LANCOM - Forensiker benoetigt

Allgemeine Fragen zu Themen die sonst nirgendwo passen

Moderator: Lancom-Systems Moderatoren

Antworten
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

LANCOM - Forensiker benoetigt

Beitrag von Koppelfeld »

Hallo,
mehr durch Zufall sehe ich im Rahmen des heutigen planmäßigen Server-Audits eine merkwürdige Fehlermeldung. Der Server ist in einer DMZ und hat eine öffentliche IP-Adresse. Im LANCOM 9100+ bestehen Firewall-Regeln.

Neugierig geworden, sehe ich mir die selbstverfaßten FW-Regeln an.

Es fällt auf:

- Die "DENY ALL" - Regel ist abgeschaltet
- Alle erlaubenden Regeln sind verändert, indem das Protokoll durch 'ANY' ersetzt,
- jedoch dem ZIEL zugeordnet wurde, also
- aus ALLW_SOMEWHAT <source> <protocol> <destination> <action> wurde
- ALLW_SOMEWHAT <source> ANY "<destination> <protocol>" <action>

Die Veränderung fand nur in Zeilen statt, die eine Prioritätsangabe hatten.

Seit dem 07.07. gibt es regelmäßige Besuche aus China, Rumänien, den Niederlanden ...
Nachrichtlich eines Mitglieds der Geschäftsführung hatte ein Team von Dilettanten kurz zuvor die Aufgabe gehabt, eine der Gegenstellen des manipulierten Routers über Mobilfunk zu verbinden (die Telekom konnte eine Woche lang keinen Ersatz für den CoCo-CISCO-Router liefern. Man "spart" bei der Ersatzteillogistik).
Das haben die beiden Zipfelmützen innerhalb einer Woche nicht hingekriegt, waren sich aber offenbar zu fein, anzurufen.
Aber offenbar müssen sie mit ihren Hundehirnen zum Ergebnis gekommen sein, "Abschalten der Firewall ermöglicht Einloggen der Gegenstelle".

Jetzt meine Fragen:
1.
bei den LANCOM kann man doch mehrere User einrichten. Kann man so einen 'audit trail' erzeugen ?

2.
Never attribute to malice that which can be adequately explained by stupidity:
Die beiden Spezialexperten könnten den "LANconfig" verwendet haben, und wie ich die beiden kenne, in einer Uralt-Version. Daduch wird wohl, buchstäblich, eine "Hyperdivergenz" entstanden sein, sprich, der LANconfig formatierte die Routingtabellen um. Ist nur so eine Vermutung.

Ist jemandem ein ähnliches Problem bekannt ?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM - Forensiker benoetigt

Beitrag von backslash »

Hi Koppelfeld,

ob das Protokoll nun in der Protokoll- oder in der Zielpsalte steht, ist irrelevat. Seit die Firewall objekorientiert ist, gehören Protokolle und Ports zusammen (wie z.B. im Objekt "HTTP" => "%pTCP %s80"). Viel schlimmer ist, daß jemand die Deny-All-Regel abgeschaltet hat.
bei den LANCOM kann man doch mehrere User einrichten. Kann man so einen 'audit trail' erzeugen ?
nun ja, wenn du TACACS verwendest, dann kannst du am TCACAS-Server mitloggen, wer was verändert hat. Intern gibt es jedoch keine Möglichkeit Konfigänderungen mitzuloggen.
Die beiden Spezialexperten könnten den "LANconfig" verwendet haben, und wie ich die beiden kenne, in einer Uralt-Version.

eine Uralt-Version kennt aber keine aktuellen Firmwaren...
Daduch wird wohl, buchstäblich, eine "Hyperdivergenz" entstanden sein, sprich, der LANconfig formatierte die Routingtabellen um. Ist nur so eine Vermutung.
Sobald Firewallregeln geändert werden, erstellt LANconfig den Regelsatz neu - und zwar so, wie es ihn "schön" findet... Das liegt daran, daß LANconfig die Objekt-Tabelle (immer noch) nur als eine Art Speichererweiterung sieht... Es versucht zwar User-Definierte Objekte zu erhalten, aber oft bleibt es beim Versuch... (Das ist mit ein Grund weshalb die IPv6-Firewall regeltechnisch in ein starreres Korsett gezwängt wurde)

Gruß
Backslash
Koppelfeld
Beiträge: 967
Registriert: 20 Nov 2013, 09:17

Re: LANCOM - Forensiker benoetigt

Beitrag von Koppelfeld »

Moinsen,
backslash hat geschrieben: ob das Protokoll nun in der Protokoll- oder in der Zielpsalte steht, ist irrelevat. Seit die Firewall objekorientiert ist, gehören Protokolle und Ports zusammen (wie z.B. im Objekt "HTTP" => "%pTCP %s80").
Ich frage mich aber: Wie konnte es dazu kommen, daß das Protokoll, welches ursprünglich in der Spalte "Protokoll" stand, jetzt als zweiter Parameter in die Zielspalte jumpt ? Und die leere Protokollspalte mit "ANY" aufgefüllt wird ?
Wer oder was hat das bewerkstelligt resp. wie kann man das womit erreichen ?
Viel schlimmer ist, daß jemand die Deny-All-Regel abgeschaltet hat.
Bei dem, was die Truppe, die ich im Verdacht habe, schon angerichtet hat, ist das noch harmlos.
bei den LANCOM kann man doch mehrere User einrichten. Kann man so einen 'audit trail' erzeugen ?
nun ja, wenn du TACACS verwendest, dann kannst du am TCACAS-Server mitloggen, wer was verändert hat. Intern gibt es jedoch keine Möglichkeit Konfigänderungen mitzuloggen.
Das ist eine Möglichkeit, danke.
Sobald Firewallregeln geändert werden, erstellt LANconfig den Regelsatz neu - und zwar so, wie es ihn "schön" findet... Das liegt daran, daß LANconfig die Objekt-Tabelle (immer noch) nur als eine Art Speichererweiterung sieht... Es versucht zwar User-Definierte Objekte zu erhalten, aber oft bleibt es beim Versuch... (Das ist mit ein Grund weshalb die IPv6-Firewall regeltechnisch in ein starreres Korsett gezwängt wurde)
Oh - danke für die Warnung - dieses Produkt ist ja genauso gefährlich wie die SIEMENS-SPS - Systemumgebungen. Die schreiben auch gerne einmal benutzerdefinierte Variablen um.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANCOM - Forensiker benoetigt

Beitrag von backslash »

Hi Koppelfeld
Ich frage mich aber: Wie konnte es dazu kommen, daß das Protokoll, welches ursprünglich in der Spalte "Protokoll" stand, jetzt als zweiter Parameter in die Zielspalte jumpt ? Und die leere Protokollspalte mit "ANY" aufgefüllt wird ?
Wer oder was hat das bewerkstelligt resp. wie kann man das womit erreichen ?
siehe
Sobald Firewallregeln geändert werden, erstellt LANconfig den Regelsatz neu - und zwar so, wie es ihn "schön" findet... Das liegt daran, daß LANconfig die Objekt-Tabelle (immer noch) nur als eine Art Speichererweiterung sieht... Es versucht zwar User-Definierte Objekte zu erhalten, aber oft bleibt es beim Versuch... (Das ist mit ein Grund weshalb die IPv6-Firewall regeltechnisch in ein starreres Korsett gezwängt wurde)
Gruß
Backslash
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: LANCOM - Forensiker benoetigt

Beitrag von Jirka »

Hallo zusammen,

ich denke Koppelfeld hatte das nicht so wirklich verstanden, was man ihm aber auch nicht zum Vorwurf machen kann, weil er kein LANconfig nutzt.

Vielleicht noch zwei Ergänzungen, die das ganze etwas erläutern:
Erstens ändern sich zwar die Firewall-Regeln vielleicht im Aussehen, aber am Verhalten sollte sich nichts ändern. Wenn das anders ist, dann wäre es tatsächlich ein Bug.
Zweitens kann man das an einfachen Beispielen ausprobieren, wie sich LANconfig verhält. Man trägt z. B. bei Ziel-Dienst (benutzerdefinierten Dienst hinzufügen) TCP Port 81 ein. Dann steht da: "TCP Port 81". Bestätigt man diese Firewall-Regel mit ok ist man in der Firewall-Regel-Tabelle. Geht man hier auch noch mit ok raus, ist man in der normalen Geräteoberfläche, wo man jetzt wieder (Firewall-)Regeln aufruft. Und siehe da, es ist ein "Port 81" und ein "TCP" draus geworden, wobei man den Port 81 nicht mal mehr sauber editieren kann (also nur umständlich und unverständlich).

Viele Grüße,
Jirka
Benutzeravatar
ecox
Beiträge: 697
Registriert: 28 Jan 2015, 17:25

Re: LANCOM - Forensiker benoetigt

Beitrag von ecox »

Hallo Koppelfeld, bzgl mitschneiden von Ändernungen kenne ich im LANcom nur die Funktion das du alles was über CLI passiert an einen SYSLOG Server gesendet wird...

Konfig->Meldungen->Allgemein

"Konfigurations-Änderungen über das Kommandozeilen-Interface werden per SYSLOG an die eingerichteten Server gesendet."

Grüße
ecox
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Antworten