Unbekannten Traffic v. WebCams blockieren



  • Guten Abend @all,

    mir ist aufgefallen, dass meine WansView WebCams seit einiger Zeit regelmäßig (ca. alle 6 Minuten) eine kurze Verbindung zur IP 54.219.236.25 aufbauen. Nun habe ich in meinen LAN Rules eine Regel angelegt, dass sämtlicher Traffic auf diese IP geblockt werden soll. Wenn ich nun den Traffic per PacketCapture mitschneide sehe ich aber weiterhin, dass die Cam eine Verbindung aufbaut und auch ein Paket zurückkommt…. Jemand eine Idee wie ich 1. herausbekomme was das genau ist und 2. wie ich diesen Traffic verhindern kann? Meine Blockregeln, welche ansonsten alle funktionieren scheinen hier in diesem Fall nicht zu greifen.

    PacketCapture:

    20:08:39.908325 ARP, Request who-has 192.168.XX.XXX tell 192.168.XX.123, length 46
    20:08:40.487040 ARP, Request who-has 192.168.XX.1 tell 192.168.XX.XXX, length 46
    20:08:40.487058 ARP, Reply 192.168.XX.1 is-at 00:0d:b9:45:ce:18, length 28
    20:08:40.491160 IP 192.168.XX.XXX.2050 > 192.168.XX.1.53: UDP, length 31
    20:08:40.491523 IP 192.168.XX.1.53 > 192.168.XX.XXX.2050: UDP, length 47
    20:08:40.500139 IP 192.168.XX.XXX.2048 > 54.219.236.25.80: tcp 0
    20:08:40.500253 IP 54.219.236.25.80 > 192.168.XX.XXX.2048: tcp 0
    20:08:40.504158 IP 192.168.XX.XXX.2048 > 54.219.236.25.80: tcp 0
    20:08:40.510260 IP 192.168.XX.XXX.2048 > 54.219.236.25.80: tcp 130
    20:08:40.510307 IP 54.219.236.25.80 > 192.168.XX.XXX.2048: tcp 0
    20:08:40.529705 IP 54.219.236.25.80 > 192.168.XX.XXX.2048: tcp 231
    20:08:40.529839 IP 54.219.236.25.80 > 192.168.XX.XXX.2048: tcp 32
    20:08:40.530308 IP 54.219.236.25.80 > 192.168.XX.XXX.2048: tcp 0
    20:08:40.534202 IP 192.168.XX.XXX.2048 > 54.219.236.25.80: tcp 0
    20:08:40.535966 IP 192.168.XX.XXX.2048 > 54.219.236.25.80: tcp 0
    20:08:40.542525 IP 192.168.XX.XXX.2050 > 192.168.XX.1.123: UDP, length 48
    20:08:41.546033 IP 192.168.XX.XXX.2050 > 192.168.XX.1.123: UDP, length 48
    20:08:41.585260 ARP, Request who-has 192.168.55.222 tell 192.168.XX.XXX, length 46

    Einen Screenshot mit den Rules habe ich angehängt. Vielen Dank für eure Hilfe.

    Grüße M.




  • Was sind denn die Ports in "WebCam Ports allow"?
    Edit:
    In deinem Screenshot sind auch noch keine Daten über die Regeln geflossen, sicher das diese greifen?



  • Der Alias steht für DNS (53) und SMTP (25).

    Edit1: Habe die Regeln zum Blocken des SamsungTV´s entfernt, damit die Übersicht besser gegeben ist und den Screenshot neu hochgeladen. Die Counter funktionieren, waren auf dem 1. ursprünglichen Screenshots durch Reboot erst resettet worden.

    EDIT2: Bei mir läuft 2.3.4-RELEASE-p1 (amd64) auf einer apu2c4.



  • Hier nochmal der Traffic mit höherem Loglevel:

    19:42:03.511933 7c:XX:XX:XX:7b:5d > 00:XX:b9:XX:XX:18, ethertype IPv4 (0x0800), length 73: (tos 0x0, ttl 64, id 3506, offset 0, flags [DF], proto UDP (17), length 59)
        192.168.XX.XXX.2050 > 192.168.55.1.53: [udp sum ok] 2+ A? www.nwsvr.com. (31)
    19:42:04.252381 00:XX:b9:XX:XX:18 > 7c:XX:XX:XX:7b:5d, ethertype IPv4 (0x0800), length 89: (tos 0x0, ttl 64, id 46837, offset 0, flags [none], proto UDP (17), length 75)
        192.168.XX.1.53 > 192.168.XX.XXX.2050: [bad udp cksum 0xf07b -> 0x8a8d!] 2 q: A? www.nwsvr.com. 1/0/0 www.nwsvr.com. A 54.219.236.25 (47)
    19:42:04.256923 7c:XX:XX:XX:7b:5d > 00:XX:b9:XX:XX:18, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 3653, offset 0, flags, proto TCP (6), length 60)
        192.168.XX.XXX.2048 > 54.219.236.25.80: Flags, cksum 0x09dc (correct), seq 49284027, win 1460, options [mss 1460,sackOK,TS val 3582 ecr 0,nop,wscale 0], length 0
    19:42:04.257077 00:XX:b9:XX:XX:18 > 7c:XX:XX:XX:7b:5d, ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 64, id 54243, offset 0, flags [DF], proto TCP (6), length 60)
        54.219.236.25.80 > 192.168.XX.XXX.2048: Flags [S.], cksum 0x1bad (incorrect -> 0x3bee), seq 2302559599, ack 49284028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2918340636 ecr 3582], length 0
    19:42:04.259769 7c:XX:XX:XX:7b:5d > 00:XX:b9:XX:XX:18, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 3654, offset 0, flags [DF], proto TCP (6), length 52)
        192.168.XX.XXX.2048 > 54.219.236.25.80: Flags [.], cksum 0x63d3 (correct), seq 1, ack 1, win 1460, options [nop,nop,TS val 3582 ecr 2918340636], length 0
    19:42:04.261833 7c:XX:XX:XX:7b:5d > 00:XX:b9:XX:XX:18, ethertype IPv4 (0x0800), length 196: (tos 0x0, ttl 63, id 3655, offset 0, flags [DF], proto TCP (6), length 182)
        192.168.XX.XXX.2048 > 54.219.236.25.80: Flags [P.], cksum 0x859a (correct), seq 1:131, ack 1, win 1460, options [nop,nop,TS val 3582 ecr 2918340636], length 130
    19:42:04.261933 00:XX:b9:XX:XX:18 > 7c:XX:XX:XX:7b:5d, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 42695, offset 0, flags [DF], proto TCP (6), length 52)
        54.219.236.25.80 > 192.168.XX.XXX.2048: Flags [.], cksum 0x1ba5 (incorrect -> 0x66f9), seq 1, ack 131, win 519, options [nop,nop,TS val 2918340641 ecr 3582], length 0
    19:42:04.296477 00:XX:b9:XX:XX:18 > 7c:XX:XX:XX:7b:5d, ethertype IPv4 (0x0800), length 297: (tos 0x0, ttl 64, id 8051, offset 0, flags [DF], proto TCP (6), length 283)
        54.219.236.25.80 > 192.168.XX.XXX.2048: Flags [P.], cksum 0x1c8c (incorrect -> 0xf95e), seq 1:232, ack 131, win 520, options [nop,nop,TS val 2918340676 ecr 3582], length 231
    19:42:04.296593 00:XX:b9:XX:XX:18 > 7c:XX:XX:XX:7b:5d, ethertype IPv4 (0x0800), length 98: (tos 0x0, ttl 64, id 60195, offset 0, flags [DF], proto TCP (6), length 84)
        54.219.236.25.80 > 192.168.XX.XXX.2048: Flags [P.], cksum 0x1bc5 (incorrect -> 0x7e5e), seq 232:264, ack 131, win 520, options [nop,nop,TS val 2918340676 ecr 3582], length 32
    19:42:04.297005 00:XX:b9:XX:XX:18 > 7c:XX:XX:XX:7b:5d, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 28381, offset 0, flags [DF], proto TCP (6), length 52)
        54.219.236.25.80 > 192.168.XX.XXX.2048: Flags [F.], cksum 0x1ba5 (incorrect -> 0x65cd), seq 264, ack 131, win 520, options [nop,nop,TS val 2918340676 ecr 3582], length 0
    19:42:04.299499 7c:XX:XX:XX:7b:5d > 00:XX:b9:XX:XX:18, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 3656, offset 0, flags [DF], proto TCP (6), length 52)
        192.168.XX.XXX.2048 > 54.219.236.25.80: Flags [.], cksum 0x623e (correct), seq 131, ack 232, win 1460, options [nop,nop,TS val 3586 ecr 2918340676], length 0
    19:42:04.301701 XX:XX:XX:07:7b:XX > 00:XX:b9:XX:XX:18, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 64, id 3657, offset 0, flags [DF], proto TCP (6), length 52)
        192.168.XX.XXX.2048 > 54.219.236.25.80: Flags [R.], cksum 0x6219 (correct), seq 131, ack 265, win 1460, options [nop,nop,TS val 3586 ecr 2918340676], length 0
    19:42:04.308975 XX:XX:XX:07:7b:XX > 00:XX:b9:XX:XX:18, ethertype IPv4 (0x0800), length 90: (tos 0x0, ttl 64, id 3587, offset 0, flags [DF], proto UDP (17), length 76)
        192.168.XX.XXX.2050 > 192.168.XX.1.123: [udp sum ok] NTPv3, length 48
    Client, Leap indicator:  (0), Stratum 0 (unspecified), poll 4 (16s), precision -6
    Root Delay: 1.000000, Root dispersion: 1.000000, Reference-ID: (unspec)
      Reference Timestamp:  0.000000000
      Originator Timestamp: 0.000000000
      Receive Timestamp:    0.000000000
      Transmit Timestamp:  2208988835.870000004 (1970/01/01 01:00:35)
        Originator - Receive Timestamp:  0.000000000
        Originator - Transmit Timestamp: 2208988835.870000004 (1970/01/01 01:00:35)
    19:42:04.309376 00:XX:b9:XX:XX:18 > XX:XX:XX:07:7b:XX, ethertype IPv4 (0x0800), length 90: (tos 0xb8, ttl 64, id 26535, offset 0, flags [none], proto UDP (17), length 76)
        192.168.XX.1.123 > 192.168.XX.XXX.2050: [bad udp cksum 0xf07c -> 0x3043!] NTPv3, length 48
    Server, Leap indicator:  (0), Stratum 2 (secondary reference), poll 4 (16s), precision -22
    Root Delay: 0.027709, Root dispersion: 0.029968, Reference-ID: 131.188.3.221
      Reference Timestamp:  3716731523.875041961 (2017/10/11 19:25:23)
      Originator Timestamp: 2208988835.870000004 (1970/01/01 01:00:35)
      Receive Timestamp:    3716732524.309091806 (2017/10/11 19:42:04)
      Transmit Timestamp:  3716732524.309249043 (2017/10/11 19:42:04)
        Originator - Receive Timestamp:  +1507743688.439091801
        Originator - Transmit Timestamp: +1507743688.439249038



  • Nabend @all,

    mittlerweile habe ich weitere Versuche gestartet eine funktionierende Blockregel im LAN-Interface und auch alternativ per Floating auf diese IP zu legen. Leider weiterhin ohne Erfolg. Gibt es denn keine Möglichkeiten sämtlichen Netzwerkverkehr auf diese externe IP zu verhindern. Auch eine globale Regel, welchen allen meinen Netzwerkgeräten die Kommunikation mit dieser IP verhindert wäre ok. Nur leider komme ich hier nicht weiter…. Hat jemand eine Idee für mich parat?

    Grüße M.



  • @Micky008:

    Hat jemand eine Idee für mich parat?

    UPnP abgeschaltet?

    -flo-



  • Guten Morgen

    Was passiert denn wenn statt dem Alias in der "Block unknown Traffic rule" einfach allen (*) statt nur den "Webcams" der Traffic verboten wird?

    Und nur um sicherzugehen. Wie sieht der Alias für "Webcams" aus?


  • LAYER 8 Moderator

    Gibt es denn keine Möglichkeiten sämtlichen Netzwerkverkehr auf diese externe IP zu verhindern

    Natürlich mit einer normalen Blockregel. Warum deine nicht greifen kann man aber leider nicht ohne weiteres sagen, wenn du zusätzlich auch noch Floating Regeln bastelst und die Aliase nicht einsehbar sind :)



  • Nabend @all,

    danke für eure Antworten, war heut den ganzen Tag unterwegs daher erst jetzt die Antworten:

    @flo: upnp ist deaktiviert
    @hbauer: eine screenshot von dem alias webcams habe ich angehängt
    @JeGr: Screenshot vom Alias habe ich beigefügt, Floating war nur ein Test, habe ich wieder entfernt / die aktuellen LAN-Rules habe ich per Screenshot ebenfalls angehängt

    Ich habe direkt hinter der allgemeinen Blockregel für IPv6 eine weitere Regel erstellt, die von sämtlichen Quellen jeglichen Traffic auf die o.g. IP blockt.

    Block: LAN-Schnittstelle - IPv4 - Protocol any - Source any –> Destination Host 54.219.236.25

    Auch diese greift leider nicht. Scheinbar stellt die Kamera eine Verbindung zum Hersteller als DDNS Service her. In der WebConfig der Kamera ist alles deaktiviert, daher wollte ich die Verbindungen via pfsense verhindern.




  • Wenn diese Block Regel nicht zieht dann scheint es nicht an dem Alias liegen.

    Gibt es vielleicht noch eine Interface Gruppe mit einer Regel?



  • Hallo hbauer,

    es gibt auf OPT1 (ETH2) das VLAN1 und VLAN200. Hier sind aber keine Regeln bzgl. der WebCams angelegt, da diese nur via LAN angebunden sind. Floating-Rules habe ich keine definiert.

    Mhmm, steh leider nachwievor völlig auf dem Schlauch und bin über jede Hilfe dankbar.


  • Banned

    Die States hast du aber zurückgesetzt nachdem du die Regel aktiviert hast?



  • Nein, States habe ich bisher nicht zurückgesetzt. War bei allen anderen Regeln bisher auch nicht notwendig.


  • Banned

    @Micky008:

    Nein, States habe ich bisher nicht zurückgesetzt. War bei allen anderen Regeln bisher auch nicht notwendig.

    Na dann tu das mal, so lange ein State für die Verbindung besteht hat die Regel keine Auswirkungen, da die Regeln nur für das erstellen von States angewendet werden.



  • unter Diagnostics -> States -> Reset States, oder?


  • Banned

    @Micky008:

    unter Diagnostics -> States -> Reset States, oder?

    Ja. Wenn das nicht hilft beschreibe deinen Netzwerk mal ganz genau, inkl. aller Regeln die du erstellt hast. Sonst raten wir hier nur im Dunkeln weiter.



  • Habe die States zurückgesetzt, der Traffic per PacketCapture zeigt noch immer die Verbindung zur genannten IP an. Mein Netzwerk ist folgendermaßen aufgebaut:

    VodafoneCable via FritzBox 6490 Cable –> pfsense WAN (eth0) -> LAN (eth1) + OPT1 (eth2)

    OPT1 stellt 2 VLAN´s zur Verfügung, welche keinerlei Zugriff auf LAN/WAN haben. Habe der Einfachheit OPT1 vorrübergehend deaktiviert. An LAN (eth1) hängt eine fritzbox 7490 welche allen Geräten per Ethernet/WLAN den Zugang zum LAN-Netzwerk ermöglicht. Squid läuft zudem als transparenter Proxy.

    Die besagten WebCams sind 2 Wansview Kameras, weiterhin sind im LAN ne handvoll Notebooks, Handy´s, raspberry pi´s ....

    auf WAN Seite gibt es nur 1 Regel für die PortWeiterleitung f. den OpenVPN Server, welcher auf einem meiner pi´s läuft.

    Die LAN-Regeln habe ich im vorletzten Post per Screenshot angehongen. Falls du weitere Infos benötigst stelle ich die gern zur Verfügung.

    EDIT: Ich habe testweise die u.g. IP mal mit einer anderen getauscht. Vorher konnte ich das Ziel anpingen, nach dem Ändern der IP und dem Reset der States konnte die Test-IP nicht mehr angepingt werden. Ansich scheint die Regel daher zu funktionieren, die Frage ist nur warum die Cam nachwievor mit dieser u.g. IP kommunizieren kann...


  • Banned

    Schau dir mal die States der Cam an, ist da einer für die Ziel IP dabei? Wenn machst du das PacketCapture, wenn am LAN Interface dann überprüfe bitte auch ob es am WAN Interface weitergeht. Die Fritzbox am LAN macht aber hoffentlich kein NAT.



  • Hallo Grimson,

    erstmal vielen Dank für deine Geduld und Unterstützung. Die o.g. Logs aus dem PacketCapture habe ich auf der LAN-Schnittstelle gemacht.

    Sobald die Kamera gestartet wird erscheint folgender Eintrag bei den States:

    
    LANSCHNITTSTELLE 	tcp 	192.168.XX.225:2048 -> 127.0.0.1:3128 (54.219.236.25:80) 	TIME_WAIT:TIME_WAIT 	5 / 5 	398 B / 531 B
    
    

    Wenn ich die Kamera vom Strom nehme, wird der States Eintrag sofort wieder entfernt.

    Die Fritzbox an der LAN-Schnittstelle macht kein NAT, wird nur als LAN + WLAN-Accesspoint genutzt, sollte also hier nicht dazwischen funken können.

    Ich habe zudem nochmal ein PacketCapture auf der WAN-Schnittstelle ausgeführt. Das Log ist leer, egal ob ich nach der IP Adresse der Kamera oder nach der o.g. 54.219.236.25 filtere….

    Ich guck mir nochmal Squid an, vielleicht gibt es hier die Möglichkeit die IP zu blockieren. Hast du sonst noch eine Idee?

    Grüße M.

    EDIT: Squid-Logs (bestätigt meinen Verdacht bzgl. dem ungewollten DDNS Service)

    
    14.10.2017 18:04:21	192.168.XX.225/192.168.XX.225	http://54.219.236.25/api/userip.asp?username=XXXXXXX&userpwd=XXXXXXXX&vertype=910&language=0&dtype=0&tcpport=80&lanip=192.168.XX.225	Request(default/in-addr/-) - GET REDIRECT
    
    

  • Banned

    @Micky008:

    Hallo Grimson,

    erstmal vielen Dank für deine Geduld und Unterstützung. Die o.g. Logs aus dem PacketCapture habe ich auf der LAN-Schnittstelle gemacht.

    Sobald die Kamera gestartet wird erscheint folgender Eintrag bei den States:

    
    LANSCHNITTSTELLE 	tcp 	192.168.XX.225:2048 -> 127.0.0.1:3128 (54.219.236.25:80) 	TIME_WAIT:TIME_WAIT 	5 / 5 	398 B / 531 B
    
    

    Wenn ich die Kamera vom Strom nehme, wird der States Eintrag sofort wieder entfernt.

    Die Fritzbox an der LAN-Schnittstelle macht kein NAT, wird nur als LAN + WLAN-Accesspoint genutzt, sollte also hier nicht dazwischen funken können.

    Ich habe zudem nochmal ein PacketCapture auf der WAN-Schnittstelle ausgeführt. Das Log ist leer, egal ob ich nach der IP Adresse der Kamera oder nach der o.g. 54.219.236.25 filtere….

    Das sieht doch schon mal gut aus, dann verlässt der Traffic anscheinend die pfSense nicht. Ich habe noch nicht mit squid gearbeitet, aber ich könnte mir vorstellen dass das Antwort Packet auf der LAN Schnittstelle von squid kommt und nur eine entsprechende Fehlermeldung ist, schau dir doch einmal den Inhalt des Packetes an.

    @Micky008:

    
    14.10.2017 18:04:21	192.168.XX.225/192.168.XX.225	http://54.219.236.25/api/userip.asp?username=XXXXXXX&userpwd=XXXXXXXX&vertype=910&language=0&dtype=0&tcpport=80&lanip=192.168.XX.225	Request(default/in-addr/-) - GET REDIRECT
    
    

    Mach doch einfach mal einen simplen Test pack einen deiner PCs in den Webcams Alias mit rein (nicht vergessen die States nach dem Neuladen der Filter zurück zu setzen), versuche die obige URL zu erreichen und schau was dabei raus kommt.

    Was ich mir noch vorstellen könnte, mit einem Proxy auf der Firewall, ist das durch die Anti-Lockout Regel Zugriffe auf Port 80 später nicht mehr geblockt werden können. Da diese Regel die Zugriffe ja schon zulässt. Solltest du also mit obigem Test auf die Webseite durchkommen kannst du ja mal probieren die WebUI von der pfSense auf z.B. Port 88 oder 8080 zu legen, das müsste die Regel mit anpassen.



  • Mhmm, ich denke schon dass der Traffic raus geht… lt. PacketCapture kommt ja auch was von der uminösen IP zurück. Das mit dem zusätzlichen Client in den Alias werde ich morgen ausprobieren, heut schaff ich es leider nicht mehr.


  • Banned

    Du kannst auch mal die pf Regeln im ganzen posten, bitte auf pastebin o.ä. und dann nen Link, nicht direkt hier ins Forum: https://doc.pfsense.org/index.php/How_can_I_see_the_full_PF_ruleset

    Eigentlich sollten die Umleitungsregeln für squid erst nach den Benutzer Regeln auftauchen, wenn sie davor auftauchen ist das ein Bug.



  • Hallo Grimson,

    hatte in den letzten Tagen aus familiären Gründen leider "Land Unter". Sorry, dass ich erst jetzt antworte. Ich habe mir die Rules angeschaut, soweit ich das erkennen kann stehen auch die Squid Regeln unter den Nutzer Regeln.

    Diese stehen hier am Ende:

    
    ...
    block drop in quick on igb0 inet from any to 54.219.236.25 label "USER_RULE: Traffic auf WansView DDNS verhindern"
    ...
    pass in quick on igb0 proto tcp from any to (igb0) port = 3128 flags S/SA keep state
    pass in quick on igb2_vlan200 proto tcp from any to (igb2_vlan200) port = 3128 flags S/SA keep state
    pass in quick on lo0 proto tcp from any to (lo0) port = 3128 flags S/SA keep state
    pass in quick on igb0 proto tcp from any to (igb0) port = 3129 flags S/SA keep state
    pass in quick on igb2_vlan200 proto tcp from any to (igb2_vlan200) port = 3129 flags S/SA keep state
    pass in quick on lo0 proto tcp from any to (lo0) port = 3129 flags S/SA keep state
    
    

    Unter States finde ich nur den folgenden Eintrag, welche einen Bezug auf die WebCam haben:

    
    igb0 tcp 127.0.0.1:3128 (54.219.236.25:80) <- 192.168.XX.225:2054       TIME_WAIT:TIME_WAIT
    
    

    Die Blockregel auf die ominöse IP habe ich ich via any von allen Geräten aus LAN net versucht. Dennoch kann ich die IP erreichen.

    Hab auch unter Squid keine Möglichkeit gefunden diese IP zu blockieren.

    LG Micky


  • Banned

    Die ganzen Regeln wären hilfreich, nicht nur ein Ausschnitt davon.



  • Kann ich dir die Rules auch anderweitig zur Verfügung stellen?


  • Banned

    Nope, I halte Security through obscurity für absoluten Schwachsinn und unterstütze es in keiner Form.

    Mit den lokalen IP Adressen kann von außen keiner was anfangen, und wenn jemand an der Firewall vorbei ist hast du so oder so verloren.



  • ok, trotzdem Danke für deine Hilfe.

    Grüße M.



  • Hallo und Guten Morgen,

    habe nun einen funktionierenden Weg gefunden den unerwünschten Traffic zu verhindern. Und zwar nutze ich Domain Overrides des DNS Resolvers um die Domän nwsvr.com auf 127.0.0.1 umzulenken.

    Somit können die WebCams nun nicht mehr den WansView DDNS Server erreichen. Ganz lieben Dank an alle die mit nach einer Lösung gesucht haben.

    Grüße M.


Log in to reply