Komische Syslogeinträge

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Fraggle
Beiträge: 16
Registriert: 12 Nov 2021, 16:32

Komische Syslogeinträge

Beitrag von Fraggle »

Liebe Community,
Wir haben hier einen R883VAW mit LCOS 10.50.0235.

Hier schlagen im Syslog massig Meldungen folgender Form auf:

7 2021-11-15 20:32:30 AUTHPRIV Alarm Login from 103.85.234.21 via SSH failed

Port 22 ist auf dem Router zwar freigegeben, zeigt aber auf eine andere Maschine.
Der SSH-Zugriff auf den Router selbst ist auf einem anderen Port freigegeben, wird in der Firewall aber nicht weitergeleitet.
Wie zum Teufel kann es denn zu den Einträgen im Syslog kommen?
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: Komische Syslogeinträge

Beitrag von 5624 »

Die Managementfunktionen auf einem LANCOM-Router hängen nicht am Routermodul und hängt damit auch nicht hinter der Firewall. Da du scheinbar den Router nicht deinen Vorstellungen entsprechend konfiguriert hast, ist der SSH-Dienst (und vielleicht noch andere Sachen) vom WAN aus erreichbar.
LCS NC/WLAN
Fraggle
Beiträge: 16
Registriert: 12 Nov 2021, 16:32

Re: Komische Syslogeinträge

Beitrag von Fraggle »

Eingerichtet hat das Ding die Telekom.
Von extern liefert der gewählte Port per nmap <filtered>.
Dummerweise klappt ein SSH Verbindungsversuch über den gewählten Port durchaus.
Aber schon schräg, wie Lancom da verfährt.
Danke für Deine Intention.

P.S.:
Hast Du eine Idee, wie ich die Misere abstellen kann?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Komische Syslogeinträge

Beitrag von backslash »

Hi Fraggle
Aber schon schräg, wie Lancom da verfährt.
nein, LANCOM verfährt da korrekt - Das Gerät ist im Ausleiferungszustand tatsächlich über das WAN konfigurierbar. Das ist explizit von Projektkunden so gewollt.
Sobald aber der Erstinstallationswizard läuft, fragt er dich auf der ersten Seite, von wo das Gerät administrierbar sein soll - im Default ist dort nur das LAN und VPN erlaubt.
Wenn es bei dir anders ist, dann hat entweder die Telekom Mist gebaut oder du hat es irgendwann umgestellt.
Einstellen kannst du es unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsrechte -> von einer WAN Schnittstelle. Dort kannst du für jedes Konfigurations-Protokoll sagen, ob der Zugriff erlaubt oder verboten werden soll
Und unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsstationen kannst du einstellen von welchen IP-Adressen aus auf das Gerät zugegriffen werden darf. Im Default ist die Tabelle leer und es gibt somit keine Einschränkung. Sobald du da etwas einträgst, dürfen nur noch die dazu passende IP-Adressen auf das Gerät zugreifen

Gruß
Backslash
Fraggle
Beiträge: 16
Registriert: 12 Nov 2021, 16:32

Re: Komische Syslogeinträge

Beitrag von Fraggle »

Hi backslash,

vielen Dank. Habe den SSH-Zugriff aus dem WAN nun abgestellt. Würde der Lancom Zugriffsversuche IP-bezogen blocken (wie z.B. fail2ban), würden die Einstellungen für Bruteforce-Angriffe auch nützlich sein. So wie es jetzt gehandhabt wird, wird man von bösen Buben im Internet selbst ausgesperrt.
Fraggle
Beiträge: 16
Registriert: 12 Nov 2021, 16:32

Re: Komische Syslogeinträge

Beitrag von Fraggle »

Hi backslash,
NEIN! Lancom arbeitet da NICHT korrekt! Irgendwelche schwindelige automatisch geöffneten Ports ausserhalb meiner persönlich verwalteten FW sind indiskutabel!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Komische Syslogeinträge

Beitrag von backslash »

Hi Fraggle,

das LANCOM hat keine offenen Ports, die du nicht selbst geöffnet hast!
Und spätestensn nach dem Erstinstallationswizard sind Richtung Internet überhaupt *KEINE* Ports offen
Ein LANCOM ist i.Ü. KEINE Fritzbox - man sollte also wissen, was man macht, wenn man ein LANCOM einsetzt

Gruß
Backslash
Fraggle
Beiträge: 16
Registriert: 12 Nov 2021, 16:32

Re: Komische Syslogeinträge

Beitrag von Fraggle »

Hi Backslash,
das ein Lancom keine Fritzbox ist, ist schon klar. Wir kennen hier seit 20+ Jahren die Nickligkeiten von Bintec/Funkwerk/ELMEG-Routern. Lancoms waren auch schon darunter. Einen Schluck Erfahrung habe ich da also schon. Das auf einem (Telekom-)Router aber auf einem Port xyz ssh-Anfragen einprasseln ohne in der FW/Portweiterleitungstabelle überhaupt aufzutauchen, der sogar per nmap als filtered/closed bezeichnet wird, finde ich zumindest verwirrend. Das dieses dann dazu führt, mich intern beim ssh-Zugriff mit "blocked Access" zu beglücken, ist mehr als nur unglücklich.

P.S.:
Egal ob selbst geöffnet oder vom Abendwind. Den offenen Port vor nmap mit obskuren Mitteln zu "verstecken" ist maximal Security by Obscurity. Genau DAS will ich gerade auf einem Router nicht!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Komische Syslogeinträge

Beitrag von backslash »

Hi Fraggle,
Egal ob selbst geöffnet oder vom Abendwind. Den offenen Port vor nmap mit obskuren Mitteln zu "verstecken" ist maximal Security by Obscurity. Genau DAS will ich gerade auf einem Router nicht!
wenn auf dem SSH-Port ein Listener sitzt, dann siehst du ihn auch im nmap... wenn nmap sagt "filtered/closed" dann kam auf das TCP-SYN direkt ein RST zurück, sprich der Port ist ZU, denn nach einem RST kann keine Session augebaut werden, in der du dann ein falsches Paßwort eingibts...

Wenn du also die Sylog-Mesudngen hast, aber aus dem Internet ein nmap sagt, daß der Port gefiltert wäre, dann solltest du dich bei der Telekom beschweren - denn dann hätte sie zum einen ih ihren Routern einen Fiter für den Port (nicht den Standard-SSH-Port, sondern den den du verwendst) eingerichtet UND würde auch noch sebst versuchen mit faschen Credentials über diesen Port auf dein Gerät zuzugreifen.... Das kan ich mir abllerdings bei der Telekom nicht vorstellen...

Gruß
Backslash
Fraggle
Beiträge: 16
Registriert: 12 Nov 2021, 16:32

Re: Komische Syslogeinträge

Beitrag von Fraggle »

Ich kann mir schon vorstellen, das die Telekom den Zugriff auf interne IP-Bereiche beschränkt hat und eine der Kisten innerhalb dieses Bereichs im Zugriff von bösen Buben liegt. Die Künstler kriegen es hier auch nicht hin, eine vermietete "Fallbacklösung" per zusätzlichem LTE-Router korrekt zu konfigurieren. Lapidare Auskunft: Lancom hat da einen Fehler.
Unterm Strich natürlich meinerseits Vermutungen und stochern im Nebel. Jedoch traue ich der Telekom schon längerer Zeit Alles zu.
Antworten