkeit, einen einzelnen Client in meinem lokalen Netzwerk so zu isolieren, dass nur dieser kommunizieren darf und ich somit keine störenden Logeinträge sehe?

Ich möchte sehen, welche Verbindungen irgendein Client aufbaut. Da aber gleichzeitig noch zig andere Clients kommunizieren, habe ich in der Ansicht der Logs so viele Einträge, dass es total unübersichtliich wird. Ich frage mich, ob es eine Funktionalität  gibt, mit der ich quasi jede Kommunikation unterbinden kann bis eben auf den einen Client, ohne dafür ein komplexes Regelwerk aufzustellen oder besser gesagt, ohne dafür zig Regeln immer wieder ein- und auszuschalten?

Meine Idee ist bisher, alle Regeln unter einer Gruppe zusammen zu fassen und eine einzelne Regel zu erstellen, in der ich ein ALLOW ANY ANY gesetzt habe. Die Gruppe würde ich dann immer deaktivieren und in dieser einen Regel würde ich die jeweilige Client IP eintragen und die Regel aktivieren.  Klingt unnötig kompliziert. oder?

Gruß
Chris

[chemlud]

Ein Netzwerk ist ein Netzwerk ist ein Netzwerk. Was innerhalb dieses Netzwerks kommuniziert kannst du am Router nicht sehen. Wenn es um Kommunikation in andere Netzwerk geht, hast du eine Chance, z.B. tcpdump.

Zur Überwachung einzelner Rechner nutze ich eine Maschine mit 2 RJ45 (z.B. ein altes Notebook oder einen Raspi mit 2x USB-RJ45) im Brigde-Modus und wireshark zwischen den Client und den Switch geklemmt. WLAN mache ich nicht (in kritischen Bereichen). :-)

[guest15032]

Hi chemlud,

Danke für die Antwort. Ich verstehe, was Du sagen möchtest. Allerdings geht das, glaube ich, in eine etwas andere Richtung. Ich möchte ja nicht die gesamte interne Netzkommunikation auf Paketebene inspizieren.

Ein Beispiel:

Mein TV Gerät funkt irgendwohin nach Asien (ich hatte schon mal in den Logs IPs auf irgendwelche taiwanesischen Server gesehen). Ich möchte das genauer analysieren und sehen, welche Dienste über welche Ports kommunizieren wollen.

Anderes Beispiel:

Ein Spiel auf meiner Konsole verweigert den Start, weil angeblich ein Connect zu den Servern des Herstellers scheitert. Eine ganz schnelle Recherche deutet darauf hin, dass das Spiel wohl irgendwelche speziellen Ports öffnen möchte für die Kommunikation. Ich möchte diese herausfinden und somit auch sehen und verstehen, ob das Verhalten des Spiels so akzeptabel ist. oder ob es mich stutzig machen sollte, auf welchen Ports da kommuniziert wird.

Für diese Fälle möchte ich ja erst mal gar keine tiefere Paketanalyse starten, sondern nur in den Logs der Firewall sehen, wohin möchte Client A oder Client B Anfragen schicken?  genau dafür habe ich die Firewall ja, um solchen Datenverkehr unter die Lupe zu nehmen. Wenn aber gleichzeitig auch noch Client C, D, E, F, G da über das Interface quasseln, dann geht mir die Übersichtlichkeit in den Logs verloren.

Ideal wäre etwas in der Art, das ich gestern beschrieben hatte: Einen Client isolieren, nur diesen kommunizieren lassen und alles andere aus. Was ja geht, aber umständlich zu realisieren ist m.M. nach, da man ja die ganzen Regeln immer aktivieren und deaktiviren muss.  Umgekehrt wäre z.B. eine Art Flag an den Logeinträgen hilfreich, also eine MArkierung an der ich eine Clientzuordnung schnell erkenne. SO könnte man die Logs schneller durchschauen ohne den Überblick zu verlieren.

Gruß

[monstermania]

Hmm,
Du kannst Doch im Firewall-Log diversen kriterien Filtern z.B. Source- und/oder Destination-IP, Port, usw.
Sollte eigentlich reichen um herauszufinden welches Gerät genau wohin telefonieren will.
Welche Daten übertragen werden bekommst Du so natürlich nicht mit. Da müsste man dann schon mit DPI rangehen oder den Traffic des Gerätes z.B. per Whireshark mitschneiden.

Zum Thema Smart-TV. Falls Du ein Samsung-Gerät nutzt könnte der folgende Link hilfreich sein:
https://jkry.org/ouluhack/HackingSamsungSmartTV

Gruß
Dirk

[chemlud]

Hi!

Solche Labertaschen wie Samsung "Smart"-TVs oder Spielkonsolen willst du doch nicht wirklich im selben Netz wie deine Clients, mit denen du Online-Banking oder -Shopping machts, oder? Da würde ich von vorneherein ein eigenes Netz für solche Trash-Kisten aufmachen und dort nach und nach diese Geräte zum laufen bringen (mit Löchern in der Firewall aka UPnP öffnet Ports etc.)... ;-)

[monstermania]

Hi!

Solche Labertaschen wie Samsung "Smart"-TVs oder Spielkonsolen willst du doch nicht wirklich im selben Netz wie deine Clients, mit denen du Online-Banking oder -Shopping machts, oder? Da würde ich von vorneherein ein eigenes Netz für solche Trash-Kisten aufmachen und dort nach und nach diese Geräte zum laufen bringen (mit Löchern in der Firewall aka UPnP öffnet Ports etc.)... ;-)

Da sind wir wieder beim Thema Paranoia! 
Ich denke mal, dass muss Jeder für sich selbst entscheiden. Man möchte ja evtl. durchaus die Vorzüge (s)eines Smart-TV nutzen und dazu brauchen die Teile nun mal neben einem Internetzugang evtl. auch einen Medienserver im gleichen LAN, usw.
Immerhin kann ich dank OPNsense genau steuern wohin mein Smart-TV seine Daten senden darf. Damit ist man immerhin schon weiter wie Millionen von Menschen die Ihren Internetzugang einer FritzBox oder einem 08/15-Router vom Grabbeltisch überlassen.

[chemlud]

"Immerhin kann ich dank OPNsense genau steuern wohin mein Smart-TV seine Daten senden darf. "

Mag sein, aber WAS da alles abfliesst (incl live stream mit Sound und Bild aus deinem Wohnzimmer) kannst du nicht wissen oder steuern. Daher hilft eigentlich nur dichtmachen. Aber wenn man WEISS, was man da tut, kann man das ja alles machen. Oder halt bleiben lassen...

Mag ich sehr:

http://www.geek.com/games/swear-in-a-private-xbox-one-skype-call-get-banned-from-xbox-live-1578227/

:-D

[monstermania]

(incl live stream mit Sound und Bild aus deinem Wohnzimmer) kannst du nicht wissen oder steuern.

Mein Smart TV hat weder Kamera noch Mikrofon 
Bei vielen Leuten braucht es nicht mal einen Smart-TV! Die Posten doch ohnehin jeden Ihrer Schritte bei Fratzenbuch/Instagram/oder sonstwohin. 
Aber ich stimme Dir zu, was da genau an Daten übertragen wird weiß ich nicht, wobei wir dann wieder beim Thema Paranoia sind.
Ich weiß auch nicht, was mein PC/Tablet/Smartphone genau an Daten überträgt. Aber ich möchte eben durchaus die vernetzte Informationen bzw. die Vernetzung der Geräte nutzen (z.B. Google Maps auf dem Smartphone) und mir ist bewusst, dass Google damit jeden meiner Schritte protokolliert. 

Ich denke das Thema ist unerschöpflich und es prallen die unterschiedlichsten Standpunkte aufeinander.
So lange man weiß, was man da tut ist es m.E. eine persönliche Entscheidung ob und wie man Smarte-Geräte in seinem Heimnetz betreibt/nutzt.
So, und nun lass uns mal wieder auf das Thema von neOh zurückkommen. 

[chemlud]

"Mein Smart TV hat weder Kamera noch Mikrofon"

Woher weißt du das? ;-)

[guest15032]

Du kannst Doch im Firewall-Log diversen kriterien Filtern z.B. Source- und/oder Destination-IP, Port, usw.
Sollte eigentlich reichen um herauszufinden welches Gerät genau wohin telefonieren will.

Mh... Ok, anders gesagt: Jedes Mal, wenn der Client irgendwas im Netz macht, muss ja ich dann ja aufs neue den Log filtern, weil der ja auch mit anderen Einträgen befüllt wird. Ich hätte gerne einen "sauberen" Log, nur mit Einträgen dieses einen Client. Sowas ist dann wohl eher nicht vorgesehen?

Solche Labertaschen wie Samsung "Smart"-TVs oder Spielkonsolen willst du doch nicht wirklich im selben Netz wie deine Clients, mit denen du Online-Banking oder -Shopping machts, oder? Da würde ich von vorneherein ein eigenes Netz für solche Trash-Kisten aufmachen und dort nach und nach diese Geräte zum laufen bringen (mit Löchern in der Firewall aka UPnP öffnet Ports etc.)... ;-)

Richtig. Darum habe ich vor, mein Netzwerk weiter zu unterteilen. Ein vLAN für meine NAS, ein vLAN für Mediengeräte (TV, Konsole, etc.). Und mein WLAN ist sowieso schon abgetrennt in einem eigenen Subnetz. Aber trotz allem möchte ich vorher eine Analyse durchführen, welche Ports und welche IPs da angesprochen werden, um meine Regelwerke aufzubauen.

Da sind wir wieder beim Thema Paranoia!

Ja, das war in der Tat schon mal Thema.  Ich versuche weiterhin den Mittelweg zu finden.

[JeGr]

Nachdem jetzt alle im Paranoia OT waren

Warum nicht einfach so ne0h:

- Alias definieren: Track_Host mit IP.
- 1. Regel: any any allow Regel erstellen allerdings mit Source Host Alias <Track_Host>, Haken beim Logging rein.
- 2. Regel definieren mit Source LAN_Network (also alle AUSSER Track_Host), entweder erlauben oder verbieten, was du machen möchtest, Logging NICHT rein.

Damit solltest du auf deinem LAN erstmal nur noch Einträge im Firewall Log sehen, die der Tracking Horst auslöst
Alles andere vom LAN wird erlaubt oder geblockt aber durch "no log" im Log ignoriert. Wenn noch zu viel WAN Geblubber am Start ist, dann in den Eigenschaften beim Logging noch die Default Block Logs abschalten, damit Ruhe einkehrt. Und dann solltest du problemlos nur noch deinen einzelnen Host reden sehen.

Zusätzlich: Bei sowas kann auch NTOPNG bspw. als Paket helfen, da hier die Komm-Beziehungen pro IP aufgeschlüsselt sind. Kann aber auch ggf. durch ein Flow Tool o.ä. ausgelesen werden

Grüße

[guest15032]

Hi,

Sorry etwas verspätet.

- Alias definieren: Track_Host mit IP.
- 1. Regel: any any allow Regel erstellen allerdings mit Source Host Alias <Track_Host>, Haken beim Logging rein.
- 2. Regel definieren mit Source LAN_Network (also alle AUSSER Track_Host), entweder erlauben oder verbieten, was du machen möchtest, Logging NICHT rein.

Ja, ich glaube das geht in die Richtung, die ich mir vorgestellt habe. Ich denke, das wird die momentan simpelste Lösung für meinen Anwendungsfall sein, Danke.

Gruß