UNDEV Verbindungsversuche stören Roadwarrior Verbindungen!

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
MMielke
Beiträge: 18
Registriert: Di 26.09.2017, 11:11

UNDEV Verbindungsversuche stören Roadwarrior Verbindungen!

Beitrag von MMielke »

Hallo zusammen,
seit kurzen haben wir sehr viele UNDEV (SSL-VPN) Verbindungsversuche aus div. Ländern.
Diese stören mittlerweile unsere Homeoffece Verbindungen so stark das diese Zeitweise nicht zu nutzen sind!

Gibt es eine Möglichkeit hier gegenzusteuern?

Hier mal ein kurzer Einblick in das LOG:
openvpn-Roadarrior 5793 - - MULTI: multi_create_instance called
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Re-using SSL/TLS context
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Control Channel MTU parms [ L:1621 D:1212 EF:38 EB:0 ET:0 EL:3 ]
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Data Channel MTU parms [ L:1621 D:1450 EF:121 EB:406 ET:0 EL:3 ]
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Local Options String (VER=V4): 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-server'
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 Expected Remote Options String (VER=V4): 'V4,dev-type tun,link-mtu 1541,tun-mtu 1500,proto UDPv4,cipher BF-CBC,auth SHA1,keysize 128,key-method 2,tls-client'
openvpn-Roadarrior 5793 - - 52.139.169.52:40267 MULTI: new incoming connection would exceed maximum number of clients (8) 

P.S: Es ist noch die Version  11.8.16.1 im Einsatz..

Gruß aus dem Münsterland...
.

Benutzeravatar
Eilsen
Beiträge: 5
Registriert: Mi 11.01.2017, 12:45

Beitrag von Eilsen »

Hallo und guten Abend,

bei unserer RC200 mit der Version 11.8.16.1 musste ich heute morgen selbiges feststellen, nachdem mehrere Kollegen aus dem Homeoffice sich nicht mehr als Roadwarrior verbinden konnten, da die zahlreichen "undef" Verbindungsversuche die maximale Anzahl von Clients erreicht hatte. Sowas habe ich bis dato noch nie feststellen können.
Die Log-Einträge ebenfalls identisch.

In unserer Dashboard-Übersicht sieht das zusätzlich dann noch so aus:

Screenshot 1

Screenshot 2

Nur wie kann man so etwas unterbinden?!

Benutzeravatar
MMielke
Beiträge: 18
Registriert: Di 26.09.2017, 11:11

Beitrag von MMielke »

Hallo,
eine sehr umständliche Möglichkeit weiter arbeiten zu können ist das Einrichten einer neuen/weiteren SSL-VPN Roadwarrior Verbindung.
Diese scheint von den UNDEV Attacken unbeeindruckt weiter zu funktionieren. 

Admin Kollegen berichten von ähnlichen "Angriffsversuchen" die offensichtlich bei einer Sophos Firewall keine negativen Einflüsse auf die Produktivität haben.
Warten wir mal ab wann hier eine ordentliche Lösung gefunden wird.
Gruß aus dem Münsterland

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

evtl. Hilft ein Update auf die v12 da dort das IDS / IPS den Threat Intelligence Filter verwenden kann.


Gruß

Benutzeravatar
MMielke
Beiträge: 18
Registriert: Di 26.09.2017, 11:11

Beitrag von MMielke »

Moin,
das mit dem neuen Filter hört sich gut an. Werde am WE die neue Version installieren.
Melde mich im Anschluss asap wieder sobald ich merke ob dies geholfen hat.

Gruß aus dem Münsterland
Gruß aus dem Münsterland

carsteng
Beiträge: 40
Registriert: Fr 31.01.2020, 12:53

Beitrag von carsteng »

kennethj hat geschrieben: Moin,

evtl. Hilft ein Update auf die v12 da dort das IDS / IPS den Threat Intelligence Filter verwenden kann.


Gruß
Nope, wir haben hier schon länger v12 laufen und die Attacken gehen einfach weiter. Die Firewall und der IDS/IPS Filter interessiert das wenig. Echt traurig.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

das ist natürlich ärgerlich.
Wenn es immer die gleichen IP Adressen sind, könnte man diese über den Portfilter blockieren.

Gruß

Benutzeravatar
Eilsen
Beiträge: 5
Registriert: Mi 11.01.2017, 12:45

Beitrag von Eilsen »

Hallo,

bei uns sind es bisher tatsächlich immer dieselben und echt nur 5-6 verschiedene öffentliche IP-Adressen. Dann blockiere ich sie erstmal auf diesem Wege, denn heute morgen war schon wieder genau der gleiche Stress mit den Homeoffice Kollegen wie gestern morgen. Und das brauche ich echt überhaupt nicht :/

Gruß und trotzdem danke erstmal.

P.S.
Wenn jemand doch noch eine dauerhafte Lösung hat bzw. findet, dann würde ich mich über einen Post hier sehr freuen.
Vielen Dank im Voraus.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Ist denn im IDS/IPS unter CYBER DEFENSE CLOUD auch "Verbindung protokollieren und blockieren" eingestellt? Im Auslieferungszustand ist nur "Verbindung protokollieren" eingeschaltet.

carsteng
Beiträge: 40
Registriert: Fr 31.01.2020, 12:53

Beitrag von carsteng »

kennethj hat geschrieben: Moin,

das ist natürlich ärgerlich.
Wenn es immer die gleichen IP Adressen sind, könnte man diese über den Portfilter blockieren.

Gruß
Das mache ich täglich teilweise 5-6 Mal. Im Moment kommen die IPs hauptsächlich aus Russland und Saudi Arabien. IDS/IPS hat auch gar keine Einstellungsmöglichkeit für die VPN Verbindung. Ich weiß gar nicht, worauf sich Ihre Aussage hier bezieht.


@Franz

Ja, wir nutzen die blockieren Funktion quasi ab Tag eins. Das Problem ist eher, dass diese Funktion gar nicht bei VPN einspringt, weil auch nicht aktivierbar. Es gibt diese Funktion schlichtweg nicht für VPN.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

[font="Lucida Grande", "Trebuchet MS", Verdana, Helvetica, Arial, sans-serif]Ja, wir nutzen die blockieren Funktion quasi ab Tag eins. Das Problem ist eher, dass diese Funktion gar nicht bei VPN einspringt, weil auch nicht aktivierbar. Es gibt diese Funktion schlichtweg nicht für VPN.[/font]

Der Thread erstellt im Hintergrund Portfilterregeln welche die Verbindungen blockieren, diese greifen vor dem VPN Dienst. 
Würde der Thread die IPs erkennen, kommen diese auch nicht mehr an den OpenVPN Server. Man muss das nicht explizit für das VPN aktivieren. Weil ist Global.

Gruß

carsteng
Beiträge: 40
Registriert: Fr 31.01.2020, 12:53

Beitrag von carsteng »

kennethj hat geschrieben: Moin,

[font="Lucida Grande", "Trebuchet MS", Verdana, Helvetica, Arial, sans-serif]Ja, wir nutzen die blockieren Funktion quasi ab Tag eins. Das Problem ist eher, dass diese Funktion gar nicht bei VPN einspringt, weil auch nicht aktivierbar. Es gibt diese Funktion schlichtweg nicht für VPN.[/font]

Der Thread erstellt im Hintergrund Portfilterregeln welche die Verbindungen blockieren, diese greifen vor dem VPN Dienst. 
Würde der Thread die IPs erkennen, kommen diese auch nicht mehr an den OpenVPN Server. Man muss das nicht explizit für das VPN aktivieren. Weil ist Global.

Gruß
Alles klar, danke für die Klarstellung. 

Also ist man wieder auf die nicht so intelligente Thread intelligence angewiesen, die ja lediglich eine manuell geführte Blacklist ist. So ist es zumindest in einem anderen Thread hier durchgesickert. Scheint man wohl damit leben zu müssen. 

Benutzeravatar
MMielke
Beiträge: 18
Registriert: Di 26.09.2017, 11:11

Beitrag von MMielke »

Hallo nochmal,
hab jetzt alle Verbindungen doppelt angelegt.
Sobald die Benutzer mit der ersten SSL-VPN nicht mehr arbeiten können wechseln sie zur 2. (Roadwarrior2) VPN.

Siehe: https://abload.de/img/roadwarrior-001wfjzt.png

Da wir selber Software entwickeln war das für unsere Mitarbeiter kein Problem hier eine zweite Verbindung hinzuzufügen.
Das ist zwar nicht schön, aber bis wir eine saubere Lösung/ neue Firewall haben zumindest eine Option.

Gruß aus dem Münsterland
Gruß aus dem Münsterland

Benutzeravatar
MMielke
Beiträge: 18
Registriert: Di 26.09.2017, 11:11

Beitrag von MMielke »

Moin,
heute Morgen ist es wieder extrem störend! Sehr viele UNDEV Verbindungsversuche auf dem SSL-VPN.
Wie muss den ein Filter gebaut sein der diese IP´s effektiv daran hindert?

Gruß
Gruß aus dem Münsterland

pl85
Beiträge: 79
Registriert: Di 13.03.2012, 14:54

Beitrag von pl85 »

Quelle: die "UNDEV-IP-Adressen" (kannst du als Netzwerkobjekte anlegen und in eine Gruppe packen)
Ziel: external Interface
Aktion: Drop

die Regel ganz nach oben schieben

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

es werden zwei Regeln benötigt: ( in genau der Reihenfolge! )

1. Quelle: UNDEV-IPs Ziel: external-interface Dienst: openvpn Aktion: Reject 
2. Quelle: internet Ziel: external-interface Dienst: openvpn Aktion: Accept

Anschließend dann die OpenVPN Regeln in den Impliziten Regeln deaktivieren!
Diese greifen nämlich VOR dem Portfilter.

Gruß

Antworten