Woran erkennt man einen Angriff



  • Hallo,

    kann mir von euch jemand sagen wie ich in den Logs von der Pfsense einen Angriff erkennen kann? Wie kann man die Logfiles auswerten?
    Gibt es da eine FAQ in Deutsch?

    Danke



  • Komisch,

    haben die 15 Leute die das gelesen haben alle keine Ahnung wie man
    das Logfile auswertet?
    ??? :o



  • Irgendwie schon Geil,
    36 Leute und keiner weiss wie man die
    Log-Datei auswertet? Ich lach mich schlapp,
    also haben alle hier eine Firewall und keiner kann die
    Log's auswerten, Cool



  • push


  • LAYER 8 Moderator

    Guten Morgen.

    Sorry, aber ein wenig penetrant bist du schon. Kaum 12h Stunden vergehen nach deinem ersten Post und schon werden die ersten Leser und Besucher dieses Themas - ich sage es mal so - "Dumm von der Seite angequakt". Nochmal 4h später und du amüsierst dich köstlich über die Unfähigkeit der Leute, eine Antwort zu schreiben, weil ja offensichtlich alle zu dumm sind ihre Logs zu lesen und auszuwerten. Ach nein, genau das wolltest du ja auch wissen.

    Spätestens nach diesen 3 Posts - und das ist allein meine Meinung, mögest du mich dafür verleiden oder nicht - hätte ich persönlich absolut keine Lust mehr dir zu antworten. Die Frage kann man auch anders, oder spezifischer, stellen; sie ist relativ allgemein gehalten, so dass man eigentlich keine konkrete Aussage machen kann. Und dann wird man auch noch glattweg ohne Grund pauschal-beleidigt.

    Ich denke das ist ein äußerst kontraproduktives Auftreten, dass du da an den Tag legst.

    Oh, und bevor ich nun auch verdammt werde, weil ich dir ja genau gar keine Antwort gegeben habe: Lerne lesen, verstehen und dich anständig ausdrücken.

    Firewall Logs in pfSense sind Filter-Logs. Sie alleine sagen nichts aus. Den Sinn muss man ihnen verleihen, indem man entweder selbst in der Lage ist, Schlüsse zu ziehen, oder zusätzliche Analysetools wie SNORT und Konsorten einsetzt, die den Verkehr auf den Interfaces weitergehend analysieren. Sicher kann ich nach den 254 im Log vorhandenen Versuchen, mein außenstehendes Class-C-Netz von 1-254 auf tcp/22 zu scannen mit Sicherheit sagen, dass es dort jemanden brennend interessiert, ob meine Server SSH erreichbar sind. Sicher könnte ich daraus schließen, dass das kein feiner Zug ist. Ob das allerdings lediglich ein Scan war, oder der Auftakt zum Versuch eine SSH Sicherheitslücke auszunutzen, wird mir mein Logfile sicher nicht sagen. Das kann ich nur selbst schließen wenn ich die Security Nachrichten der letzten Tage und die weiteren Logs zusammen mit etwas Verstand weiter analysiere. Ist der Zugriff auf Port 80 meines Webservers legitim oder versucht darüber jemand etwas Böses? Das kann dir kein Filterlog sagen, nur zusammen mit dem Applikations-Logfile und etwas Content-Analyse ließe sich damit vielleicht ein Angriff erkennen. Sicher ist, dass gar nichts sicher ist. Nicht zu 100%

    Aber wie ich weiter oben bereits angemerkt habe, bei solch einer weit gefassten und laxen Fragestellung ohne den geringsten Anhaltspunkt zu geben - und dem Tonfall - wird man sicher nichts dazu sagen können.

    Trotzdem einen schönen Tag noch.

    Grey



  • Hallo Grey,

    wieso Tonfall, ??? habe ich alles gross geschrieben ;) das man denken könnte ich schreie  :-
    nein Spass bei Seite.
    Erst mal vielen Dank für die Info, mehr wollte ich nicht wissen, ich dachte man würde an den Log sehen was ein eventuell stattfindender Angriff will macht oder ob es überhaupt einer ist.

    Eigentlich war mein Frage ja klar definiert oder ???
    Und wenn das jemand gleich geschrieben hätte, hätte der Thread nicht so lang werden müssen.
    Aber ich denke das viele die Firewall haben und die Logs auch nicht verstehen, sonst hätte sich sicher jemand gemeldet, ist aber nur eine Vermutung.

    Danke


  • LAYER 8 Moderator

    Es geht nicht darum, dass alles in CAPS geschrieben sein muss, man kann auch durch andere Dinge Unmut, Ungeduld und negative Stimmung erzeugen. Wie ich angedeutet habe, ist es zudem sehr oft nicht gern gesehen, wenn man nach einer Frage alle paar Stunden postet wie "doof" doch alle anderen sind, weil sie noch nicht geantwortet haben. Das empfinde ich in diesem Fall nicht nur als schlechten Stil, sondern auch als Generalverurteilung aller anderen deutschen Leser als "dumm" und "unfähig", nur weil dir innerhalb von 2 Tagen niemand geantwortet hat. Dass es aber durchaus Situationen gibt, in denen man nur einen kurzen Blick auf das Topic wirft und nicht direkt antworten kann, weil - wie in diesem Fall - ggf. die Antwort etwas ausschweifender würde, hast du gekonnt ignoriert. Ich entsinne mich an andere Posts an bspw. Firewall-Mailinglisten, die in ähnlicher Machart (nicht von dir) gestellt wurden und mit der gleichen Nichtachtung gestraft wurden. Das ist dann nämlich durchaus oft das Resultat.

    Deshalb klarer Ausdrücken, so viel Information wie möglich mitgeben und anständig schreiben - und bleiben - dann wird dir sicher zukünftig häufiger eine Antwort zuteil werden. Trotz allem bleibt bei mir der Eindruck - auch aus deinen anderen Posts - dass du erst einmal dringend an deinem Grundverständnis der Materie arbeiten solltest. Das ist durchaus ein ernstgemeinter Rat und keine Beleidigung, aber du drückst in deinen Fragen und Postings mitunter zu einigen wichtigen Grundlagenthemen noch eine wohlwollende Unwissenheit aus :) Dem kann sicherlich Abhilfe geschaffen werden, aber es würde dir vielleicht zusätzlich weiterhelfen, dich mit der Materie und dem Gebiet mehr zu beschäftigen um dir die Grundlagen zu bauen und  z.B. solche Dinge wie Loganalysen und Protokollverständnis anzueignen.

    Gruß
    Grey



  • Hallo Grey,

    ja ich weiss mir fehlen da einige Grundlagen, aber leider ist das meiste für die Pfsense auf englisch und mein englisch
    ist leider nicht so stark. :-\

    Mann merkt auch hier im Forum, das doch das meiste im englischem Teil des Forums gelöst und gepostet wird.

    Danke


  • LAYER 8 Moderator

    Ich denke es geht da gar nicht so stark um pfSense-spezifisches, sondern wirklich um Netzwektechnik und deren Grundlagen. Im Prinzip ist das alles nicht wirklich pfSense spezifisch, wenn man sich mir Routing, Firewalling, Infrastrukturplanung etc. ein wenig auseinandersetzt. Man stößt dann unweigerlich auf Dinge, die alle Netzwerkgeräte gemein haben und kann sie bei anderen ebenfalls anwenden. Immer am Ball bleiben.

    Und ansonsten einfach höflich fragen und Geduld haben :)



  • hi sascha,

    bin neu hier, aber ich werde dir mit rat udn tat zur seite stehen ';')
    kann leider deshalb auch erst jetzt posten^^
    hauptsache ihr hört mit eurer diskussion auf….is ja schlimm!

    ich hatte ein scriptkiddie auf meinem server....das erkennst du recht gut - also ich nutze die letzte stable variante von pfsense -
    und da kannste unter status - systemlogs glaube ich heißt das....nachschauen

    es gibt dort zwei "abteilungen" die für dich intressant sein sollten
    einmal OpenVPN und deine Firewall!

    im OpenVpn Reiter siehst du alle login versuche und zugriffe auf deinen server, wenn du mit zertifikaten&schlüsseln arbeitest, sollte ein angreifer eigentlich erstmal abgewiesen werden und somit leicht zu finden sein im log (du hast dann übrigens seine ip )

    den rest der unerlaubten zugriffe findest du im firewall log.

    mfg


  • LAYER 8 Moderator

    Hallo Dave,

    ich bin mir nicht sicher was du meinst, aber so wie du es beschreibst ist es falsch. Im OpenVPN Reiter wird genau das geloggt, was der Name verspricht: Alle Verbindungen von und zum OpenVPN Server. Und auf einer Firewall (sofern nicht gerade als SOHO Router/FW Kombi eingesetzt) wird eigentlich kein VPN Endpoint terminiert. Und selbst wenn man auf der Firewall VPN annimmt (gibt ja durchaus gute Gründe dafür), sieht man in diesem Log nur genau das, den ankommenden VPN Tunnel. Das hat aber mit der Initialfrage eigentlich nichts zu tun, denn ich erkenne keinen Angriff daran, dass jemand vielleicht den UDP Port 1194 von OpenVPN scannt (was als nicht zustande gekommener VPN Tunnel gewertet wird, gut). Daran sehe ich nur, dass der Port evtl. gescannt wurde. Mit welcher Intention und/oder ob jemand ggf. einfach einen falschen Server in seiner VPN Konfiguration verwendet hat, kann ich daraus nicht ableiten.

    Der andere Punkt ist natürlich absolut richtig, im Firewall Abteil sind alle (zu loggenden) Filterregeln aufgeführt und die können natürlich betrachtet werden. Welchen Schluß man daraus zieht ist jedem selbst überlassen. Was in letzter Zeit z.B. häufiger zu sehen ist, sind Scans auf Port 22 (SSH) und 445 (Windows Dateifreigabe) oder auch Port 1433 (MS SQL Server). Ersterer kann - sofern man mehrere IP Adressen im Internet hat und alle kurz nacheinander gescannt werden - durchaus auf einen potentiellen Sondierer oder Angreifer hinweisen. Letzterer (SQL) bspw. bei entsprechender Meldung auf Trojaner oder Wurm deuten (SQL Slammer bspw.)

    Nichts desto trotz ist euer wichtigstes Werkzeug das große runde Ding zwischen euren Ohren ;) Und in das sollte so viel Lektüre wie möglich gepackt sein, um die richtigen Schlüsse zu ziehen. Angriffserkennung und das Feld Security im Allgemeinen haben viel von der Aufgabe eines Diagnostikers in einem Krankenhaus (Dr. House lässt grüßen). Symptome (Portscans, IDS etc.) gibt es viel, aber nur beim richtigen zusammensetzen des Puzzles gibt es vielleicht den größeren Sinn :)

    Grüße
    Grey



  • sry aber im endeffekt hast du genau das gesagt was ich schon vorher ausgedrückt hatte^^
    thx fürs fundament….unser haus steht!

    @ sascha...

    die reiter im systemlog sind genau das was du brauchst ;)
    wenn dir das nicht langt, kannst du sonst noch über snort ne menge loggen und sogar leute sperren bzw hosts die auf bestimmte funktionen zugreifen die du nicht gestattest :)

    Viel Erfolg


  • LAYER 8 Moderator

    Nein, habe ich nicht. Verzeih wenn ich dir da widersprechen muss, aber das war schlicht falsch, was du vorher geschrieben hattest, sonst hätte ich nicht nochmals was dazu gesagt:

    Im OpenVpn Reiter siehst du alle login versuche und zugriffe auf deinen server

    Und das ist quatsch. Im VPN Reiter stehen VPN Logdaten. Mehr nicht. Und die bringen zur Angriffserkennung - was seine Frage war - rein gar nichts.

    Möchte ja nicht rechthaberisch klingen, aber das was man schreibt sollte auch sein, was man meint :) Ansonsten ist das Fundament etwas wackelig ;)



  • eh sry aber vielleicht solltest du den reiter noch etwas weiter sdtudieren ;)
    ich kann anonyme anfragen sehen .. sehr komisch wenns bei dir nicht so ist!
    nicht nur anonyme sondern sogar anfragen ohne zertifikat und erfolgreichen abschluss ;)
    ich sag mal lieber nix dazu wie du hier rüberkommst!
    kannst auch ruhig schreiben was du willst, bei mir funzt es ja :P


  • LAYER 8 Moderator

    Ich weiß zwar nicht was du aus "komischen Anfragen" auf dem VPN Port rückschließt aber zu behaupten dass das Login-Versuche "auf seinen Server" sind ist einfach Unfug. Da kannst du von mir oder meiner Schreibweise hier denken was du möchtest, das ist mir relativ egal. Dazu kommt, dass du nirgends sagst, auf welche Version du deine Aussagen stützt, mag ja sein, dass der Tab in 2.0beta etwas gesprächiger geworden ist, aber dass ein OpenVPN Port Aussagen darüber macht, wer versucht sich in meinen Server einzuloggen, ja da behaupte ich frech ohne es in 2.0 gesehen zu haben, halte ich für schlicht Unfug.

    Und dass ich versuche trotz dem sehr seltsamen Beginn der Postings des OPs sachlich zu bleiben und konkrete Hinweise oder Fakten zu geben, kann man denke ich durchaus erkennen. Wenn du für dich beschließt ich käme anders herüber - schade drum und schade für dich - aber ich bin lang genug mit pfSense vertraut und arbeite lang genug mit Netzwerken um das sagen zu können.

    Wenn du mir konkret darlegen kannst, dass ich wo falschliege, bin ich auch gern bereit mich belehren zu lassen. Wenn jemand konkrete Fragen stellt, bin ich gern bereit mich auch mit komischen Probleme zu beschäftigen. Aber wenn ich etwas für mich Falsches lese und versuche es dem OP wegen korrekt darzustellen und dafür dann dumme Kommentare ernte, muss das denke ich nicht sein. Wenn du mir einen Screenshot posten kannst, aus dem du mir erklären kannst, was du für Angriffsvorhersagen aus den Infos deines VPN Tabs ableitest, bin ich höchst gerne bereit mir das anzusehen, vielleicht erfahre ich da neue Perlen an Information. Mir wäre aber kein Fall bekannt, das das funktioniert.

    So long
    Grey


  • LAYER 8 Moderator

    Damit dieses Thema nicht vollends abdriftet in komische Spekulationen über Gehalt von Aussagen wollte ich - da gerade aktuell - noch etwas dazu beigeben.

    Was sich für die schnelle und testweise Angriffserkennung gut eignet ist eine spezielle Regel auf dem Border Gateway, also der dem Internet zugewandten Firewall die mit ihrem Interface direkt am "WAN" hängt. Dort ein sprechendes Alias anlegen vom Typ Netzwerke und es in etwa "RejectBadGuys" nennen. Aber noch keine Netze eintragen.
    In der Filtertabelle nun als obersten Punkt eine Regel vom Typ "Block" eintragen von der Quelle "RejectBadGuys" Ports "any" to "any"/"any".  Diese sollte nach ihrem Einfügen auch keinerlei Filterung machen (da im Alias noch nichts eingetragen ist).

    Fällt dir nun im Log eine IP auf, die dir Suspekt vorkommt oder dir sehr viel Traffic oder Zugriffe auf Geräte erzeugt, die hinter deiner Firewall stehen, so kannst du - um Luft zu bekommen - diese Adresse mit /32er Netz in die Tabelle aufnehmen oder das gesamte Netzsegment aus dem die Zugriffe kommen in das Alias aufnehmen.

    Wir hatten bei einem alten Arbeitgeber den Fall, dass es einige Fälle gab, in denen die Webserver bspw. von einem Sturm an Zugriffen überrannt worden sind, die alle einer Handvoll IP Adressen aus dem gleichen Segment zugeschrieben werden konnte. Diese konnte man dann, bis man weitere Maßnahmen ergriffen hatte, über diese Schnellblockregel aussperren. Um zu sehen, dass sie greift kannst du zusätzlich die Regel noch loggen lassen, dann sieht man sehr schnell ob es gut oder schlecht war. Natürlich kann man auch recht flugs eine einzelne Regel generieren wenn man im Filterlog einen Zugriff erkennt, aber wenn es diverse Adressen aus einem ähnlichen Segment sind ist man mit einer Blocktabelle wie dem Alias schneller. Zumal in solchen Situationen häufig jede Sekunde zählt in denen es heißt: "Je schneller die Zugriffe aufhören umso größer die Wahrscheinlichkeit, dass die Server weiterleben und nicht umfallen".

    Grüße
    Grey


Log in to reply