Komische Syslogeinträge
Moderator: Lancom-Systems Moderatoren
Komische Syslogeinträge
Liebe Community,
Wir haben hier einen R883VAW mit LCOS 10.50.0235.
Hier schlagen im Syslog massig Meldungen folgender Form auf:
7 2021-11-15 20:32:30 AUTHPRIV Alarm Login from 103.85.234.21 via SSH failed
Port 22 ist auf dem Router zwar freigegeben, zeigt aber auf eine andere Maschine.
Der SSH-Zugriff auf den Router selbst ist auf einem anderen Port freigegeben, wird in der Firewall aber nicht weitergeleitet.
Wie zum Teufel kann es denn zu den Einträgen im Syslog kommen?
Wir haben hier einen R883VAW mit LCOS 10.50.0235.
Hier schlagen im Syslog massig Meldungen folgender Form auf:
7 2021-11-15 20:32:30 AUTHPRIV Alarm Login from 103.85.234.21 via SSH failed
Port 22 ist auf dem Router zwar freigegeben, zeigt aber auf eine andere Maschine.
Der SSH-Zugriff auf den Router selbst ist auf einem anderen Port freigegeben, wird in der Firewall aber nicht weitergeleitet.
Wie zum Teufel kann es denn zu den Einträgen im Syslog kommen?
Re: Komische Syslogeinträge
Die Managementfunktionen auf einem LANCOM-Router hängen nicht am Routermodul und hängt damit auch nicht hinter der Firewall. Da du scheinbar den Router nicht deinen Vorstellungen entsprechend konfiguriert hast, ist der SSH-Dienst (und vielleicht noch andere Sachen) vom WAN aus erreichbar.
LCS NC/WLAN
Re: Komische Syslogeinträge
Eingerichtet hat das Ding die Telekom.
Von extern liefert der gewählte Port per nmap <filtered>.
Dummerweise klappt ein SSH Verbindungsversuch über den gewählten Port durchaus.
Aber schon schräg, wie Lancom da verfährt.
Danke für Deine Intention.
P.S.:
Hast Du eine Idee, wie ich die Misere abstellen kann?
Von extern liefert der gewählte Port per nmap <filtered>.
Dummerweise klappt ein SSH Verbindungsversuch über den gewählten Port durchaus.
Aber schon schräg, wie Lancom da verfährt.
Danke für Deine Intention.
P.S.:
Hast Du eine Idee, wie ich die Misere abstellen kann?
Re: Komische Syslogeinträge
Hi Fraggle
Sobald aber der Erstinstallationswizard läuft, fragt er dich auf der ersten Seite, von wo das Gerät administrierbar sein soll - im Default ist dort nur das LAN und VPN erlaubt.
Wenn es bei dir anders ist, dann hat entweder die Telekom Mist gebaut oder du hat es irgendwann umgestellt.
Einstellen kannst du es unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsrechte -> von einer WAN Schnittstelle. Dort kannst du für jedes Konfigurations-Protokoll sagen, ob der Zugriff erlaubt oder verboten werden soll
Und unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsstationen kannst du einstellen von welchen IP-Adressen aus auf das Gerät zugegriffen werden darf. Im Default ist die Tabelle leer und es gibt somit keine Einschränkung. Sobald du da etwas einträgst, dürfen nur noch die dazu passende IP-Adressen auf das Gerät zugreifen
Gruß
Backslash
nein, LANCOM verfährt da korrekt - Das Gerät ist im Ausleiferungszustand tatsächlich über das WAN konfigurierbar. Das ist explizit von Projektkunden so gewollt.Aber schon schräg, wie Lancom da verfährt.
Sobald aber der Erstinstallationswizard läuft, fragt er dich auf der ersten Seite, von wo das Gerät administrierbar sein soll - im Default ist dort nur das LAN und VPN erlaubt.
Wenn es bei dir anders ist, dann hat entweder die Telekom Mist gebaut oder du hat es irgendwann umgestellt.
Einstellen kannst du es unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsrechte -> von einer WAN Schnittstelle. Dort kannst du für jedes Konfigurations-Protokoll sagen, ob der Zugriff erlaubt oder verboten werden soll
Und unter Management -> Admin -> Zugriffseinstellungen -> Zugriffsstationen kannst du einstellen von welchen IP-Adressen aus auf das Gerät zugegriffen werden darf. Im Default ist die Tabelle leer und es gibt somit keine Einschränkung. Sobald du da etwas einträgst, dürfen nur noch die dazu passende IP-Adressen auf das Gerät zugreifen
Gruß
Backslash
Re: Komische Syslogeinträge
Hi backslash,
vielen Dank. Habe den SSH-Zugriff aus dem WAN nun abgestellt. Würde der Lancom Zugriffsversuche IP-bezogen blocken (wie z.B. fail2ban), würden die Einstellungen für Bruteforce-Angriffe auch nützlich sein. So wie es jetzt gehandhabt wird, wird man von bösen Buben im Internet selbst ausgesperrt.
vielen Dank. Habe den SSH-Zugriff aus dem WAN nun abgestellt. Würde der Lancom Zugriffsversuche IP-bezogen blocken (wie z.B. fail2ban), würden die Einstellungen für Bruteforce-Angriffe auch nützlich sein. So wie es jetzt gehandhabt wird, wird man von bösen Buben im Internet selbst ausgesperrt.
Re: Komische Syslogeinträge
Hi backslash,
NEIN! Lancom arbeitet da NICHT korrekt! Irgendwelche schwindelige automatisch geöffneten Ports ausserhalb meiner persönlich verwalteten FW sind indiskutabel!
NEIN! Lancom arbeitet da NICHT korrekt! Irgendwelche schwindelige automatisch geöffneten Ports ausserhalb meiner persönlich verwalteten FW sind indiskutabel!
Re: Komische Syslogeinträge
Hi Fraggle,
das LANCOM hat keine offenen Ports, die du nicht selbst geöffnet hast!
Und spätestensn nach dem Erstinstallationswizard sind Richtung Internet überhaupt *KEINE* Ports offen
Ein LANCOM ist i.Ü. KEINE Fritzbox - man sollte also wissen, was man macht, wenn man ein LANCOM einsetzt
Gruß
Backslash
das LANCOM hat keine offenen Ports, die du nicht selbst geöffnet hast!
Und spätestensn nach dem Erstinstallationswizard sind Richtung Internet überhaupt *KEINE* Ports offen
Ein LANCOM ist i.Ü. KEINE Fritzbox - man sollte also wissen, was man macht, wenn man ein LANCOM einsetzt
Gruß
Backslash
Re: Komische Syslogeinträge
Hi Backslash,
das ein Lancom keine Fritzbox ist, ist schon klar. Wir kennen hier seit 20+ Jahren die Nickligkeiten von Bintec/Funkwerk/ELMEG-Routern. Lancoms waren auch schon darunter. Einen Schluck Erfahrung habe ich da also schon. Das auf einem (Telekom-)Router aber auf einem Port xyz ssh-Anfragen einprasseln ohne in der FW/Portweiterleitungstabelle überhaupt aufzutauchen, der sogar per nmap als filtered/closed bezeichnet wird, finde ich zumindest verwirrend. Das dieses dann dazu führt, mich intern beim ssh-Zugriff mit "blocked Access" zu beglücken, ist mehr als nur unglücklich.
P.S.:
Egal ob selbst geöffnet oder vom Abendwind. Den offenen Port vor nmap mit obskuren Mitteln zu "verstecken" ist maximal Security by Obscurity. Genau DAS will ich gerade auf einem Router nicht!
das ein Lancom keine Fritzbox ist, ist schon klar. Wir kennen hier seit 20+ Jahren die Nickligkeiten von Bintec/Funkwerk/ELMEG-Routern. Lancoms waren auch schon darunter. Einen Schluck Erfahrung habe ich da also schon. Das auf einem (Telekom-)Router aber auf einem Port xyz ssh-Anfragen einprasseln ohne in der FW/Portweiterleitungstabelle überhaupt aufzutauchen, der sogar per nmap als filtered/closed bezeichnet wird, finde ich zumindest verwirrend. Das dieses dann dazu führt, mich intern beim ssh-Zugriff mit "blocked Access" zu beglücken, ist mehr als nur unglücklich.
P.S.:
Egal ob selbst geöffnet oder vom Abendwind. Den offenen Port vor nmap mit obskuren Mitteln zu "verstecken" ist maximal Security by Obscurity. Genau DAS will ich gerade auf einem Router nicht!
Re: Komische Syslogeinträge
Hi Fraggle,
Wenn du also die Sylog-Mesudngen hast, aber aus dem Internet ein nmap sagt, daß der Port gefiltert wäre, dann solltest du dich bei der Telekom beschweren - denn dann hätte sie zum einen ih ihren Routern einen Fiter für den Port (nicht den Standard-SSH-Port, sondern den den du verwendst) eingerichtet UND würde auch noch sebst versuchen mit faschen Credentials über diesen Port auf dein Gerät zuzugreifen.... Das kan ich mir abllerdings bei der Telekom nicht vorstellen...
Gruß
Backslash
wenn auf dem SSH-Port ein Listener sitzt, dann siehst du ihn auch im nmap... wenn nmap sagt "filtered/closed" dann kam auf das TCP-SYN direkt ein RST zurück, sprich der Port ist ZU, denn nach einem RST kann keine Session augebaut werden, in der du dann ein falsches Paßwort eingibts...Egal ob selbst geöffnet oder vom Abendwind. Den offenen Port vor nmap mit obskuren Mitteln zu "verstecken" ist maximal Security by Obscurity. Genau DAS will ich gerade auf einem Router nicht!
Wenn du also die Sylog-Mesudngen hast, aber aus dem Internet ein nmap sagt, daß der Port gefiltert wäre, dann solltest du dich bei der Telekom beschweren - denn dann hätte sie zum einen ih ihren Routern einen Fiter für den Port (nicht den Standard-SSH-Port, sondern den den du verwendst) eingerichtet UND würde auch noch sebst versuchen mit faschen Credentials über diesen Port auf dein Gerät zuzugreifen.... Das kan ich mir abllerdings bei der Telekom nicht vorstellen...
Gruß
Backslash
Re: Komische Syslogeinträge
Ich kann mir schon vorstellen, das die Telekom den Zugriff auf interne IP-Bereiche beschränkt hat und eine der Kisten innerhalb dieses Bereichs im Zugriff von bösen Buben liegt. Die Künstler kriegen es hier auch nicht hin, eine vermietete "Fallbacklösung" per zusätzlichem LTE-Router korrekt zu konfigurieren. Lapidare Auskunft: Lancom hat da einen Fehler.
Unterm Strich natürlich meinerseits Vermutungen und stochern im Nebel. Jedoch traue ich der Telekom schon längerer Zeit Alles zu.
Unterm Strich natürlich meinerseits Vermutungen und stochern im Nebel. Jedoch traue ich der Telekom schon längerer Zeit Alles zu.