Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Syslog toont veel blocks door UFW (firewall); wat kan hiervan de reden zijn ?  (gelezen 1530 keer)

Offline wowo

  • Lid
  • Steunpunt: Nee
Had even wat tijd over en ging eens een kijkje nemen in mijn systeemlogboek en bij sylog zag ik het volgende:
Sep 19 16:29:48 silencio1 kernel: [ 8288.106734] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=NAS-ip-adres DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Sep 19 16:29:51 silencio1 kernel: [ 8291.775293] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Marantz AV Receiver SR6008 ip-adres DST=224.0.0.251 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1028 PROTO=2
Sep 19 16:31:45 silencio1 kernel: [ 8405.662343] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Router ip-adres DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=827 DF PROTO=2
Sep 19 16:31:49 silencio1 kernel: [ 8409.250527] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=NAS-ip-adres DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Sep 19 16:31:58 silencio1 kernel: [ 8418.033479] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Marantz AV Receiver SR6008 ip-adres DST=224.0.0.251 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1059 PROTO=2
Sep 19 16:33:52 silencio1 kernel: [ 8532.471654] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Router ip-adres DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=828 DF PROTO=2
Sep 19 16:33:58 silencio1 kernel: [ 8538.269895] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=NAS-ip-adres DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Sep 19 16:34:00 silencio1 kernel: [ 8540.889642] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Marantz AV Receiver SR6008 ip-adres DST=224.0.0.251 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1102 PROTO=2
Sep 19 16:34:24 silencio1 kernel: [ 8564.747091] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Router ip-adres DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Sep 19 16:34:26 silencio1 kernel: [ 8566.450873] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=NAS-ip-adres DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Sep 19 16:34:37 silencio1 kernel: [ 8577.106483] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Marantz AV Receiver SR6008 ip-adres DST=224.0.0.251 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1143 PROTO=2
Sep 19 16:35:11 silencio1 kernel: [ 8611.849707] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Router ip-adres DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
Sep 19 16:35:13 silencio1 kernel: [ 8613.280445] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=NAS-ip-adres DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Sep 19 16:35:20 silencio1 kernel: [ 8620.326108] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Marantz AV Receiver SR6008 ip-adres DST=224.0.0.251 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1146 PROTO=2
Sep 19 16:37:18 silencio1 kernel: [ 8738.659007] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Router ip-adres DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1 DF PROTO=2
Sep 19 16:37:22 silencio1 kernel: [ 8742.283796] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=NAS-ip-adres DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Sep 19 16:37:26 silencio1 kernel: [ 8746.784147] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Marantz AV Receiver SR6008 ip-adres DST=224.0.0.251 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1160 PROTO=2
Sep 19 16:39:25 silencio1 kernel: [ 8865.468406] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Router ip-adres DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=2 DF PROTO=2
Sep 19 16:39:31 silencio1 kernel: [ 8871.541329] [UFW BLOCK] IN=eth0 OUT= MAC=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx SRC=Marantz AV Receiver SR6008 ip-adres DST=224.0.0.251 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=1221 PROTO=2
nb mac adressen en ip adressen heb ik gewijzigd voor de veiligheid

De destination ip-adressen : 224.0.0.1 en 224.0.0.251 zijn normaal gesproken gereserveerd voor lokale adressen en dat heeft waarschijnlijk ook met de Marantz te maken.
Als ik echter de Marantz receiver uitzet, krijg ik nog steeds logberichten van blokkades.

Weet iemand wat de oorzaak hiervan kan zijn ? Ik vind het nogal raadselachtig .....

Desktop Ubuntu 16.04 LTS

Offline Moob

  • Lid
  • Steunpunt: Nee
224.x.x.x zijn mulicast adressen. Waarschijnlijk staat een aparaat dit uit te zenden.

http://nl.wikipedia.org/wiki/Multicast

Offline wowo

  • Lid
  • Steunpunt: Nee
ok als dat zo is, zou ik graag willen weten welk apparaat hiervan de oorzaak is.
hoe kan ik daar achter komen?
Desktop Ubuntu 16.04 LTS

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
sudo ufw deny from from 192.168.0.0/24 to 224.0.0.251
sudo ufw deny from 192.168.0.0/24 to 224.0.0.1

Offline Moob

  • Lid
  • Steunpunt: Nee
Het MAC en SRC veld geeft aan waar het bericht vandaan komt.

Offline wowo

  • Lid
  • Steunpunt: Nee
Het MAC en SRC veld geeft aan waar het bericht vandaan komt.
Maar het src veld geeft lokale ip-adressen weer.
Ik begrijp niets van multicast, ben ik soms gehacked? Moet ik mij zorgen maken ?
Desktop Ubuntu 16.04 LTS

Offline jvecht

  • Lid
    • Just Vecht
  • Steunpunt: Ja
Ik ben eens gaan kijken in mijn logs. Ik heb al die blocks ook, maar het ip adres is van mijn Sitecom router?? Vreemd ....

Ik vond dit: http://askubuntu.com/questions/278964/what-could-be-the-cause-for-these-strange-ufw-block-entries-in-my-syslog
GIMP bundel 2017  25 cursussen met geweldig mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 4000+ downloads!
     Het Helpmij Magazine November 2017

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Het MAC en SRC veld geeft aan waar het bericht vandaan komt.
Maar het src veld geeft lokale ip-adressen weer.
Ik begrijp niets van multicast, ben ik soms gehacked? Moet ik mij zorgen maken ?

Het zou best je AV reciever kunnen zijn die via multicast aan het hele netwerk laat weten dat hij muziek kan afspelen (of zoiets).
In combinatie met UPNP, DLNA, Avahi (bonjour)kan er best wel wat verkeer heen en weer gaan tussen apparaten die op hetzelfde netwerk zijn aangesloten.

Als je precies wil weten wat het is dan zou je met Wireshark of tcpdump aan de slag moeten, maar dit zijn technische programma's die vereisen dat je veel kennis hebt van hoe netwerken werken.

Offline wowo

  • Lid
  • Steunpunt: Nee
@Johan bedankt voor de uitleg.
Dan denk ik dat ik me er niet zo druk over moet maken.
Veel mensen zullen hiermee te maken hebben omdat ze nu eenmaal altijd een router hebben.
Een NAS en een aan een netwerk gekoppelde Receiver kunnen echter ook voor deze "problemen" zorgen.

1) Op mijn NAS-Server draaien een aantal programma's bv twonkymediaserver die zich waarschijnlijk kenbaar maken via het netwerk. Daarnaast heb ik de upnp dervice van de NAS ook ingeschakeld.
2) Mijn receiver heeft een dlna functie
3) Mijn router zal ook wel een bepaalde functie hebben die zichtbaar wordt op het netwerk.

Ik ga morgen nog een keer testen met mijn receiver.
Als ik deze uitzet dan zullen er in ieder geval geen berichten van mijn receiver moeten komen maar wel nog van mijn nas en router.

Om de berichten niet meer in mijn logboek te krijgen kan ik "sudo ufw deny from" toepassen
of een regel aanmaken dat alle inkomende verkeer van de ip-adressen van mijn NAS, Receiver toegestaan is.
Ik denk dat het onverstandig is om een regel aan te maken dat al het inkomende verkeer van mijn router toegestaan is vanwege veiligheid?
Desktop Ubuntu 16.04 LTS

Offline wowo

  • Lid
  • Steunpunt: Nee
Heb mijn receiver uitgezet en zoals verwacht kwamen er geen berichten van dat ip-adres maar nog wel van mijn nas en router. Bij aanzetten van mijn receiver kwamen ze weer te voorschijn.

Desktop Ubuntu 16.04 LTS

Offline wowo

  • Lid
  • Steunpunt: Nee
Nog even een vraagje aan de firewall, veiligheidskenners.

Ik heb er in mijn geval (zie eerste post) nu voor gekozen om de volgende regels toe te voegen aan de firewall omdat multicast paketten niet gevaarlijk zijn en dus door de firewall doorgelaten kunnern worden. :

sudo ufw allow from xxx.xxx.xxx.xxx (router ip-adres) to 224.0.0.1
sudo ufw allow from xxx.xxx.xxx.xxx (nas ip-adres) to 224.0.0.251
sudo ufw allow from xxx.xxx.xxx.xxx (receiver ip-adres) to 224.0.0.251

De berichten over blokkades in mijn systeemlogboek zijn nu verdwenen.

Is deze oplossing uit veiligheidsoogmerk juist ?
Desktop Ubuntu 16.04 LTS

Offline Moob

  • Lid
  • Steunpunt: Nee
Zoals Johan al heeft uitgelegd, dit zijn diverse apparaten die hun 'mogelijkheden' adverteren binnen jou netwerk. Dit multicasten blijft ook alleen binnen jou interne netwerk en kan verder ook geen kwaad.

Omdat deny wordt gelogd door jou firewall zal deze dit opslaan, vandaar ook de hoeveelheid regels. Dit opslaan kan je inderdaad tegen gaan door er een allow rule van te maken of door te zorgen dan multicast deny rule niet wordt geplaatst in jou log.

In deze, meer technische link, kan je lezen wat multicast doet en inhoud. Het hoofstuk What is multicast legt dit met de "collega's rond de koffie automaat" analogie leuk uit.
http://www.sans.org/reading-room/whitepapers/networkdevs/ipv4-multicast-security-network-perspective-246