Willkommen im Zyxel Community Forum!

Für Support Anfragen besuchen Sie http://support.zyxel.eu unser neues Support Portal!
Aktuelle Zeit: Mittwoch 1. März 2017, 19:47

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



 


Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Security Policy Control Log
BeitragVerfasst: Freitag 25. November 2016, 14:07 
Offline
Hilfesuchender

Registriert: Donnerstag 24. November 2016, 16:55
Beiträge: 2
Hallo Zusammen,

ich habe da mal eine Frage in die Runde. Wir haben privat eine USG40 im Einsatz. Der momentane Schutz unseres Netzwerks durch die USG40 besteht aus einem Grundregelset. Unsere Default-Regel steht auf deny und log und darüber in der Prioritätenliste sind die Ausnahmen (LAN outgoing, DMZ to WAN, etc.) aufgeführt. Trifft bei der Abarbeitung mit Start ab Priorität 1 keine Ausnahme zu, kommt die Default-Regel zu Anwendung und lehnt das Paket mit einem Eintrag ins Log ab. Soweit so gut, damit sollte unser Schutz von Aussen in aller Regel ausreichend sein.

Nun ist mir beim Anschauen des Security Policy Control Log aufgefallen und da bin ich ja schon sehr erstaunt, das teilweise im Minutentakt versucht wird auf unser Netzwerk zuzugreifen. Zum einen zeigt es ja, das das Regelwerk der Firewall gut zu funktionieren scheint durch die geblockten Zugriffe aber andererseits erstaunen mich diese häufigen Zugriffsversuche. Da es meist unterschiedliche IP-Adressen sind, sind es auch wohl unterschiedliche Zugriffsversuche. Aufgefallen ist mir noch, das relativ häufig der Port 23 also Telnet angefragt wurde. Ansonsten waren die Portanfrage ziemlich durchmischt -1900, 2323, 9527, 3307, 9527,........

Ich habe dann mal ein paar IPs getracert und die Zugriffsversuche kamen quasi aus der ganzen Welt - Brasilien, China, Korea, Frankreich, Spanien,..........

Also ich vermute, das es sich dabei um Portscanns handelt, aber ich kann mir beim besten Willen nicht vorstellen, das dies Tag und Nacht im minutentakt geschieht. Welche Möglichkeiten im Sinne von Regeländerungen (z. B. Ping Dienst sperren) gäbe es denn, das man diese Zugriffsversuche wahrscheinlich nicht verhindern aber zumindest spürbar reduzieren kann? Gibt es denn eine Möglichkeit z. B. seine WAN IP in einer Art Stealth Modus laufen zu lassen?

Vielen Dank schon mal für eure Antworten.

Viele Grüsse
DarkAqua


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Security Policy Control Log
BeitragVerfasst: Montag 28. November 2016, 20:14 
Offline
Mitglied

Registriert: Samstag 5. November 2016, 08:29
Beiträge: 15
Hallo

eine Lösung für das Problem kenne ich nicht. Totstellen (Action: deny) ist mein Ansatz zum Problem.
Wenn ich weiß was es genau ist macht ich mal eine Regel vorher die das bestimmte Packet (zB: WAN -> Zywall Serive port XY, Action: deny; Log no) verwirft dann kann ich die letzte Regel aktiv lassen, und man bekommt noch immer mit wenn sich was tut.

Ich kenne sowas von vielen Paketen im Sekundentakt.


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Security Policy Control Log
BeitragVerfasst: Montag 28. November 2016, 21:16 
Online
Mitglied

Registriert: Montag 6. Juli 2015, 15:30
Beiträge: 41
Hallo

Das beschriebene ist nicht ungewöhnlich. Telnet-Versuche zielen auf IoT Geräte ab und sind mittlerweile extrem häufig. Ich gehe es normalerweise zweistufig an.
1. Geo-Blocking (benötigt aber die UTM-Lizenzierung und Firmware >= 4.20)
2. Liste zu blockender Quell-IPs ohne Logging (wie waldviertler beschrieben hat)

Für 2. habe ich ein fix eingerichtetes Adress-Gruppen-Objekt wo ich zu blockende Adressen hinzufüge und die Gruppe ist in der von waldviertler beschriebenen Security Policy. Das lässt sich aber nur für wirklich notorische Absender einsetzen, für das Meiste ist das Geo-Blocking zuständig. Der dann noch übrig bleibende Rest gehört zum normalen Hintergrundrauschen.

Gruss
Line2


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Security Policy Control Log
BeitragVerfasst: Dienstag 29. November 2016, 21:32 
Offline
engagiertes Mitglied
Benutzeravatar

Registriert: Dienstag 25. Juni 2013, 20:01
Beiträge: 366
Hallo,
Line2 hat schon einen relativ guten Ansatz, um die Anfragen abzuwehren :zustimmen:

Wenn man wissen möchte, wer versucht in das netz zu kommen, dann kann man in der default route das logging aktiv lassen, was evtl. etwas unuebersichtlich wird, oder das SYSLOG aufbläesst :)
Ich bevorzuge auch das GEO-IP blocking, damit man die laender per default aussperrt, die z.B. durch ein DNAT (WAN ---> internes Netz) generell nicht rein kommen sollen.

Gruss
Christian


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Security Policy Control Log
BeitragVerfasst: Mittwoch 30. November 2016, 14:24 
Offline
Hilfesuchender

Registriert: Donnerstag 24. November 2016, 16:55
Beiträge: 2
Mercy euch dreien für die Antworten,

diese helfen mir schon mal ein Stückchen weiter, werfen aber auch noch zwei Rückfragen auf. Zum einen, habe ich gehört, das die UTM Lizenzen eher für Firmennetzwerke geeignet sind und weniger für ein privates Netzwerk. Und wenn ich mir nun die Lizenzen für Content Filter, Anti Spam und Anti Virus anschaue, dann brauche ich die wohl eher nicht. Content Filter ist nicht notwendig, Anti Spam auch nicht da ich keinen Mailserver betreibe und mein Provider einen recht guten Spam Filter im Einsatz hat und der Virenschutz bringt meiner Einschätzung nach auch nichts, denn der Schutz sollte auf dem jeweiligen Endgerät stattfinden. Da bliebe eigentlich nur der IDP-Signature Dienst. Den kann ich nicht so richtig einschätzen.

Mit welcher Lizenz kann ich das IP-Geo Blocking denn aktivieren? Und dann stellt sich mir noch die Frage, ich hatte ja mal ein paar IPs getracert und die Zugriffsversuche kamen quasi aus der ganzen Welt - Brasilien, China, Korea, Frankreich, Spanien, usw. D. h. ich müsste ja dann mehr oder weniger so gut wie alle Länder dort aufführen.

Ich wäre euch sehr verbunden, wenn ihr mir hier noch etwas weiterhelfen könntet.

Vielen Dank und viele Grüsse
DarkAqua


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Security Policy Control Log
BeitragVerfasst: Freitag 16. Dezember 2016, 14:46 
Offline
Hilfesuchender

Registriert: Donnerstag 15. Dezember 2016, 11:40
Beiträge: 8
Wenn du keine Dienste nach extern anbietest und ports offen hast, ist geo blocking irrelevant, es sei denn du möchtest ausgehenden traffic blocken. geo blocking kommt vor der security policy, da du aber vermutlich keine offenen ports hast greift bei dir direkt die default deny regel.

das was du im log beschreibst ist völlig normal. deine "ip" bzw die usg ist steahlth indem sie die pakete dropped und garnicht drauf reagiert, mehr stealth bekommst du nur indem du den strom ausschaltest. Fataler wäre statt "drop" "reject" zu wählen, denn das erzeugte eine antwort. das rauschen des internets und das scanning wirst du nicht beeinflussen können... die (IoT) botnetze werde immer größer und demnach wachsen die scanningkapazitäten. ich habe im schnitt 2000-3000 einschläge am tag. telnet ist sehr beliebt. zu den hochzeiten des "telekom" problems vor ein paar wochen hatte ich 50% der abgelehnten pakete auf port 7547...also alles so wie es sein soll.

wenn du wert auf content filter, geo blocking, virenscan etc. legst könntest du dir noch eine sophos utm vor die usg setzen. die kostet nichts für home user, du benötigst nur einen ausgedienten pc (zb passiv gekühlten barebone)

nur ein kurzer überblick:

firewall drops heute bisher 1920

23 telnet: 1331 / 69%
2323 telnet: 108 / 6%
22 ssh: 37 / 2%


Nach oben
 Profil  
 
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder: Exabot [Bot], Google [Bot], Line2


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Gehe zu:  
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de


Impressum


Hubwagen  - Hubtisch  - Hochhubwagen  - günstige Hubwagen  - Hubwagen  - Hubtisch  - Scherenhubtische  - günstige Kehrmaschinen