Firewall OPNsense blocca strane chiamate da Switch PoE MokerLink.

ErBlask

Buongiorno ragazzi, stavo sbirciando da remoto alla mia Dashboard grafana che raccoglie i vari Log dell’OPNsense e li tramuta in grafici, e mi è saltato all’occhio che uno dei principali IP bloccati (192.168.2.1) appartiene a uno Switch che ho collegato una settimana fa che dovrebbe alimentare delle telecamere,
Allego Screenshot:

Recandomi nel Log di OPNsense sbircio un po’ per capire cosa combina…
Allego Screenshot:

E cliccando sulle info del firewall vedo che cerca di contattare un IP cinese…

In effetti facendo il Track dell’IP proviene da Shenzhen, Guandong…

🧐🧐🧐 pareri??
Non vorrei che nel Firmware di questo Switch ci fosse, come si vuol dire… “un’ospite indesiderato “

NicoInve

ErBlask come indicato da @AlphaTango la porta 8883 è usata da mosquitto per la comunicazione criptata ma non autenticata.
Speriamo mandi solo dati statistici anche se qualcosa non mi torna..
Fossi in te renderei subito quello switch e ne comprerei uno serio (senza considerare il fatto che, non affiderei mai l'alimentazione di un device ad uno switch PoE cinesone).

Valuta tu, non so che switch sia, non so quanto costi e non so ciò di cui hai bisogno...

AlphaTango

Se è uno switch managed guarda se ha qualche opzione disattivabile riguardo l'invio di informazioni al produttore.
Stando a wikipedia, la porta 8883 è di solito usata per il protocollo MQTT sicuro.
Se opnsense lo ha bloccato per lo meno puoi star tranquillo che qualunque cosa stia facendo non ha lasciato la tua lan...

ErBlask

NicoInve Fossi in te renderei subito quello switch e ne comprerei uno serio

L’apparato in questione è Questo ed è gestito, devo vedere se nelle varie impostazioni ci sta qualcosa che è abilitato, anche se il Switch poe mi deve fare solo da alimentatore per le IPcamera…
Certo nella webgui ha funzionalità interessanti, come creare vlan e altre cose interessanti…
Comunque ora sono fuori sede per lavoro, quando ritorno cercherò di capire se nelle varie impostazioni ci sta qualche sorta di flag che comunica con qualche sorta di cloud 🧐

Comunque lo vedo inquietante 😨

AlphaTango Stando a wikipedia, la porta 8883 è di solito usata per il protocollo MQTT sicuro.

In effetti mi stavo documentando, anche se vedo la cosa strana che un semplice Switch dovrebbe comunicare con il produttore 🤔🤔

AlphaTango l'invio di informazioni al produttore.

Che poi almeno da come vedo dal Log del firewall il blocco viene fatto dall’esterno a l’interno

Screenshot:

Scusate se mi sbaglio correggetemi

Technetium

ErBlask Non mi fido di questo apparato che forse è buggato…. 😡

Talmente buggato che inizia connessioni valide verso l'esterno ?

NicoInve Speriamo mandi solo dati statistici anche se qualcosa non mi torna..

Quale apparato di rete manda dati statistici al produttore? 😅 (Solo perchè non trovo la faccina che si arrampica sul vetro)

NicoInve come indicato da @AlphaTango la porta 8883 è usata da mosquitto per la comunicazione criptata ma non autenticata.

Ha opensense... cattura i pacchetti e vedi subito se sono pagghetti MQTT... ma facile che siano porte a caso con la speranza che siano aperte.

ErBlask

NicoInve Fossi in te renderei subito quello switch e ne comprerei uno serio

Comunque sia anche se ho disabilitato l’opzione, non mi sono fidato di mettere nelle sue mani le telecamere di “sicurezza”
Già il fatto che sta pappa e ciccia con server cinese sparso chi sa dove, la cosa mi è antipatica (niente contro i cinesi assolutamente)
Ho aperto proprio oggi la pratica di reso con l’amazzonia.

Già mi sto guardando intorno che switch PoE, possibilmente Management per le Vlan… dovrei prendere in sostituzione… 🤔🤔🤔

Consigli…???

Stavo adocchiando Questo Netgear sempre in Amazzonia.

Rekko

ErBlask L’apparato in questione è Questo ed è gestito, devo vedere se nelle varie impostazioni ci sta qualcosa che è abilitato, anche se il Switch poe mi deve fare solo da alimentatore per le IPcamera…

La stessa mokerlink ha quelli unmanaged PoE (ne ho acquistati 2 per alimentare delle telecamere), fossi in te userei quelli e renderei il managed che hai

GusEdgestream

É la prima volta che vedo i log scritti da opnsense, si capisce che é in ingresso e non in uscita, oltretutto si tratta di tcp che é protocollo stateful di suo, quindi é una nuova connessione iniziata da fuori e non dall’interno. A naso mi sembra un semplice tentativo esterno su mqtt spoofando a caso ip lan. É un traffico chie viene bloccato dalla tua regola con id 9. Comunque se tieni loggato tutto i traffico che passa fuori verso internet, sgami subito se il tuo switch mokerlink fa traffico anomalo

Qwertyadmin

GusEdgestream No, OPNsense sui log è un po' strano, "[in]" si riferisce all'interfaccia del firewall, quindi il pacchetto viene dalla rete "LAN" e va verso la porta del firewall, se fosse passato ci sarebbe stato "[out]" dalla portabdel firewall WAN verso il modem o l'ONT. Il blocco deriva da una non corrispondenza tra il pacchetto e le connessioni presenti nella tabella degli state. Non è un blocco specifico, blocca pacchetti "strani", non ci farei affidamento per bloccare la comunicazione dello switch: se serve metti una regola specifica.

ErBlask

Rekko E già, certo con la funzionalità vlan che ha il MokerLink potevo isolare le telecamere dal resto della lan, be lo farò su una porta del mini pc dove gira l’OPNsense…

Non mi fido di questo apparato che forse è buggato…. 😡

Rekko

ErBlask Spiacente per il MokerLink ma da dove è venuto, li se ne ritornato… può darsi che era un buon prodotto, ma nel mio caso si era insediato il “tarlo del dubbio” di un prodotto non affidabile e l’ho reso .

Sicuramente per il PoE meglio uno switch unmanaged, o uno managed ma di marca conosciuta.
Io personalmente, come detto precedentemente Rekko ho acquistato altri di mokerlink unmanaged per delle telecamere, non sono ancora installati ma onestamente non mi preoccupo più di tanto

NicoInve

Technetium Quale apparato di rete manda dati statistici al produttore? 😅 (Solo perchè non trovo la faccina che si arrampica sul vetro)

ma magari per gli aggiornamenti fw… mica me ne viene qualcosa in tasca eh..

Technetium Ha opensense... cattura i pacchetti e vedi subito se sono pagghetti MQTT... ma facile che siano porte a caso con la speranza che siano aperte.

è mqtt, connettiti sulla porta sull’IP e porta indicato e vedrai… la connessione come detto sopra non è dall’esterno all’interno ma è lo switch che tenta di contattare quell’IP su quella porta ma viene bloccato dalla regola di OPNsense……

ErBlask

NicoInve la connessione come detto sopra non è dall’esterno all’interno ma è lo switch che tenta di contattare quell’IP su quella porta

La porta che usa lo Switch cambia come allego…

E così via in modo crescente

TaLe Quel IP ha un bel po' di porte aperte e vulnerabilità

🤔🤔🤔🤔

TaLe

Quel IP ha un bel po' di porte aperte e vulnerabilità. C'è un certificato SSL che punta hisource[.]net[.]cn

Molto probabilmente il tuo Switch è un rebrand. Io farei il reso e prenderei qualcosa di più serio (e sicuro)

NicoInve

ErBlask in realtà la porta di destinazione sembra essere sempre la stessa (8883)

TaLe)

infatti, come ho indicato sopra ☺️

Ramaru direi di si, quel sotto dominio punta all’IP che si vede nei log…

Qwertyadmin

ErBlask È normale che cambi la porta sorgente, lo switch prova una porta disponibile tra quelle non privilegiate, e visti gli intervalli è plausibile che le altre connessioni siano in attesa di essere instaurate. Prova a fare un dump dei pacchetti, lo puoi fare direttamente da OPNsense, e vedi il contenuto.

ErBlask

Ramaru sarà questo ?

Non so 🤔, è da una settimana che l’ho avviato, non ho avuto nemmeno il tempo di scartabellare le impostazioni che ha…

Purtroppo sono dovuto scappare causa lavoro e da remoto ho visto che OPNsense bloccava quel tipo di connessione…

Appena rientro tra una settimana controllo bene nelle impostazioni se ci sta quella funzione e se si può disabilitare, non mi va che contatti server al di fuori della mia rete di testa sua 😠

Qwertyadmin Prova a fare un dump dei pacchetti, lo puoi fare direttamente da OPNsense, e vedi il contenuto.

Come rientro a casa mi metto all’opera 🙂
Sono curioso di capire cosa cerca di trasmettere 🧐

Ramaru

sarà questo ?

Si connette al cloud "cloud.hisource.net.cn" su porta MQTT 8883 per gestione tramite APP...

ErBlask

Ramaru sarà questo ?

Si connette al cloud "cloud.hisource.net.cn" su porta MQTT 8883 per gestione tramite APP...

Ramaru In effetti stava abilitato come da skreen:

ora l'ho disabilitato e vediamo se OPNsense rileva la tentata connessione...

//Update

Attualmente filtrando il log di OPNsense apparte le tonnellate di immondizia che bombarda il Firewall, sembra che in uscita lato LAN non ci sia chiamata da 192.168.2.1 (l'IP del MokerLink) 😊

AlphaTango

ErBlask Ho il "fratellino" (GS305EP) da 6-7 mesi e si comporta bene.

ErBlask

AlphaTango in effetti leggo buone recensioni sul web, certo, deve fare solo da alimentatore PoE per le IPcam, ma meglio spendere qualcosa in più e avere un prodotto migliore… (almeno penso 😅)

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile