E-Mail Benachrichtigung OpenVPN
-
Hallo an euch,
habe auf meiner pfSense einen OpenVPN-Server eingerichtet. Klappt soweit auch alles ganz gut. Leider sieht man aber auch sehr schnell, dass immer wieder Einwahlversuche durch Rechner in den USA versucht werden :-(
Kann man die pfSense so einstellen, dass bei jedem erfolgreichen bzw. fehlgeschlagenen Einwahlversuch über OpenVPN eine E-Mail an eine einstellbare E-Mail-Adresse gesendet wird?
-
Kann man die pfSense so einstellen, dass bei jedem erfolgreichen bzw. fehlgeschlagenen Einwahlversuch über OpenVPN eine E-Mail an eine einstellbare E-Mail-Adresse gesendet wird?
Nope, nicht mit den Standard-Bordmitteln der GUI/Einstellungen. Ggf. kann man dazu was basteln, was die Logs durchgrept und das entsprechend dann via Mail versendet.
Sind das tatsächliche Verbindungsversuche oder lediglich Verbindungen auf den Port? Das würde dann recht wenig Sinn machen, diese zu melden.Grüße
-
Nope, nicht mit den Standard-Bordmitteln der GUI/Einstellungen.
…und was ist mit dem Paket Mailreport ?
Damit sollte man doch in Verbindung mit…System: Advanced: Notifications
…etwas konfigurieren können.
-
@orcape: Danke fürs Erinnern, an Mailreport dachte ich gar nicht - ist ja auch nicht wirklich Bordmittel - aber recht hast du :)
Richtig, es würde gehen mit:
- Mailreport Package installieren
- System Advanced / Notifications / SMTP E-Mail konfigurieren und testen
- Status E-Mail Reports aufrufen
- Neuen Report erstellen mit bspw.
Typ: Daily
Hour of Day: Wann du den Report haben möchtest, also bspw. 9h morgens
Report Logs: Hier OpenVPN hinzufügen
#Rows: So viele Logzeilen werden gesendet
Filter: Was du gerne haben möchtest, hier also bspw. den String, nach dem du suchen möchtest. Beispiel: Peer Connection Initiated (with …IP...)Das Einzige was da ggf. reingrätscht ist, dass die Logs für OpenVPN ggf. zu klein oder nicht "laut" genug sein könnten -> evtl hier die verobisity hochdrehen. Das muss man aber ausprobieren.
Grüße
-
Danke schon mal für eure Antworten.
Leider trifft es das nicht ganz was ich mir vorstelle. Ich hätte gerne einen Mechanismus, der mir bei jedem erfolgreichen OpenVPN-Login per E-Mail meldet, dass ein Login erfolgt ist. Sprich, jedes Mal, wenn sich jemand erfolgreich per OpenVPN einwählt, hätte ich gerne eine E-Mail.
Hintergrund: bin ich das mit dem Login nicht, dann habe ich sofort eine "Einbruchswarnung" und kann u.U. schnell von remote die pfSense offline nehmen, bevor der Eindringling an interne Systeme kommt.
-
Moin,
…
Hintergrund: bin ich das mit dem Login nicht, dann habe ich sofort eine "Einbruchswarnung" und kann u.U. schnell von remote die pfSense offline nehmen, bevor der Eindringling an interne Systeme kommt.Es ist ja gerade der Sinn eines VPN das nur "berechtigte" Zugang bekommen, wer diese Hürde genommen hat ist "drinn", dann ist es zu spät. Hast Du deine Logs mal nach erfolgreichen Verbindungen, die nicht von Dir sind durchforstet? Wie oft kam es zu einem erfolgreichen Peer Connection Initiated mit unbefugten?
-teddy
-
Zum Glück hat es noch keiner geschafft. Aber: durch die nun bekannt gewordene DH-Schwachstelle ist es doch gar nicht sooo unwahrscheinlich, dass es doch mal soweit kommt.
Natürlich, hat der Angreifer mal diese Hürde genommen, dann ist er "drin". Es ist aber schon ein Unterschied, ob ich das nach 2 Minuten mitbekomme und ihn durch das Herunterfahren der pfSense "abklemmen" kann oder ob er sich munter ein oder zwei Tage in meinem LAN austoben kann, bis ich den Einbruch zufällig über die Logs mitbekomme.
-
Zum Glück hat es noch keiner geschafft. Aber: durch die nun bekannt gewordene DH-Schwachstelle ist es doch gar nicht sooo unwahrscheinlich, dass es doch mal soweit kommt.
Stimmt nicht, denn nicht alle VPN Konstrukte waren von LogJam betroffen. Und nur weil ein DH Cipher Group vielleicht schwach ist, kommt niemand einfach "so rein". Er kann dann vielleicht die verschlüsselte Verbindung ggf. versuchen zu dechiffrieren, das ist aber ein ganz anderes Thema. Login per OVPN lässt sich durch 2-2,5 Faktoren absichern. Und die sind auch nicht einfach mal so eben von SSL Lücken betroffen.
- User+Passwort
- Zertifikat
- ggf. Zertifikatsschlüssel (eher unnötig).
Bei diesen 2 Faktoren musst du mir bitte darlegen, welcher 08/15 User das bitte alles abgreifen soll um Zugriff auf dein VPN zu bekommen!? Zumal LogJam nur vorgefertigte Standard DH CipherGroups betroffen hat sowie Implementationen mit Downgrade kleiner als 1024. OVPN wird aber sowieso mit mind. 1024, besser 2048er DH aufgesetzt.
Ich denke du machst dir hier Panik, wo keine sein muss.
Grüße
-
Zum Glück hat es noch keiner geschafft. Aber.....Sorry, Dein Sicherheitsbedürfnis in allen Ehren, aber man kann es auch übertreiben. Einen PPTP-Tunnel betreibst Du ja hoffentlich nicht und mit einem
WindowsXP gehst Du auch nicht direkt ins Internet, oder doch ?
NSA, DDOS-Attacken und Hacker-Angriffe gibt es, Sicherheitlücken auch.
Man weiss das, unternimmt entsprechende Gegenmaßnahmen im Rahmen seiner Möglichkeiten und gut ist das.Ich denke du machst dir hier Panik, wo keine sein muss.
Das sehe ich auch so. ;)
