Router – občasný výpadek. Log plný čehosi – screan

Martin Hajna

(2 hodnocení)

27. 7. 2013 13:05:30

Dobrý den,

mám v kempu router, který trpí občasnými výpadky. Bohužel se nám nedaří zjistit čím jsou způsobeny.

Log routeru se ale plní upozorněními, které nejsem schopen identifikovat.

Přikládám obrázek. Setkal se s tím někdo?

8464

27. 7. 2013 13:05:30

https://webtrh.cz/diskuse/router-obcasny-vypadek-log-plny-cehosi-screan/#reply927208

Martin Krejčí

(1 hodnocení)

27. 7. 2013 13:23:44

Porty 67 a 68 jsou DHCP komunikace tak zkuste pátrat v těchto vodách. Víc bohužel poradit neumím.

27. 7. 2013 13:23:44

https://webtrh.cz/diskuse/router-obcasny-vypadek-log-plny-cehosi-screan/#reply927207

Martin Hajna

(2 hodnocení)

28. 7. 2013 10:00:07

Zjistil jsem že ve špičce nestačí 150 míst na lokální IP . Roztáhl jsem ale log se plní stále.

28. 7. 2013 10:00:07

https://webtrh.cz/diskuse/router-obcasny-vypadek-log-plny-cehosi-screan/#reply927206

Vladimír Smitka

(4 hodnocení)

29. 7. 2013 10:43:27

Pro detekci je asi hlavní problém, to že je log plněn né až tak podstatnýmí informacemi o skenování portů.

Podle barevného proužku na levé straně obrázku odhaduji, že se jedná o nějaký Zyxel, možná tedy nějaký ZyWall, který bude mít IDS/IPS funkcionalitu - pokouší se odhalit známé útoky. Zkusil bych tuto funkcionalitu dočasně vypnout/přenastavit (u zyxelu by to mohlo být někde jako network security -> IDP). Poté by již mohl být log použitelný.

Opakující se log pravděpodobně pochází z nějakého mikrotiku (podle MAC), který se (zřejmě) pokouší dostat adresu z DHCP a z nějakého důvodu je to bráno jako skenování portů. Takže pokud bych měl přístup k onomu mikrotiku, tak bych mu možná nastavil ip staticky. Možná bych také zkusil updatovat firmware/definice IDS routeru.

EDIT: ještě je otázka zda eth0 je rozhraní do vnitřní sítě nebo do vnější. Pokud je to do vnější k poskytovateli, tak by se tam požadavky na DHCP asi objevovat neměly a viděl bych to, že tvůj poskytovatel má něco špatně nastavené a zkusil bych to řešit s ním. Umím si představit, že takové chování aktivuje bezpečnostní mechanizmy.

29. 7. 2013 10:43:27

https://webtrh.cz/diskuse/router-obcasny-vypadek-log-plny-cehosi-screan/#reply927205

Martin Hajna

(2 hodnocení)

29. 7. 2013 12:13:11

Mikrotik jsou IP kamery, které se připojují nebo pokouší připojovat. ( Šmejdy )

Router je zyxel a teď nevím který, ale je to tam nejvyšší řada.

Jak odhalit ten problém s eth0? Poskytovatel je banda pitomců. Nikdo jiný tam připojení nemá.

Toto je router pro kemp na který je připojen switch a router + 3 kamery, které hlídají autoservis v Děčíně a zbytek jede pro kemp vedle, kde je plno Holanďanů.

Hlavní router je ten zyxel, který a routuje i poskytuje WIFI i přijímá LAN od poskytovatele.

29. 7. 2013 12:13:11

https://webtrh.cz/diskuse/router-obcasny-vypadek-log-plny-cehosi-screan/#reply927204

Vladimír Smitka

(4 hodnocení)

29. 7. 2013 12:34:28

Předpokládám, že první fyzický port bude eth0, takže zjistit, zda je to kabel k poskytovateli nebo do mikrotiku s kamerami (případně zjistit z administrace mikrotiku s kamerami zda má nějaký interface MAC adresu uvedenou v logu). Mohlo by pomoci zablokovat port 67 a 68 udp z WAN (ale nevím, zda u zyxelu finguje nejdřív firewall a pak IDS nebo obráceně).

V tom zyxelu bych stejně zkusil vypnout to IDP a zkontrolovat log, zda tam nebude nějaká jiná podstatnější informace.

29. 7. 2013 12:34:28

https://webtrh.cz/diskuse/router-obcasny-vypadek-log-plny-cehosi-screan/#reply927203

Martin Hajna

(2 hodnocení)

29. 7. 2013 12:45:15

Oki zjistím a zkusím.

29. 7. 2013 12:45:15

https://webtrh.cz/diskuse/router-obcasny-vypadek-log-plny-cehosi-screan/#reply927202

Pro odpověď se přihlašte.

Přihlásit