stan66923
Goto Top

HP Aruba - Security access violation

Hallo!

Seit einigen Tagen habe ich auf allen unseren HP Aruba 2530 Switches folgende Meldung:

Security access violation from <IP> for the community name or user name: internal (1 times in 60 seconds)

Die Meldung bekomme ich täglich 1-2 Mal
Tritt Zeitgleich auf allen Switches auf
IP Adresse ändert sich jedes Mal

Ich habe jetzt mal nachgeschaut welcher Client die IP-Adresse hat. Den Client habe ich neu aufgesetzt. Und, einen Tag später, bekomm ich von diesem Client wieder die Meldung.

Des weiteren bekam ich am Switch auch schon folgende Meldungen: User "unknown" logged in from <IP> to SSH session


Gibt es eine Möglichkeit rauszufinden wer oder was hier einen Zugriff versucht?

Content-ID: 2480565242

Url: https://administrator.de/contentid/2480565242

Ausgedruckt am: 25.11.2024 um 02:11 Uhr

radiogugu
radiogugu 12.04.2022 um 09:27:54 Uhr
Goto Top
Hi.

Sind Switch und Client im selben Subnetz?

Wenn nein, dann mal eine Firewall Regel erstellen, welche den Zugriff blockiert.

Läuft denn auf dem Client irgendeine Art SNMP Monitoring?

Das klingt stark danach. Dieses ist dann falsch konfiguriert.

Gruß
Marc
Stan66923
Stan66923 12.04.2022 um 09:30:48 Uhr
Goto Top
Ja, Clients und Switch sind im gleichem Netz.
SNMP Monitoring haben wir nicht in Verwendung.
radiogugu
radiogugu 12.04.2022 um 09:32:50 Uhr
Goto Top
Mal nen Wireshark dazwischen geschaltet und geschaut, was der Client so treibt?

Laut der HP Support Seite ist das eine SNMP Warnung. Ist die IP statisch bei dem Client oder wird die dynamisch via DHCP vergeben?

Eventuell "nutzt" jemand anderes diese IP noch.

Gruß
Marc
Stan66923
Stan66923 12.04.2022 um 09:38:24 Uhr
Goto Top
Wireshark ist eine gute Idee. Interessant ist nur dass der Client neu aufgesetzt wurde. Es wurde auch keine Software installiert.

Client ist DHCP. Laut DHCP-Server ist alles sauber vergeben.

Der Zugriff auf den Switches erfolgt täglich meistens zwischen 07:00 und 09:00 Uhr. Nur am Wochenende waren es andere Uhrzeiten.
aqui
aqui 12.04.2022 um 10:15:09 Uhr
Goto Top
Die Fehlermeldung ist üblich wenn ein System per SNMP Netzwerk Management auf den Switch zugreift aber eine falsche SNMP Community benutzt.
Das wird eindeutig an der Meldung "for the community name or user name:" !
Vermutlich betreibt irgend jemand ein SNMP Management im Netz (Nagios usw.) was versucht Daten vom Switch mit einem falschen SNMP Community String abzuholen. Oder falls SNMPv3 mit einem falschen User/Passwort.
Stan66923
Stan66923 12.04.2022 um 10:25:38 Uhr
Goto Top
SNMP haben wir aber nicht im Einsatz. Auf den Clients kann ohne Admin-Rechten nichts installiert werden.
Am betroffenen Client ist auch keine derartige Software installiert.

Kann man das irgendwie am Switch auslesen?
Stan66923
Stan66923 12.04.2022 um 10:30:09 Uhr
Goto Top
Anbei mal die Meldungen und die Standard SNMP Config. Wie gesagt, SNMP nutzen wir nicht.
Die Zugriffe sind alle quasi gleichzeitig auf allen Switches.
Ob es immer der gleiche Client war kann ich noch nicht sagen.
snmp
meldungen
aqui
aqui 12.04.2022 aktualisiert um 10:44:03 Uhr
Goto Top
SNMP haben wir aber nicht im Einsatz.
Das ist völlig egal und spielt keine Rolle. Irgendwas befragt den Switch aber per SNMP und er loggt das als Violation weil er entweder nicht für SNMP konfiguriert ist oder eine andere SNMP RO oder RW Community nutzt. Sowas loggt jeder Switch, egal ob Aruba Gurke oder was auch immer.
Die 10.1er Adressen sind alle die bösen Buhmänner die dem Switch etwas per SNMP entlocken wollen oder schlimmer noch versuchen per SNMP Set etwas an seiner Konfig zu verändern !!
Den Community String "Public" zu verwenden ist auch mehr als fahrlässig, denn das sind die typischen Allerwelts Dummy Stings (Public für RO und Private für RW). Sowas zu verwenden grenzt schon an Dummheit, aber egal.
Bekomme heraus WER die Absender sind mit den 10.1.er Adressen.
Ein intelligenter Netzwerk Administrator legt sich mit einem Wireshark auf die Lauer und sniffert diese Anfragen mit. Anhand der gesendeten OID Strings kann er dann sofort sehen WER und genu WAS er vom Switch versucht rauszubekommen oder zuändern und welchen Community String er dafür benutzt.
Wenn du z.B. im Heatlthcare Umfeld arbeitest könnten das Patienten Monitoring Geräte sein die per SNMP die Mac Tabelle des Switches befragen.
Stan66923
Stan66923 12.04.2022 um 10:52:07 Uhr
Goto Top
Zitat von @aqui:

Den Community String "Public" zu verwenden ist auch mehr als fahrlässig, denn das sind die typischen Allerwelts Dummy Stings (Public für RO und Private für RW). Sowas zu verwenden grenzt schon an Dummheit, aber egal.
Wie sollte man das richtig konfigurieren?

Bekomme heraus WER die Absender sind mit den 10.1.er Adressen.
Da bin ich bereits dabei. Einen Client konnte ich identifizieren. Hab den Client neu aufgesetzt, versucht aber wieder zuzugreifen.

Ein intelligenter Netzwerk Administrator legt sich mit einem Wireshark auf die Lauer und sniffert diese Anfragen mit. Anhand der gesendeten OID Strings kann er dann sofort sehen WER und genu WAS er vom Switch versucht rauszubekommen oder zuändern und welchen Community String er dafür benutzt.
Leider bin ich kein Netzwerk-Admin und wir haben auch keinen Profi. Muss ich wireshark direkt auf einem betroffenen Client laufen lassen oder?


Sonst muss ich eine externe Firma beauftragen die mal den Netzwerk-Traffic checkt.
aqui
aqui 12.04.2022 aktualisiert um 11:00:34 Uhr
Goto Top
Wie sollte man das richtig konfigurieren?
Indem man NICHT diese Allerwelts Communities nimmt. Das ist so als wenn du ein Passwort auf "Passw0rd" oder "test123" oder solche banalen Demo Beispiele setzt. Das macht ja kein intelligenter Mensch der auf Datenschutz und Security bedacht ist. face-wink
Setze das also auf einen individuellen String je für die RO und RW Community.
https://www.rapid7.com/blog/post/2016/01/27/simple-network-management-pr ...
https://www.comparitech.com/net-admin/common-snmp-vulnerabilities/
https://www.cisa.gov/uscert/ncas/alerts/TA17-156A
usw. usw.
Stan66923
Stan66923 12.04.2022 um 11:08:48 Uhr
Goto Top
Laut einem Bericht sollte ich SNMP deaktivieren wenn ich es nicht nutze. Das sollte ja punkto Sicherheit reichen, oder?

Befehl: no snmp-server enable
Stan66923
Stan66923 12.04.2022 um 11:21:31 Uhr
Goto Top
Ok das reicht nicht. Hab es gerade getestet. Reichts wenn ich die Community "public" lösche, unter General Traps alles deaktiviere?
aqui
Lösung aqui 12.04.2022 aktualisiert um 11:59:50 Uhr
Goto Top
Laut einem Bericht sollte ich SNMP deaktivieren wenn ich es nicht nutze.
Das ist richtig ! Bei SNMP Zugriff loggt der Switch das aber oft dennoch.
Reichts wenn ich die Community "public" lösche
Solltest du generell IMMER machen !! Ebenso Private RW sofern aktiv. Die aktiv zu lassen ist fatal. Sowas weiss man aber auch als verantwortungsbewusster Netzwerk Admin !
Stan66923
Stan66923 12.04.2022 um 12:06:52 Uhr
Goto Top
Ok danke für die Info. Ich werde SNMP auf allen Switches explizit deaktivieren und die Community "public" löschen und alles mögliche in Bezug auf SNMP sperren.

Verantwortungsbewusst bin ich, aber halt kein Netzwerk-Admin... face-wink


Und dann versuche ich noch rauszufinden wer oder was auf die Switches zugreifen möchte.
aqui
aqui 12.04.2022 aktualisiert um 16:49:25 Uhr
Goto Top
aber halt kein Netzwerk-Admin...
Dann solltest du eigentlich auch nicht auf den Switches rumfummeln... face-wink
wer oder was auf die Switches zugreifen möchte.
Sollte ja anhand der IP und den daraus resultierenden Mac Adressen kinderleicht sein. Sieh im DHCP Server nach welche Mac Adresse dazu korrespondiert und dann in der Mac Adress Tabelle des Switches an welchem Port diese Mac hängt dann hast du den Übeltäter.
10.1.2.x und 10.1.3.x lässt annehmen das dein Netzwerk sinnvoll in VLANs segmentiert ist und mehrere IP Netze hat.
Dann kannst du auch auf dem Core L3 Switch mit show arp dir die ARP Tabelle ansehen und daraus die Mac Adressen der "SNMP Verbrecher" extrahieren. Die dann wieder in der Mac Tabelle des Switches nachsehen wo die stecken.
Kollege @Lochkartenstanzer pflegt die betreffenden User dann immer gerne mit seinem Lieblingstool für Admins zu züchtigen ! face-big-smile
Stan66923
Stan66923 13.04.2022 um 08:13:13 Uhr
Goto Top
Ja ich konnte bereits einen Übeltäter finden - der Züchtiger ist bestellt :D :D :D

Nur interessant, der Client ist frisch neu aufgesetzt. Es sind auch nur zwei Programme installiert. Ich werde den Rechner vom Netz nehmen und beobachten.

Auf einem Switch habe ich per SSH den SNMP Dienst deaktiviert, die Community gelöscht und unter General Traps alles gesperrt. Und siehe da, keine Zugriffsmeldung mehr. Siehe Anhang.

Danke erstmal für die Hilfe. TOP!

Info ob das Problem damit behoben wurde folgt.
unbenannt
aqui
aqui 13.04.2022 um 09:06:25 Uhr
Goto Top
Dann bleibt dir ja nur noch deinen Thread dann als erledigt zu schliessen ! face-wink
Wie kann ich einen Beitrag als gelöst markieren?
Stan66923
Stan66923 15.04.2022 um 10:13:17 Uhr
Goto Top
Hallö!

Habe wie oben beschrieben SNMP deaktiviert. Bekomme aber dennoch Zugriffe auf den Switches. Zwar nicht mehr auf allen, aber vereinzelt dennoch. Es sind auch immer andere Clients. Mal wird dem Benutzer public und mal mit dem Benutzer internal. Scheint so, als schwirrt hier irgendwas im Netz.
Sonst muss ich halt tatsächlich den ganzen Tag Wireshark laufen lassen und hoffen dass wieder genau der eine Client einen Zugriff versucht.

Ich hab jetzt auch mal einen externen Techniker um Hilfe gebeten. Vielleicht hat er eine Idee.
unbenannt
1915348599
1915348599 15.04.2022 aktualisiert um 10:43:58 Uhr
Goto Top
Wieso lässt man die Clients ins Management Netz?? Solche Ports sollten ausschließlich für Management Stationen für den Zugriff erlaubt sein, und durch Firewall/ACL wasserdicht abgedichtet sein! Alles andere ist ehrlich gesagt Murks!
Denn hast du mal Malware im Netz und deine Devices haben Sicherheitslücken sind sie so direkt Angriffen schutzlos ausgesetzt!
Stan66923
Stan66923 15.04.2022 um 10:53:05 Uhr
Goto Top
Und wie sollte ich das am besten realisieren?

Beispiel:
10.1.0.x => VLAN1 => Switches, Server physisch
10.1.1.x => VLAN2 => Server virtuell
10.1.2.x => VLAN2 => Clients
10.1.3.x => VLAN3 => Ü-Kameras

AccessPoints, Drucker, usw.?

Oder wie sollte ich das Aufbauen? Bin kein Netzwerk-Admin und wir finden auch keinen. Sind bereits seit zwei Jahren auf der Suche...
1915348599
1915348599 15.04.2022 aktualisiert um 11:24:57 Uhr
Goto Top
Naja, alle Management-Ports zur "Verwaltung" der Geräte (dazu gehört auch SNMP) gehören sollten auch nur vom Management-VLAN erreichbar sein, dazu hat man Firewall-Regeln bzw. ACLs. Zugriffe von Clients aus den Client VLANs sollten da natürlich keinen Zugriff drauf haben.
Ins ManagementVLAN für die Netzinfrastruktur packt man auch keine Server für Client-Zugriff.
Also habe deine Firewall im Griff.
Nur segmentieren alleine, hilft nicht, die Zugriffregeln müssen dann der Vollständigkeit halber auch stimmig sein sonst bringt das Segmentieren nicht viel Nutzen.
aqui
aqui 15.04.2022 aktualisiert um 15:39:48 Uhr
Goto Top
Du siehst zudem ja auch die Absender IPs die versuchen per SNMP den Switches irgendetwas zu entlocken oder schlimmer noch zu konfigurieren.
Wäre es nicht intelligent einmal diese IP Adressen bzw. dazugehörigen Geräte ersteinmal ausfindig zu machen und auf diesen Geräten dann zu untersuchen WAS dort den SNMP Zugriff triggert.
DAS wäre je zuallererst einmal eine sinnvolle Vorgehensweise. Das irgendwelche Endgeräte SNMP Zugriffe starten ist eher ein gruseliges Szenario und de facto NICHT normal !!!
Die Fahrlässigkeit alle Infrastrukturgeräte nicht in ein gesichertes Management VLAN zu legen hat der Kollege @1915348599 schon angesprochen. Für einen Netzwerk Admin eher ein Armutszeignis. face-sad
Stan66923
Stan66923 15.04.2022 um 15:51:22 Uhr
Goto Top
Wir haben leider keinen Netzwerk-Admin in der Firma. Job ist schon ewig ausgeschrieben.... Also bei Interesse melden face-wink

Die identifizierten Rechner werde ich beobachten und mit netstat -abon kontrollieren ob hier Abfragen über Port 161 und 162 sind. Zusätzlich dann noch mit Wireshark.

Bin bereits mit dem Firewall-Betreuer in Verbindung. Wir werden die Switches in ein eigenes VLAN geben. Dazu haben wir dann nächste Woche noch eine Besprechung. Mal schauen was rauskommt.

Ja keine Ahnung was hier die SMTP-Zugriffe verursacht...
aqui
aqui 16.04.2022 um 09:24:56 Uhr
Goto Top
Ja keine Ahnung was hier die SMTP-Zugriffe verursacht...
Das solltest du aber dringenst klären, denn das ist kein normales Verhalten !
Im worst Case ist das eine Malware oder Trojaner die versuchen Netzwerk Infrastruktur entsprechend zu manipulieren.
Wenn das Winblows Rechner sind helfen die Microsoft Sysinternal Tools das herauszubekommen.
Stan66923
Stan66923 21.04.2022 um 14:48:11 Uhr
Goto Top
Sodala. Ich hab schon eine konkrete Vermutung: Meine Kollegin hat ein Update bei unserem Inventarisierungsprogramm gemacht und da gibt es jetzt eine erweiterte SNMP Funktion. Diese könnte Schuld sein. SNMP ist zwar im Programm grundsätzlich deaktiviert, aber da gab es eine versteckte Einstellung. Wir werden dass jetzt beobachten.

Des weiteren werden wir die Switches in ein eigenes VLAN geben und weitere Sicherheitsmaßnahmen vornehmen. Außerdem ist eine Netzwerk-Admin Schulung beantragt.

Danke für eure Hilfe.
aqui
aqui 21.04.2022 um 15:03:58 Uhr
Goto Top
Für solche Kollegen die sowas nicht kommunizieren im Netzwerk Admin Team dann das oben angesprochene Tool heranziehen ! 😉
Stan66923
Stan66923 21.04.2022 um 15:11:43 Uhr
Goto Top
Das Tool beinhaltet ja viele kleine Programme. Mit welchem Programm könnte ich hier was machen?
aqui
aqui 21.04.2022 aktualisiert um 16:33:15 Uhr
Goto Top
Bist du dir ganz sicher das wir hier vom gleichen Tool reden ?? 🤣
Stan66923
Stan66923 22.04.2022 um 11:31:31 Uhr
Goto Top
aaahhh dieses tool :D :D :D :D haha