Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Woran erkennt man einen Angriff

    Deutsch
    3
    16
    7.5k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sascha321
      last edited by

      Hallo Grey,

      wieso Tonfall, ??? habe ich alles gross geschrieben ;) das man denken könnte ich schreie  :-
      nein Spass bei Seite.
      Erst mal vielen Dank für die Info, mehr wollte ich nicht wissen, ich dachte man würde an den Log sehen was ein eventuell stattfindender Angriff will macht oder ob es überhaupt einer ist.

      Eigentlich war mein Frage ja klar definiert oder ???
      Und wenn das jemand gleich geschrieben hätte, hätte der Thread nicht so lang werden müssen.
      Aber ich denke das viele die Firewall haben und die Logs auch nicht verstehen, sonst hätte sich sicher jemand gemeldet, ist aber nur eine Vermutung.

      Danke

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Es geht nicht darum, dass alles in CAPS geschrieben sein muss, man kann auch durch andere Dinge Unmut, Ungeduld und negative Stimmung erzeugen. Wie ich angedeutet habe, ist es zudem sehr oft nicht gern gesehen, wenn man nach einer Frage alle paar Stunden postet wie "doof" doch alle anderen sind, weil sie noch nicht geantwortet haben. Das empfinde ich in diesem Fall nicht nur als schlechten Stil, sondern auch als Generalverurteilung aller anderen deutschen Leser als "dumm" und "unfähig", nur weil dir innerhalb von 2 Tagen niemand geantwortet hat. Dass es aber durchaus Situationen gibt, in denen man nur einen kurzen Blick auf das Topic wirft und nicht direkt antworten kann, weil - wie in diesem Fall - ggf. die Antwort etwas ausschweifender würde, hast du gekonnt ignoriert. Ich entsinne mich an andere Posts an bspw. Firewall-Mailinglisten, die in ähnlicher Machart (nicht von dir) gestellt wurden und mit der gleichen Nichtachtung gestraft wurden. Das ist dann nämlich durchaus oft das Resultat.

        Deshalb klarer Ausdrücken, so viel Information wie möglich mitgeben und anständig schreiben - und bleiben - dann wird dir sicher zukünftig häufiger eine Antwort zuteil werden. Trotz allem bleibt bei mir der Eindruck - auch aus deinen anderen Posts - dass du erst einmal dringend an deinem Grundverständnis der Materie arbeiten solltest. Das ist durchaus ein ernstgemeinter Rat und keine Beleidigung, aber du drückst in deinen Fragen und Postings mitunter zu einigen wichtigen Grundlagenthemen noch eine wohlwollende Unwissenheit aus :) Dem kann sicherlich Abhilfe geschaffen werden, aber es würde dir vielleicht zusätzlich weiterhelfen, dich mit der Materie und dem Gebiet mehr zu beschäftigen um dir die Grundlagen zu bauen und  z.B. solche Dinge wie Loganalysen und Protokollverständnis anzueignen.

        Gruß
        Grey

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • S
          sascha321
          last edited by

          Hallo Grey,

          ja ich weiss mir fehlen da einige Grundlagen, aber leider ist das meiste für die Pfsense auf englisch und mein englisch
          ist leider nicht so stark. :-\

          Mann merkt auch hier im Forum, das doch das meiste im englischem Teil des Forums gelöst und gepostet wird.

          Danke

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Ich denke es geht da gar nicht so stark um pfSense-spezifisches, sondern wirklich um Netzwektechnik und deren Grundlagen. Im Prinzip ist das alles nicht wirklich pfSense spezifisch, wenn man sich mir Routing, Firewalling, Infrastrukturplanung etc. ein wenig auseinandersetzt. Man stößt dann unweigerlich auf Dinge, die alle Netzwerkgeräte gemein haben und kann sie bei anderen ebenfalls anwenden. Immer am Ball bleiben.

            Und ansonsten einfach höflich fragen und Geduld haben :)

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • O
              onkeldave83
              last edited by

              hi sascha,

              bin neu hier, aber ich werde dir mit rat udn tat zur seite stehen ';')
              kann leider deshalb auch erst jetzt posten^^
              hauptsache ihr hört mit eurer diskussion auf….is ja schlimm!

              ich hatte ein scriptkiddie auf meinem server....das erkennst du recht gut - also ich nutze die letzte stable variante von pfsense -
              und da kannste unter status - systemlogs glaube ich heißt das....nachschauen

              es gibt dort zwei "abteilungen" die für dich intressant sein sollten
              einmal OpenVPN und deine Firewall!

              im OpenVpn Reiter siehst du alle login versuche und zugriffe auf deinen server, wenn du mit zertifikaten&schlüsseln arbeitest, sollte ein angreifer eigentlich erstmal abgewiesen werden und somit leicht zu finden sein im log (du hast dann übrigens seine ip )

              den rest der unerlaubten zugriffe findest du im firewall log.

              mfg

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Hallo Dave,

                ich bin mir nicht sicher was du meinst, aber so wie du es beschreibst ist es falsch. Im OpenVPN Reiter wird genau das geloggt, was der Name verspricht: Alle Verbindungen von und zum OpenVPN Server. Und auf einer Firewall (sofern nicht gerade als SOHO Router/FW Kombi eingesetzt) wird eigentlich kein VPN Endpoint terminiert. Und selbst wenn man auf der Firewall VPN annimmt (gibt ja durchaus gute Gründe dafür), sieht man in diesem Log nur genau das, den ankommenden VPN Tunnel. Das hat aber mit der Initialfrage eigentlich nichts zu tun, denn ich erkenne keinen Angriff daran, dass jemand vielleicht den UDP Port 1194 von OpenVPN scannt (was als nicht zustande gekommener VPN Tunnel gewertet wird, gut). Daran sehe ich nur, dass der Port evtl. gescannt wurde. Mit welcher Intention und/oder ob jemand ggf. einfach einen falschen Server in seiner VPN Konfiguration verwendet hat, kann ich daraus nicht ableiten.

                Der andere Punkt ist natürlich absolut richtig, im Firewall Abteil sind alle (zu loggenden) Filterregeln aufgeführt und die können natürlich betrachtet werden. Welchen Schluß man daraus zieht ist jedem selbst überlassen. Was in letzter Zeit z.B. häufiger zu sehen ist, sind Scans auf Port 22 (SSH) und 445 (Windows Dateifreigabe) oder auch Port 1433 (MS SQL Server). Ersterer kann - sofern man mehrere IP Adressen im Internet hat und alle kurz nacheinander gescannt werden - durchaus auf einen potentiellen Sondierer oder Angreifer hinweisen. Letzterer (SQL) bspw. bei entsprechender Meldung auf Trojaner oder Wurm deuten (SQL Slammer bspw.)

                Nichts desto trotz ist euer wichtigstes Werkzeug das große runde Ding zwischen euren Ohren ;) Und in das sollte so viel Lektüre wie möglich gepackt sein, um die richtigen Schlüsse zu ziehen. Angriffserkennung und das Feld Security im Allgemeinen haben viel von der Aufgabe eines Diagnostikers in einem Krankenhaus (Dr. House lässt grüßen). Symptome (Portscans, IDS etc.) gibt es viel, aber nur beim richtigen zusammensetzen des Puzzles gibt es vielleicht den größeren Sinn :)

                Grüße
                Grey

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • O
                  onkeldave83
                  last edited by

                  sry aber im endeffekt hast du genau das gesagt was ich schon vorher ausgedrückt hatte^^
                  thx fürs fundament….unser haus steht!

                  @ sascha...

                  die reiter im systemlog sind genau das was du brauchst ;)
                  wenn dir das nicht langt, kannst du sonst noch über snort ne menge loggen und sogar leute sperren bzw hosts die auf bestimmte funktionen zugreifen die du nicht gestattest :)

                  Viel Erfolg

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    Nein, habe ich nicht. Verzeih wenn ich dir da widersprechen muss, aber das war schlicht falsch, was du vorher geschrieben hattest, sonst hätte ich nicht nochmals was dazu gesagt:

                    Im OpenVpn Reiter siehst du alle login versuche und zugriffe auf deinen server

                    Und das ist quatsch. Im VPN Reiter stehen VPN Logdaten. Mehr nicht. Und die bringen zur Angriffserkennung - was seine Frage war - rein gar nichts.

                    Möchte ja nicht rechthaberisch klingen, aber das was man schreibt sollte auch sein, was man meint :) Ansonsten ist das Fundament etwas wackelig ;)

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • O
                      onkeldave83
                      last edited by

                      eh sry aber vielleicht solltest du den reiter noch etwas weiter sdtudieren ;)
                      ich kann anonyme anfragen sehen .. sehr komisch wenns bei dir nicht so ist!
                      nicht nur anonyme sondern sogar anfragen ohne zertifikat und erfolgreichen abschluss ;)
                      ich sag mal lieber nix dazu wie du hier rüberkommst!
                      kannst auch ruhig schreiben was du willst, bei mir funzt es ja :P

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator
                        last edited by

                        Ich weiß zwar nicht was du aus "komischen Anfragen" auf dem VPN Port rückschließt aber zu behaupten dass das Login-Versuche "auf seinen Server" sind ist einfach Unfug. Da kannst du von mir oder meiner Schreibweise hier denken was du möchtest, das ist mir relativ egal. Dazu kommt, dass du nirgends sagst, auf welche Version du deine Aussagen stützt, mag ja sein, dass der Tab in 2.0beta etwas gesprächiger geworden ist, aber dass ein OpenVPN Port Aussagen darüber macht, wer versucht sich in meinen Server einzuloggen, ja da behaupte ich frech ohne es in 2.0 gesehen zu haben, halte ich für schlicht Unfug.

                        Und dass ich versuche trotz dem sehr seltsamen Beginn der Postings des OPs sachlich zu bleiben und konkrete Hinweise oder Fakten zu geben, kann man denke ich durchaus erkennen. Wenn du für dich beschließt ich käme anders herüber - schade drum und schade für dich - aber ich bin lang genug mit pfSense vertraut und arbeite lang genug mit Netzwerken um das sagen zu können.

                        Wenn du mir konkret darlegen kannst, dass ich wo falschliege, bin ich auch gern bereit mich belehren zu lassen. Wenn jemand konkrete Fragen stellt, bin ich gern bereit mich auch mit komischen Probleme zu beschäftigen. Aber wenn ich etwas für mich Falsches lese und versuche es dem OP wegen korrekt darzustellen und dafür dann dumme Kommentare ernte, muss das denke ich nicht sein. Wenn du mir einen Screenshot posten kannst, aus dem du mir erklären kannst, was du für Angriffsvorhersagen aus den Infos deines VPN Tabs ableitest, bin ich höchst gerne bereit mir das anzusehen, vielleicht erfahre ich da neue Perlen an Information. Mir wäre aber kein Fall bekannt, das das funktioniert.

                        So long
                        Grey

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator
                          last edited by

                          Damit dieses Thema nicht vollends abdriftet in komische Spekulationen über Gehalt von Aussagen wollte ich - da gerade aktuell - noch etwas dazu beigeben.

                          Was sich für die schnelle und testweise Angriffserkennung gut eignet ist eine spezielle Regel auf dem Border Gateway, also der dem Internet zugewandten Firewall die mit ihrem Interface direkt am "WAN" hängt. Dort ein sprechendes Alias anlegen vom Typ Netzwerke und es in etwa "RejectBadGuys" nennen. Aber noch keine Netze eintragen.
                          In der Filtertabelle nun als obersten Punkt eine Regel vom Typ "Block" eintragen von der Quelle "RejectBadGuys" Ports "any" to "any"/"any".  Diese sollte nach ihrem Einfügen auch keinerlei Filterung machen (da im Alias noch nichts eingetragen ist).

                          Fällt dir nun im Log eine IP auf, die dir Suspekt vorkommt oder dir sehr viel Traffic oder Zugriffe auf Geräte erzeugt, die hinter deiner Firewall stehen, so kannst du - um Luft zu bekommen - diese Adresse mit /32er Netz in die Tabelle aufnehmen oder das gesamte Netzsegment aus dem die Zugriffe kommen in das Alias aufnehmen.

                          Wir hatten bei einem alten Arbeitgeber den Fall, dass es einige Fälle gab, in denen die Webserver bspw. von einem Sturm an Zugriffen überrannt worden sind, die alle einer Handvoll IP Adressen aus dem gleichen Segment zugeschrieben werden konnte. Diese konnte man dann, bis man weitere Maßnahmen ergriffen hatte, über diese Schnellblockregel aussperren. Um zu sehen, dass sie greift kannst du zusätzlich die Regel noch loggen lassen, dann sieht man sehr schnell ob es gut oder schlecht war. Natürlich kann man auch recht flugs eine einzelne Regel generieren wenn man im Filterlog einen Zugriff erkennt, aber wenn es diverse Adressen aus einem ähnlichen Segment sind ist man mit einer Blocktabelle wie dem Alias schneller. Zumal in solchen Situationen häufig jede Sekunde zählt in denen es heißt: "Je schneller die Zugriffe aufhören umso größer die Wahrscheinlichkeit, dass die Server weiterleben und nicht umfallen".

                          Grüße
                          Grey

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.