logovani/blokovani provozu

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od milanroubal (>)

Dne 2014-07-25 17:48

Tak se mi dnes objevilo v logu, ze turris zablokoval (v tomto pripade asi jen zalogoval) podezrely provoz z moji site ven.
2014-07-25T18:10:53+02:00 [1650460.662125] turris-00CE6701: IN=br-lan OUT=eth2 MAC=........ SRC=192.168.1.137 DST=54.72.95.12 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=29996 DF PROTO=TCP SPT=53206 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x10

Tak me to zaujalo a zkusil jsem si zjistit, o co konkretne jde. Podle adresy jsem zjistil, o jake zarizeni a uzivatele se jedna, dale jsem v historii prohlizece zjistil, ze se jedna o stranku http://abecedazahrady.dama.cz/katalog-rostlin/pokojove-rostliny/?sort=1
a z ni pak o pristup na domenu cpex.demdex.net

Tato adresa je pridana v https://gitlab.labs.nic.cz/turris/dist-fw-data/commit/f220ef0ae8c69e9b9cdd3a3ee468af92b353fd0f
v sekci # rules issued by CZ CERT

Podle jakeho pravidla se ty CZ CERT pravidla pridavaji? Ta domena meni pri kazdem pristupu IP adresu.

Od Bedřich Košata

Dne 2014-07-29 15:13

CSIRT.CZ nám pravidla pro sledování nebo blokování adres dodává na základě výskytu nějakého malware na dané adrese. Typicky to bývá server, na který se např. pomocí vloženého rámečku (iframe) odkazují napadené stránky a který poté slouží ke stažení toho malware.

Vzhledem k tomu, že jsme schopni blokovat pouze na základě IP adresy, zjišťují kolegové z CSIRT.CZ, zda je na té adrese nějaká legitimní služba. Pokud ne, tak adresu blokujeme, pokud ano, tak ji jen logujeme, abychom nenarušili legitimní provoz. To by mohl být i tento případ.

Jako doplňkovou informaci bych uvedl, že adresy takto přidané se automaticky ze seznamu odstraňují po 14 dnech, pokud se mezitím neobjeví nové potvrzení nákazy. Pokud se kolegové o jejím odstranění dozví dříve, je záznam odstraněn okamžitě.

Od milanroubal (>)

Dne 2014-07-30 00:39

Diky za vysvetleni. Jeste by to chtelo nejake lepsi zobrazeni techto dat, nepripravuje se do sekce Pakety zachycené firewallem graf, kde by bylo videt pocet zalogovanych / zablokovanych paketu na ceste ven? Nejradeji bych to tedy videl s moznosti rozdeleni podle vnitrni IP adresy, abych to nemusel dohledavat rucne :), ale i celkovy soucet po dnech by byl dobry zacatek.

Od Martin Sojka

Dne 2014-08-04 13:15

To bohužel nejde, protože neznáme lokální adresy, loguje se jen odkud a na jaký lokální port paket přišel; v databázi není kam mířil paket u klienta.