Wat is relevant in router log?

donderdag 2 juni 2022 09:46

Acties:

0 Henk 'm!

Topicstarter

Binnen ons kleine bedrijf heb ik sinds kort de taak gekregen om onze router te beheren. Eén van de subtaken is "de logs regelmatig te beoordelen".

Nu ben ik een softwaredev en geen sysadmin. Ook zie ik dat de logs inmiddels vrij groot worden.

Mijn vraag: op wat voor dingen moet ik nu eigenlijk letten? Ik zie veel portscans voorbij komen en dat IP-adressen worden geblocked (lijkt me prima), ik zie dat er updates zijn en dat die updates succesvol zijn uitgevoerd (lijkt me ook prima), ... was dat het?

donderdag 2 juni 2022 10:16

Acties:

0 Henk 'm!

BytePhantomX

Klinkt mij als een Firewall, maar misschien heb ik het verkeerd.

Ik zou de volgende dingen controleren:
- updates
- performance gegevens, of dat je nog wel genoeg capaciteit heb
- firewall regels van buiten naar binnen. Moeten zoveel mogelijk dicht en je wilt eens in de zoveel tijd controleren dat dit niet is gewijzigd
- als je firewall iets van IDS/IPS ondersteunt, controleren dat het aanstaat en dat die de laatste regels ophaalt
- meldingen van je IDS/IPS controleren
- verder kun je kijken naar de logins en audit logs om te zien of er zaken zijn aangepast die jij niet kan verklaren

IDS: Wikipedia: Intrusion detection system

donderdag 2 juni 2022 10:44

Acties:

+3 Henk 'm!

DaFeliX

Tnet Devver

Rekcor schreef op donderdag 2 juni 2022 @ 09:46:
Binnen ons kleine bedrijf heb ik sinds kort de taak gekregen om onze router te beheren. Eén van de subtaken is "de logs regelmatig te beoordelen".

[...]

Mijn vraag: op wat voor dingen moet ik nu eigenlijk letten?

[...]

Het lijkt me dat je dit aan de persoon moet vragen die je die taak heeft toebedeelt

Einstein: Mijn vrouw begrijpt me niet

donderdag 2 juni 2022 10:45

Acties:

0 Henk 'm!

Qwerty-273

Meukposter

***** ***

Eigenlijk zie je maar weinig organisaties zelf kijken in de platte logs. Je zal eerder zien dat de logs van verschillende bronnen (waaronder de firewall) centraal verzameld worden om er vervolgens met een visualisatie product inzicht te geven wat er eigenlijk gebeurt. Dat is dan zowel gericht op capaciteit management maar ook de events die gebeuren.

Een firewall richt zich niet alleen op van buiten naar binnen, maar ook omgekeerd. Het kan interessant zijn om juist het verkeer van binnen naar buiten in de gaten te houden. Zeker wanneer je daar "vreemde" patronen in op merkt. Bijvoorbeeld een connectie van een interne server (of laptop) die de hele tijd een tunnel actief heeft naar een onbekende computer in Thailand (of welk ander land dan ook). Of dat er elke avond rond 11 uur een process de lijn voltrekt voor een paar uur naar een computer in China.

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

donderdag 2 juni 2022 10:50

Acties:

0 Henk 'm!

Han

DaFeliX schreef op donderdag 2 juni 2022 @ 10:44:
Het lijkt me dat je dit aan de persoon moet vragen die je die taak heeft toebedeelt

Exact, het aannemen van een opdracht begint met het krijgen van een heldere, afgebakende omschrijving. Zoals de opdracht nu luidt volstaat het openen van het logbestand, deze te bekijken en weer te sluiten.

Gewoon doorvragen en niet direct 'ja en amen''zeggen.

Wat is het doel van de opdracht?
Welk resultaat wil men behalen door deze opdracht?
Etc. etc.

Ik vermoed dat men wil dat je dreigingen gaat detecteren/opsporen. Succes daarmee wanneer je handmatig een log bestand moet doorspitten. Als men echt iets wil dan dient men te investeren in een SIEM oplossing, zoals Elastic SIEM. En het opzetten is één, het onderhouden en detecties uitlopen is twee. Maar halfgebakken oplossingen kosten enkel tijd en levert doorgaans niks op. Ergo; deze taak is een waste of time

Doubt thou the stars are fire; Doubt that the sun doth move; Doubt truth to be a liar; But never doubt I love.

donderdag 2 juni 2022 11:16

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Dat ja. Handmatig structureel de logs doorspitten is onbegonnen werk. Op dag 2 al laat staan als je het de komende jaren driemaaldaags zou willen gaan doen. En dan heb je het nog niet over de andere logs in de omgevingen.

Puur de ruwe logs: hooguit kan je proberen te zorgen dat de logs ook bij “een hack” onbewerkt veilig zijn zodat je achteraf kan zien waar het mis ging. Als geen SIEM o.i.d., focus op preventieve maatregelen.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 3 juni 2022 13:18

Acties:

0 Henk 'm!

Rekcor

Topicstarter

Han schreef op donderdag 2 juni 2022 @ 10:50:
[...]

Exact, het aannemen van een opdracht begint met het krijgen van een heldere, afgebakende omschrijving. Zoals de opdracht nu luidt volstaat het openen van het logbestand, deze te bekijken en weer te sluiten.

Gewoon doorvragen en niet direct 'ja en amen''zeggen.

Wat is het doel van de opdracht?
Welk resultaat wil men behalen door deze opdracht?
Etc. etc.

Ik vermoed dat men wil dat je dreigingen gaat detecteren/opsporen. Succes daarmee wanneer je handmatig een log bestand moet doorspitten. Als men echt iets wil dan dient men te investeren in een SIEM oplossing, zoals Elastic SIEM. En het opzetten is één, het onderhouden en detecties uitlopen is twee. Maar halfgebakken oplossingen kosten enkel tijd en levert doorgaans niks op. Ergo; deze taak is een waste of time

Eh... die opdrachtgever ben ik zelf. We zijn echt een klein plat team en iemand moest het doen

.

Inmiddels ook wat rondgebeld met experts (d.w.z. wat sysadmins): die raden me aan

1) goede spullen te gebruiken (UniFi, check)
2) zorgen dat de instellingen van die goede spullen goed staan (door sysadmin met 20 jaar ervaring laten doen, check)
3) zorgen dat de spullen zichzelf updaten (check)
4) af en toe checken of de updates nog steeds gedaan worden + de instellingen nog hetzelfde staan

En vervolgens erop vertrouwen dat de spullen hun werk goed doen. Logs doorspitten heeft geen zin en iemand inhuren is onbetaalbaar.

[ Voor 21% gewijzigd door Rekcor op 03-06-2022 13:22 . Reden: toevoegingen ]

vrijdag 3 juni 2022 13:28

Acties:

+2 Henk 'm!

Verwijderd

5) Een keertje een pentest laten doen. Of liever periodiek.

Kost wel wat, maar misschien heeft de sysadmin met 20 jaar ervaring al jarenlang geen nieuwe kennis meer opgedaan.

vrijdag 3 juni 2022 13:44

Acties:

0 Henk 'm!

dylan111111

Je kan met graylog aan de gang gaan door logdata van de router daar naar toe te sturen en wat grafiekjes te maken op een dashboard. Iets met welke apparaten een IP lease hebben gekregen binnen het bedrijf of welke apparaten de afgelopen 24uur waren verbonden met de VPN bijvoorbeeld. Kan je ook meteen je logdata opslaan voor x tijd en er in terug zoeken mocht er iets gebeurt zijn.

vrijdag 3 juni 2022 14:23

Acties:

0 Henk 'm!

laurens0619

Ben je bekend met de term "Attack surface"?

The attack surface is the number of all possible points, or attack vectors, where an unauthorized user can access a system and extract data

Breng eerst je points/attack vectors in kaart. Dit zijn ingangen waar een hacker iets mee zou kunnen. Bijvoorbeeld:
- Openstaande remote management port/dns
- Standaard credentials
- Gemapte port naar je interne netwerk (/UPNP ingeschakeld)
- Openstaande port voor VPN draaiende op de router
etc etc.

Dus hoe groter je attack surface, hoe meer punten die je moet beveiligen.
Standaard is de attack surface van een router best klein.
Een unifi router kan bij bepaalde configuraties "per ongeluk" diensten ook op de WAN interface openzetten.
Een voorbeeld hiervan is DNS wat dan opeens op de WAN poort ook actief staat en wordt misbruikt voor DNS amplification attacks....
Ik zou dus beginnen met een (periodieke) portscan vanaf de buitenkant wat je op je router allemaal ziet.

Automatische updates en unifi in 1 zin is er 1 die je trouwens niet vaak leest

[ Voor 6% gewijzigd door laurens0619 op 03-06-2022 14:25 ]

CISSP! Drop your encryption keys!

Vraag

Alle reacties