Beantwoord

Veiligheidslogboek leeg na herstarten van Zyxel Modem en logboek niet te mailen

  • 9 February 2022
  • 61 reacties
  • 972 Bekeken

Reputatie 3
  • is een Master Poster
  • 28 reacties

Ik heb 2 situaties:

1: Na herstarten van mijn Zyxel VMG8825-T50 Modem blijkt dat mijn Veiligheidslogboek wat eerst gevuld was, dan leeg is. Het Systeem logboek is echter niet leeg. Zeer onwenselijke situatie dat logboek na herstart leeg is. (in zyxel hoofdmenu selecteer systeemmonitor en vervolgens logboek. Van hieruit zie je de 2 logboeken).

2: Ook kan ik een logboek wat op den duur weer gevuld is niet mailen naar een opgegeven mail adres. Resulterende boodschap is:  “Waarschuwing . Logboek niet verzonden.".

------

Firmware versie is V5.50(ABPY.1)b16_20210525

Wie heeft ervaring met bovenstaande en wat te doen om beide op te lossen.?

Alvast bedankt ,Mar.

 

 

icon

Beste antwoord door Jason van Odido 17 February 2022, 10:59

Bekijk origineel

This topic has been closed for comments

61 reacties

Reputatie 6
Badge +3

Hi @marvpp

Je krijgt “filtered” omdat die door de Firewall van de Zyxel eruit worden gefilterd en gedropped.

De hogeren poorten worden geblokt en krijgen daardoor wel een entry.  Niet elke manier van drop of blok wordt gelogd. Als je dat wilt adviseer ik een andere soort firewall appliance te gebruiken 😉

Reputatie 3

Hi @TechRacing93 . Dank. “Filtered”aspect dat begrijp ik want idd dit staat dicht op de/mijn Zyxel. Dat het niet altijd gelogt wordt dat lijkt mij niet correct. Je logt wel of niet of met een “rule” wel of niet.
Als voorbeeld uit de seclog wat o.a. wel gelogd word: Feb  2 02:59:37 kern.alert kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=5.188.88.178 DST=<mijnHomeIP> LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=36421 DF PROTO=TCP SPT=58612 DPT=86 WINDOW=29200 RES=0x00 SYN URGP=0
Als ik vanuit ipfingerprints (dus vanuit public IP) nu een scan doe ook op 86 dan zie ik deze niet. Dit lijkt mij niet te kloppen. Ik zie in geheel geen externe adressen meer.
Dan is er volgens mij wat met de logging settings.

@Jason

Reputatie 7
Badge +16

@marvpp Hmm ik sluit me in dit geval aan bij wat @TechRacing93 hierboven aangeeft. Inderdaad wordt niet altijd elke wijze van drop of block gelogd. Ik betwijfel daarom of het aan de logging settings ligt, maar zal er nog eventjes naar kijken! Thanks voor de updates marvpp en voor de hulp @TechRacing93! 👍👍 

Reputatie 7
Badge +16

@marvpp Aan onze kant ziet het er prima uit, hoe gaat het momenteel aan jouw kant? 

Reputatie 3

Hi @Jason  , dank voor je bericht.

Bij in de log mij is er niks verandert. Ik zie nu wel log entries van externe IPs die een scan doen op mijn IP, maar ik zie geen log entries van de scan zoals voorgesteld door TechRacing93 met ipfingerprints, die bij hem wel entries in de log geeft.

In eerdere update werd aangegeven:
​​Als ik een portscan doe naar mijn eigen modem, komen de entries eigenlijk meteen in de in log.

@marvpp kan je het eens testen met; ipfingerprints.com/portscan.php

Reputatie 7

Hi @marvpp,

Ik wil dan graag onze vriend @TechRacing93 vragen om je wat meer duidelijkheid te bieden over de navraag hierover. Zo komen we zeker tot de juiste oplossing! 

Reputatie 3

Hallo @TechRacing93 , zou je ajb nav bovenstaande nog eens willen kijken naar het niet verschijnen van sec entries in log als ik ‘ipfingerprints’ gebruik? Ik zie nog steeds niets en begreep dat bij jou wel het geval is. Volgens mij ligt het aan mijn logging settings. @Boris 

Reputatie 6
Badge +3

Hi @marvpp

Als je precies verteld wat je doet en wat je voor uitkomst verwacht, dan kan ik eventueel nog keer kijken als ik tijd heb. Maar kan niks beloven. 

Reputatie 3

@TechRacing93 , Ik heb uitgevoerd wat je eerder had voorgesteld om log entries in mijn sec log met een portscan te forceren. Ik heb alle opties die de “ipfingerprints” pagina bied naar mijn “homeIP” gebruikt. Bij mij komt er niets in de log. Jij gaf eerder aan bij jou wel. Als het bij jou werkt dan zou dit bij mij ook moeten werken.  Ook ICMP met een “ping” app vanuit mijn iphone naar mijn “homeIP” (buitenom  zonder wifi aan) geeft geen entries. Als “ipfingerprints” bij jou wel entries levert dan zit dit in de logging settings op het modem wat ik eerder al aangaf. Het lijkt mij niet te veel gevraagd om alle “attack” achtige acties op mijn modem in de log te krijgen. Zeker als dit elders ook werkt. @Boris  @Jason 

Reputatie 3

ik zie helaas geen update meer.

Reputatie 7
Badge +16

Goedemorgen @marvpp, ik zal nog eens aan @TechRacing93 vragen of hiernaar gekeken kan worden - ik weet zeker dat het geen bewuste afhouding was!