Auteur Topic: ATS1500 MR4.8 firewall blues  (gelezen 906 keer)

GJ

  • Aspirant
  • **
  • Berichten: 9
  • Veiligheid voor alles!
    • Bekijk profiel
ATS1500 MR4.8 firewall blues
« Gepost op: woensdag 14 februari 2024, 22:54 »
Hallo,

Ik heb wat onmin met de firewall van mijn ATS1500 software MR4.8.

De netwerkverbinding wordt gebruikt voor Advisor (de PC waar dat op draait heb ik in de firewall toegevoegd), maar ook NTP en Ultrasync.

Schakel ik de firewall in, dan zie ik een aantal zaken:
  • NTP synchoniseert niet meer ("NTP status: storing")
  • Ik zie NTP packets van de ATS1500 naar de NTP server gesuurd worden, de NTP server geeft netjes antwoord maar dat antwoord "lijkt niet aan te komen" (dit zou "NTP storing") verklaren
  • Ultrasync werkt niet
  • Ik zie een hoop DNS queries naar de DNS servers voor de hosts die gebruikt worden voor Ultrasync. Ik zie de DNS servers antwoorden, maar drie seconde later zie ik opnieuw dezelfde DNS queries.

Het lijkt erop dat de NTP en DNS response packets naar de ATS1500 door de ATS1500 firewall gedropped worden als deze firewall ingeschakeld is.

Ik heb een extra host toegevoegd in de "PC verbindingen" (DNS en NTP komen van dezelfde host in mijn setup) maar met poortnummer 0, ik had er weinig vertrouwen in dat dat zou helpen en dat blijkt inderdaad niet te werken.

Er is in dit forum ooit eerder discussie geweest, zie https://www.beveiligingsforum.nl/index.php?topic=14302344.0 maar daar heb ik geen oplossing kunnen vinden: "extra nullen" werkt niet (advisor verandert 192.168.002.001 in 192.168.2.1), en over de in die discussie genoemde NTP servers kan ik verhalen vertellen (ben mede-schuldig aan de oprichting van een ervan) maar dat hoort wellicht niet thuis in deze discussie.

Hoe dan ook, het lijkt erop dat de Aritech firewall, althans op MR4.8, de firewall dichtlaat voor packets die responses zijn op DNS/NTP queries die van de centrale zelf komen. En dat zou wel erg suf zijn.

Oh ja. IP adres/netmask/gateway, DNS server en NTP server zijn statisch en met nummers, niet met DNS namen geconfigureerd.

Het lijkt erop dat met ingeschakelde firewall, alleen inkomende verbindingen mogelijk zijn omdat de ATS1500 firewall de ontvangst van response packets van de eigen DNS/NTP queries blokkeert. Dat zou wel heel suf zijn.

Heeft iemand anders dit gezien?
Zie ik iets over het hoofd?
Is er een mechanisme om dit toch te laten werken met ingeschakelde firewall?

Geert Jan

HandokoF

  • Erelid
  • *****
  • Berichten: 129
  • Veiligheid voor alles!
    • Bekijk profiel
  • Functie: Werkvoorbereider beveiliging
Re: ATS1500 MR4.8 firewall blues
« Reactie #1 Gepost op: donderdag 15 februari 2024, 00:43 »
De firewall instellingen onder communicatie pad 4 (IP netwerk) dienen enkel en alleen voor het blokkeren van ongeautoriseerde verbindingen direct via IP. Dit betekend dat dit geen invloed mag hebben op je NTP of UltraSync.

De bedoeling hiervan is dat alleen beheer Pcs verbinding mogen maken met het inbraakpaneel. Denk hierbij aan iemand die verbonden is met het WiFi netwerk en een scan maakt van alle apparaten. Bij het achterhalen van het IP adres van het inbraakpaneel zou deze een aanval kunnen uitvoeren. Met de Firewall wordt hiermee extra veiligheid geboden tegen deze aanvallen. Wanneer er een poort open wordt gezet in je router zodat er van buitenaf middels portforward verbinding kan worden gemaakt is het ten zeerste aangeraden om de firewall aan te zetten.

Als ik je bericht goed begrijp hebben wij het wel over dezelfde firewall. Dit probleem herken ik niet. Wellicht een idee om je paneel te upgraden naar de nieuwste firmware (momenteel MR4.10 tijdens het schrijven van dit bericht).

Mocht het om de firewall gaan van je netwerk dan zou je voor de ultrasync enkele DNS namen open moeten openzetten. Voor de NTP zul je dan of het DNS naam open moeten zetten of het IP adres.


Verzonden vanaf mijn iPhone met Tapatalk

GJ

  • Aspirant
  • **
  • Berichten: 9
  • Veiligheid voor alles!
    • Bekijk profiel
Re: ATS1500 MR4.8 firewall blues
« Reactie #2 Gepost op: donderdag 15 februari 2024, 21:27 »
Hallo,

Dank je voor de reactie. We hebben het inderdaad over de firewall in het inbraakpaneel, te configureren via Communicatie -> Pad Opties -> IP netwerk -> IP -> Firewall.

Ik kreeg nog de suggestie om de NTP en DNS server "buiten het subnet" te plaatsen; ik had deze voorzieningen binnen mijn eigen netwerk, maar het verplaatsen naar deze servers maakt niet uit: met firewall uit werkt het wel, met firewall aan werkt het nog steeds niet.

Ik heb vandaag MR4.10 gekregen en het paneel geupgraded maar met versie 4.10 heb ik hetzelfde probleem.

Ik schijn nog steeds geen plaatjes bij te mogen voegen dus je zult een screenshot van advisor moeten missen, maar het volgende werkt dus niet:
IP adres: 192.168.178.8   (statisch)
Subnetmask: 255.255.255.240
Gateway: 192.168.178.1
DNS server: 8.8.8.8       (statisch)
NTP server: 193.79.237.14 (statisch)


Met de firewall aan zie ik dat het panel over en over de DNS namen van de ultrasync servers opvraagt. maar niks doet met de antwoorden:
20:50:49.201456 IP 192.168.178.8.10921 > 8.8.8.8.53: 20869+ A? at1.ultraconnect.com. (38)
20:50:49.210316 IP 8.8.8.8.53 > 192.168.178.8.10921: 20869 1/0/0 A 34.247.100.105 (54)
20:50:50.161431 IP 192.168.178.8.10921 > 8.8.8.8.53: 20869+ A? at1.ultraconnect.com. (38)
20:50:50.169483 IP 8.8.8.8.53 > 192.168.178.8.10921: 20869 1/0/0 A 34.247.100.105 (54)
20:50:51.247323 IP 192.168.178.8.10921 > 8.8.8.8.53: 20869+ A? at1.ultraconnect.com. (38)
20:50:51.256054 IP 8.8.8.8.53 > 192.168.178.8.10921: 20869 1/0/0 A 34.247.100.105 (54)
20:50:53.254230 IP 192.168.178.8.10921 > 8.8.8.8.53: 20869+ A? at1.ultraconnect.com. (38)
20:50:53.266013 IP 8.8.8.8.53 > 192.168.178.8.10921: 20869 1/0/0 A 34.247.100.105 (54)
20:50:57.255212 IP 192.168.178.8.10921 > 8.8.8.8.53: 20869+ A? at1.ultraconnect.com. (38)
20:50:57.263637 IP 8.8.8.8.53 > 192.168.178.8.10921: 20869 1/0/0 A 34.247.100.105 (54)
20:50:58.256182 IP 192.168.178.8.10921 > 8.8.8.8.53: 20869+ A? at1.ultraconnect.com. (38)
20:50:58.264335 IP 8.8.8.8.53 > 192.168.178.8.10921: 20869 1/0/0 A 34.247.100.105 (54)
20:51:00.256148 IP 192.168.178.8.10921 > 8.8.8.8.53: 20869+ A? at1.ultraconnect.com. (38)
20:51:00.264376 IP 8.8.8.8.53 > 192.168.178.8.10921: 20869 1/0/0 A 34.247.100.105 (54)
20:51:06.200736 IP 192.168.178.8.32663 > 8.8.8.8.53: 31958+ A? at1.zerowire.com. (34)
20:51:06.213071 IP 8.8.8.8.53 > 192.168.178.8.32663: 31958 1/0/0 A 54.194.13.93 (50)
20:51:06.257093 IP 192.168.178.8.32663 > 8.8.8.8.53: 31958+ A? at1.zerowire.com. (34)
20:51:06.269002 IP 8.8.8.8.53 > 192.168.178.8.32663: 31958 1/0/0 A 54.194.13.93 (50)
20:51:07.258101 IP 192.168.178.8.32663 > 8.8.8.8.53: 31958+ A? at1.zerowire.com. (34)
20:51:07.270257 IP 8.8.8.8.53 > 192.168.178.8.32663: 31958 1/0/0 A 54.194.13.93 (50)


Ik zie ook NTP requests en responses:
20:51:22.280295 IP 8.8.8.8.53 > 192.168.178.8.31711: 8439 1/0/0 A 34.247.100.105 (54)
20:51:23.269950 IP 192.168.178.8.31711 > 8.8.8.8.53: 8439+ A? at1.ultraconnect.com. (38)
20:51:23.281562 IP 8.8.8.8.53 > 192.168.178.8.31711: 8439 1/0/0 A 34.247.100.105 (54)
20:51:25.271910 IP 192.168.178.8.31711 > 8.8.8.8.53: 8439+ A? at1.ultraconnect.com. (38)
20:51:25.279912 IP 8.8.8.8.53 > 192.168.178.8.31711: 8439 1/0/0 A 34.247.100.105 (54)
20:51:27.095888 IP 192.168.178.8.49153 > 193.79.237.14.123: NTPv4, Client, length 48
20:51:27.105119 IP 193.79.237.14.123 > 192.168.178.8.49153: NTPv4, Server, length 48

20:51:29.272850 IP 192.168.178.8.31711 > 8.8.8.8.53: 8439+ A? at1.ultraconnect.com. (38)
20:51:29.284120 IP 8.8.8.8.53 > 192.168.178.8.31711: 8439 1/0/0 A 34.247.100.105 (54)
20:51:30.274854 IP 192.168.178.8.31711 > 8.8.8.8.53: 8439+ A? at1.ultraconnect.com. (38)
20:51:30.286511 IP 8.8.8.8.53 > 192.168.178.8.31711: 8439 1/0/0 A 34.247.100.105 (54)
20:51:32.275857 IP 192.168.178.8.31711 > 8.8.8.8.53: 8439+ A? at1.ultraconnect.com. (38)
20:51:32.287592 IP 8.8.8.8.53 > 192.168.178.8.31711: 8439 1/0/0 A 34.247.100.105 (54)


Zet ik de firewall op het alarmpanel uit, dan werkt alles, NTP en ultrasync:
21:01:02.300197 IP 192.168.178.8.60433 > 8.8.8.8.53: 6950+ A? at1.ultraconnect.com. (38)
21:01:02.308555 IP 8.8.8.8.53 > 192.168.178.8.60433: 6950 1/0/0 A 34.247.100.105 (54)
21:01:06.844117 IP 192.168.178.8.60433 > 8.8.8.8.53: 6950+ A? at1.ultraconnect.com. (38)
21:01:06.852530 IP 8.8.8.8.53 > 192.168.178.8.60433: 6950 1/0/0 A 34.247.100.105 (54)
21:01:06.871146 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [  S  ], seq 442538, win 2920, options [mss 1460], length 0
21:01:06.896323 IP 34.247.100.105.443 > 192.168.178.8.14331: Flags [S.], seq 972568488, ack 442539, win 26883, options [mss 1452], length 0
21:01:06.897100 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [.], ack 1, win 2920, length 0
21:01:06.900300 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [P.], seq 1:78, ack 1, win 2920, length 77
21:01:06.924246 IP 34.247.100.105.443 > 192.168.178.8.14331: Flags [.], ack 78, win 26883, length 0
21:01:06.924441 IP 34.247.100.105.443 > 192.168.178.8.14331: Flags [P.], seq 1:25, ack 78, win 26883, length 24
21:01:06.925541 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [.], ack 25, win 2896, length 0
21:01:06.926800 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [P.], seq 78:155, ack 25, win 2896, length 77
21:01:06.951810 IP 34.247.100.105.443 > 192.168.178.8.14331: Flags [P.], seq 25:77, ack 155, win 26883, length 52
21:01:06.952732 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [.], ack 77, win 2844, length 0
21:01:06.958180 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [P.], seq 155:276, ack 77, win 2844, length 121
21:01:07.023060 IP 34.247.100.105.443 > 192.168.178.8.14331: Flags [.], ack 276, win 26883, length 0
21:01:16.881529 IP 34.247.100.105.443 > 192.168.178.8.14331: Flags [P.], seq 77:148, ack 276, win 26883, length 71
21:01:16.881991 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [.], ack 148, win 2773, length 0
21:01:45.592837 IP 192.168.178.8.49153 > 193.79.237.14.123: NTPv4, Client, length 48
21:01:45.601815 IP 193.79.237.14.123 > 192.168.178.8.49153: NTPv4, Server, length 48
21:01:56.893216 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [P.], seq 276:295, ack 148, win 2773, length 19
21:01:56.917086 IP 34.247.100.105.443 > 192.168.178.8.14331: Flags [.], ack 295, win 26883, length 0
21:01:56.917705 IP 34.247.100.105.443 > 192.168.178.8.14331: Flags [P.], seq 148:167, ack 295, win 26883, length 19
21:01:56.918688 IP 192.168.178.8.14331 > 34.247.100.105.443: Flags [.], ack 167, win 2754, length 0



En ik ben nog steeds benieuwd wat ik over het hoofd zie.
« Laatst bewerkt op: donderdag 15 februari 2024, 21:32 door GJ »

GJ

  • Aspirant
  • **
  • Berichten: 9
  • Veiligheid voor alles!
    • Bekijk profiel
Re: ATS1500 MR4.8 / MR4.10 firewall blues
« Reactie #3 Gepost op: maandag 26 februari 2024, 12:27 »
Een (laatste) update om deze thread netjes af te sluiten.

Contact met de leverancier van de beveiligingshardware leverde dat zij de firewall uitgeschakeld laten "omdat het anders niet werkt". Mijn analyse gaf inzicht en de suggestie was om contact op te nemen met de fabrikant.

Ik heb een document gemaakt waarin de issue bescheven is. Omdat bijlagen in dit forum voor mij niet werken heb ik het document ergens anders geplaatst: http://eng.rent-a-geek.org/aritech-mr4.10-firewall-issue.pdf

Omdat ik na een week niets gehoord had heb ik nog eens nagebeld naar de fabrikant. Dat gesprek verliep uiterst onvriendelijk; men had het document (waar ik toch best wat moeite voor gedaan heb!) niet geopend, maar dat Ultrasync en NTP niet werken (en niet kunnen werken!) in combinatie met de ATS1500 firewall wilde er niet in. Dat ik bewijs ervoor in het document gezet had maakte niet uit.

Ik heb de netwerkbeveiliging van mijn paneel inmiddels op een andere manier opgelost en dat de firewall niet goed werkt is voor mij geen hoofdzaak meer. Maar omdat de vraag op dit forum eerder gekomen is, maar er toen ook geen antwoord kwam deze laatste post met mijn bevindingen: Schakel de firewall niet in, dan werken er dingen niet meer.

Uiteraard sta ik nog steeds open voor opmerkingen die mijn ongelijk aantonen, maar bij gebrek van een beter antwoord van de fabrikant zal het zo moeten zijn. Topic closed.