{"id":10786,"date":"2020-07-03T10:39:09","date_gmt":"2020-07-03T08:39:09","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=10786"},"modified":"2020-07-02T14:54:35","modified_gmt":"2020-07-02T12:54:35","slug":"risiken-der-outgoing-policy-am-beispiel-einer-video-ueberwachungsanlage","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2020\/07\/risiken-der-outgoing-policy-am-beispiel-einer-video-ueberwachungsanlage\/","title":{"rendered":"Risiken der Outgoing Policy am Beispiel einer Video-\u00dcberwachungsanlage"},"content":{"rendered":"<p>Vor Kurzem wurden wir auf einen Fall aufmerksam, der wieder einmal verdeutlicht, warum die Outgoing Policy nicht verwendet werden sollte. In diesem Artikel beschreiben wir das beim Kunden vorliegende Setup, das aufgetretene Problem sowie entsprechende L\u00f6sungsans\u00e4tze und Empfehlungen.<\/p>\n<p><!--more--><\/p>\n<p>Setup:<\/p>\n<ul>\n<li>Video-Kamera im Trusted Network<\/li>\n<li>Video-Kamera per SNAT vom Internet direkt erreichbar<\/li>\n<li>Outgoing Policy vorhanden (Traffic von Any-Trusted nach Any-External, tcp(0)\/udp(0) bzw. any erlaubt)<\/li>\n<li>DNS-Paketfilter-Policy von Any-Trusted nach Any-External<\/li>\n<\/ul>\n<p>aufgetretenes Problem:<\/p>\n<ul>\n<li>die Firewall ging alle 10 Minuten f\u00fcr ein paar Sekunden offline<\/li>\n<\/ul>\n<p>Nach einer kurzen Suche stellte sich heraus:<\/p>\n<ul>\n<li>auf dem internen Interface ist viel zu viel Traffic (hunderte GB innerhalb weniger Stunden)<\/li>\n<\/ul>\n<p>Eine Analyse des Netzwer-Traffics mit Wireshark zeigt:<\/p>\n<ul>\n<li>beim Kunden war die gesamte \u00dcberwachungsanlage gehackt worden<\/li>\n<li>diese Anlage war \u00fcber das Internet via Portforward direkt erreichbar (Kunde wurde bereits damals \u00fcber das Risiko aufgekl\u00e4rt)<\/li>\n<li>im Trace kann man von der internen IP (die Cam) nach extern tausende von Anfragen sehen, welche alle 10 Minuten abgefeuert wurden (Die Kamera wurde Teil eines Bot-Netzwerkes, das f\u00fcr typischer DDoS Angriffe verwendet wurde)<\/li>\n<li>weiterhin war extrem viele Traffic auf Port 53 mit SSL-Protokoll zu sehen.<\/li>\n<\/ul>\n<p>Dadurch ist auf der Firewall vermutlich alle 10 Minuten die Session Table vollgelaufen und die Firewall war (kurz) \u00fcberlastet und nicht erreichbar. Laut Firewall Logs und Wireshark wurden von dem internen Ger\u00e4t \u00fcber 350 GB Daten \u00fcber verschiedene UDP \/ TCP Ports (z.B. OpenVPN Traffic \u00fcber DNS Port 53\/UDP) u.a. nach China erzeugt\/versendet. Der Hersteller hat gegen\u00fcber dem Kunden wohl zugegeben, dass die letzten paar Tage wohl alle Anlagen ihrer Kunden gehackt wurden und diese doch sofort vom Netzwerk getrennt trennen sollen\u2026<\/p>\n<p>Nachdem der Kunde die Anlage vom Netz genommen ist auch das eigentliche Problem (Firewall steigt alle 10 Minuten aus) verschwunden.<\/p>\n<p>Dieses reale Beispiel best\u00e4tigt unsere Empfehlungen, die wir immer und immer wieder aussprechen, die aber oft aufgrund &#8220;erh\u00f6hter Aufwand&#8221; und &#8220;ach was, das ist \u00fcbertrieben&#8221; abgelehnt werden:<\/p>\n<ul>\n<li>die <strong>Default Outgoing Policy abschalten<\/strong><\/li>\n<li><strong>nur ben\u00f6tigte Ports\/Protokolle nach extern zulassen<\/strong><\/li>\n<li>die <strong>DNS-Policy einschr\u00e4nken<\/strong> und <strong>nur die internen DNS-Server mit dem Internet auf Port 53<\/strong> kommunizieren lassen<br \/>\n(WatchGuard bietet zum DNS-Schutz mehrere M\u00f6glichkeiten an. Zum <span style=\"font-size: inherit;\">einen gibt es <\/span><a style=\"font-size: inherit; background-color: #ffffff;\" href=\"https:\/\/www.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-security-services-und-suites\/watchguard-dnswatch\/\" target=\"_blank\" rel=\"noopener noreferrer\">DNSWatch<\/a><span style=\"font-size: inherit;\"> und zum anderen<\/span><span style=\"font-size: inherit;\"><span style=\"font-size: inherit;\"> kann f\u00fcr den DNS-Traffic eine DNS-Proxy-Policy verwenden, die explizit nur das DNS-Protokoll auf Port 53 erlaubt (und damit z.B. OpenVPN auf Port 53 verhindert))<\/span><\/span><\/li>\n<li>grunds\u00e4tzlich<strong> IoT-Ger\u00e4ten<\/strong> (wie Kameras, Alarmanlagen, Steuerungen) <strong>keinen Zugriff aus dem\/auf das Internet (Any) erlauben<\/strong><br \/>\n(&#8216;From: Any&#8217; ist eingehend immer eine schlechte Idee)<br \/>\n(WatchGuard bietet verschiedene M\u00f6glichkeiten der Zugriffssteuerung an, u.a.<a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/produktinfos\/watchguard-security-services-und-suites\/watchguard-access-portal\/\" target=\"_blank\" rel=\"noopener noreferrer\"> Access Portal<\/a>, verschiedene VPN-Technologien oder anmeldegest\u00fctzte Zugriffe auf Portforwards (Zugriff wird erst nach Anmeldung an der Firewall erlaubt)<br \/>\n<strong><br \/>\n<\/strong><\/li>\n<\/ul>\n<p>Weitere Informationen \u00fcber die verschiedenen VPN-Technologien und Home Office Anbindungen finden Sie unserem Artikel <a href=\"https:\/\/www.boc.de\/watchguard-info-portal\/supportinfos\/watchguard-loesungen-fuer-home-office-anbindung\/\" target=\"_blank\" rel=\"noopener noreferrer\">WatchGuard L\u00f6sungen f\u00fcr Home Office Anbindung<\/a>.<\/p>\n<p><strong>Grunds\u00e4tzlich sollten derartige Systeme (\u00dcberwachungskameras etc.) wann immer m\u00f6glich in ein eigenes Netzwerk (VLAN\/DMZ\/\u2026).<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vor Kurzem wurden wir auf einen Fall aufmerksam, der wieder einmal verdeutlicht, warum die Outgoing Policy nicht verwendet werden sollte. In diesem Artikel beschreiben wir das beim Kunden vorliegende Setup, das aufgetretene Problem sowie entsprechende L\u00f6sungsans\u00e4tze und Empfehlungen.<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[430,437,48],"class_list":["post-10786","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-access-portal","tag-dnswatch","tag-policy"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/10786"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=10786"}],"version-history":[{"count":9,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/10786\/revisions"}],"predecessor-version":[{"id":10818,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/10786\/revisions\/10818"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=10786"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=10786"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=10786"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}