Beantwoord

Veiligheidslogboek leeg na herstarten van Zyxel Modem en logboek niet te mailen

  • 9 February 2022
  • 61 reacties
  • 986 Bekeken
M
Reputatie 3
  • marvpp is een Master Poster
  • is een Master Poster
  • 28 reacties

Ik heb 2 situaties:

1: Na herstarten van mijn Zyxel VMG8825-T50 Modem blijkt dat mijn Veiligheidslogboek wat eerst gevuld was, dan leeg is. Het Systeem logboek is echter niet leeg. Zeer onwenselijke situatie dat logboek na herstart leeg is. (in zyxel hoofdmenu selecteer systeemmonitor en vervolgens logboek. Van hieruit zie je de 2 logboeken).

2: Ook kan ik een logboek wat op den duur weer gevuld is niet mailen naar een opgegeven mail adres. Resulterende boodschap is:  “Waarschuwing . Logboek niet verzonden.".

------

Firmware versie is V5.50(ABPY.1)b16_20210525

Wie heeft ervaring met bovenstaande en wat te doen om beide op te lossen.?

Alvast bedankt ,Mar.

 

 

icon

Beste antwoord door Jason van Odido 17 February 2022, 10:59

Bekijk origineel
This topic has been closed for comments

61 reacties

Jason van Odido
Rank
Reputatie 7
Badge +16

Goedemorgen @marvpp, ik zal nog eens aan @TechRacing93 vragen of hiernaar gekeken kan worden - ik weet zeker dat het geen bewuste afhouding was!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

ik zie helaas geen update meer.

M
Reputatie 3

@TechRacing93 , Ik heb uitgevoerd wat je eerder had voorgesteld om log entries in mijn sec log met een portscan te forceren. Ik heb alle opties die de “ipfingerprints” pagina bied naar mijn “homeIP” gebruikt. Bij mij komt er niets in de log. Jij gaf eerder aan bij jou wel. Als het bij jou werkt dan zou dit bij mij ook moeten werken.  Ook ICMP met een “ping” app vanuit mijn iphone naar mijn “homeIP” (buitenom  zonder wifi aan) geeft geen entries. Als “ipfingerprints” bij jou wel entries levert dan zit dit in de logging settings op het modem wat ik eerder al aangaf. Het lijkt mij niet te veel gevraagd om alle “attack” achtige acties op mijn modem in de log te krijgen. Zeker als dit elders ook werkt. @Boris  @Jason 

T
Reputatie 6
Badge +3

Hi @marvpp, 

Als je precies verteld wat je doet en wat je voor uitkomst verwacht, dan kan ik eventueel nog keer kijken als ik tijd heb. Maar kan niks beloven. 

M
Reputatie 3

Hallo @TechRacing93 , zou je ajb nav bovenstaande nog eens willen kijken naar het niet verschijnen van sec entries in log als ik ‘ipfingerprints’ gebruik? Ik zie nog steeds niets en begreep dat bij jou wel het geval is. Volgens mij ligt het aan mijn logging settings. @Boris 

Boris
Rank
Reputatie 7

Hi @marvpp,

Ik wil dan graag onze vriend @TechRacing93 vragen om je wat meer duidelijkheid te bieden over de navraag hierover. Zo komen we zeker tot de juiste oplossing! 

M
Reputatie 3

Hi @Jason  , dank voor je bericht.

Bij in de log mij is er niks verandert. Ik zie nu wel log entries van externe IPs die een scan doen op mijn IP, maar ik zie geen log entries van de scan zoals voorgesteld door TechRacing93 met ipfingerprints, die bij hem wel entries in de log geeft.

In eerdere update werd aangegeven:
​​Als ik een portscan doe naar mijn eigen modem, komen de entries eigenlijk meteen in de in log.

@marvpp kan je het eens testen met; ipfingerprints.com/portscan.php

Jason van Odido
Rank
Reputatie 7
Badge +16

@marvpp Aan onze kant ziet het er prima uit, hoe gaat het momenteel aan jouw kant? 

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

@marvpp Hmm ik sluit me in dit geval aan bij wat @TechRacing93 hierboven aangeeft. Inderdaad wordt niet altijd elke wijze van drop of block gelogd. Ik betwijfel daarom of het aan de logging settings ligt, maar zal er nog eventjes naar kijken! Thanks voor de updates marvpp en voor de hulp @TechRacing93! 👍👍 

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

Hi @TechRacing93 . Dank. “Filtered”aspect dat begrijp ik want idd dit staat dicht op de/mijn Zyxel. Dat het niet altijd gelogt wordt dat lijkt mij niet correct. Je logt wel of niet of met een “rule” wel of niet.
Als voorbeeld uit de seclog wat o.a. wel gelogd word: Feb  2 02:59:37 kern.alert kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=5.188.88.178 DST=<mijnHomeIP> LEN=60 TOS=0x00 PREC=0x00 TTL=55 ID=36421 DF PROTO=TCP SPT=58612 DPT=86 WINDOW=29200 RES=0x00 SYN URGP=0
Als ik vanuit ipfingerprints (dus vanuit public IP) nu een scan doe ook op 86 dan zie ik deze niet. Dit lijkt mij niet te kloppen. Ik zie in geheel geen externe adressen meer.
Dan is er volgens mij wat met de logging settings.

@Jason

T
Reputatie 6
Badge +3

Hi @marvpp, 

Je krijgt “filtered” omdat die door de Firewall van de Zyxel eruit worden gefilterd en gedropped.

De hogeren poorten worden geblokt en krijgen daardoor wel een entry.  Niet elke manier van drop of blok wordt gelogd. Als je dat wilt adviseer ik een andere soort firewall appliance te gebruiken 😉

M
Reputatie 3

Hi @TechRacing93 , @Jason , Thanks!

Als ik de ipfingerprints portscan doe naar mijn externe 85.x IP met default 80 -> 88 en separaat port TCP 23 443 en 445 ook met advanced “SYN  Stealth”, dan krijg ik als response als eerste naast de andere ports b.v. “80/tcp filtered http”.
Er komen echter geen entries in mijn security loglog (ververst en en geen filters dus inclusief “attack”). Inmiddels heb ik van vanochtend wel weer een connect/scan op een high port vanuit een mij onbekend extern adres in de seclog. Dat logt wel, maar deze van mijzelf niet.
Mogelijk toch iets met logging settings?

 

T
Reputatie 6
Badge +3

Hi @Jason en @marvpp,

Ik vraag onze Community-knaller @TechRacing93 om wat inzichten: heb jij een idee? Ook ten aanzien van de vraag: “Kan het zijn dat entries van type “attacks” (nog) niet gelogt worden?”

 

Als ik een portscan doe naar mijn eigen modem, komen de entries eigenlijk meteen in de in log. 

@marvpp kan je het eens testen met; ipfingerprints.com/portscan.php

Betreft de ping en telnet, die triggeren alleen een entry als je het heeeeel vaak doet. 

 

 

Jason van Odido
Rank
Reputatie 7
Badge +16

Hoi @marvpp, graag gedaan! Ik zou je niet zo snel durven zeggen waar dat interne IP-adres vandaan komt. Kan het zijn dat er een apparaat gekoppeld is geweest of geprobeerd heeft te linken waardoor deze melding voorbij kwam? 

Ik vraag onze Community-knaller @TechRacing93 om wat inzichten: heb jij een idee? Ook ten aanzien van de vraag: “Kan het zijn dat entries van type “attacks” (nog) niet gelogt worden?”

Thanks alvast voor je hulp!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

Hi @Jason
Dank voor de update! Modem is blijkbaar reset want mijn eerdere PWs werkten niet meer en logboek is leefg. Op zich geen probleem voor nu.
Je antwoord mbt 192.x/10.y vanuit T-mobile management gebruik bevestigt mijn concern. Het eerder vermelde interne LAN IP 192.168.1.200 is mij ook onbekend. Heb nu voor zekerheid PWs weer aangepast omdat mij onduidelijk is wat deze DPT=23 entry vanuit .200 is/zijn. MAC filtering ben ik aan het overwegen.

Vreemde is echter dat ik nu in geheel geen “Type attack” log entries meer zie in de securitylog.
Ook niet van mijzelf als ik vanuit 192.x.x.250 ping of telnet start naar mijn externe WAN home IP. Ook niet vanuit Iphone (Wifi uit) met ping, of zelfs niet vanuit met ping.eu online tool.
Eerder zag ik dit met andere scans dus dagelijks.
Kan het zijn dat entries van type “attacks” (nog) niet gelogt worden?

Bvd Mar.

Jason van Odido
Rank
Reputatie 7
Badge +16

Hi @marvpp, wanneer wij inloggen is het inderdaad vanuit een 10.x.x.x. adres; de melding die aangeeft dat het om 192.168.1.200 is, zijn wij niet en we gebruiken geen telnet. Je kunt de logging van het supervisoraccount ook weer zien, dit stond uit in de settings - zo kun je direct zien dat we een 10-adres gebruiken! 😉

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

Goedemorgen @marvpp, sorry dit hebben we dan per ongeluk gemist denk ik! Ik heb navraag gedaan bij één van onze experts en ben nu in afwachting van een terugkoppeling. 

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

Hi @Jason , weet niet precies welk antwoord ik nu moet krijgen, maar ik wacht nog op antwoord mbt eren mogelijke support sessie die gestart wordt vanuit 192.x ipv 10.x (zie eerdere update in dit issue).

Ik heb nu weer een zelfde telnet sessie port 23 (Log entry: Mar 31 14:40:18  kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.200 DST=<Home IP adres> LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=53833 PROTO=TCP SPT=37858 DPT=23 WINDOW=47370 RES=0x00 SYN URGP=0 )

Waarom is dit 192.x en niet 10.y vanuit support? Is dit van support die vervolgens inlogt met Supervisor?

Ik zou ook graag de supervisor logins willen zien in mij securitylog.

Bvd alvast. Mar.
 

Jason van Odido
Rank
Reputatie 7
Badge +16

Goedemorgen all, de gesprekken zijn nog steeds gaande. Ik wil met jullie afspreken dat ik pas weer een bericht achterlaat zodra ik nieuws heb, dat is ook een stuk aangenamer voor jullie!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

Goedemorgen all, er is nog geen sluitende conclusie vanuit Zyxel gekomen. We houden het wederom in de gaten en zitten er bovenop. Ik wil alvast voorzichtig stellen dat het niet op de absolute voorgrond ligt qua prioriteiten en dat het daardoor ietwat langer zou kunnen duren - feit is dat het bekend is en onderzocht wordt. Bedankt voor jullie geduld!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

Hoi @marvpp, onze specialisten zijn nog druk in conclaaf met Zyxel. Zodra er een update te geven is, zal ik die direct delen met je. Bedankt voor je geduld!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
Jason van Odido
Rank
Reputatie 7
Badge +16

Die update kun je vandaag verwachten! 😊 De logging voor accounts stond uit, de engineers hebben dit weer aangezet. Omdat zij nog in overleg zijn met Zyxel over het opslaan van de logging als de stroom ineens onderbroken wordt, kan het zijn dat de definitieve fix/workaround daarop nog op zich laat wachten. Daar zal ik je vanzelf over informeren, thanks voor je geduld en medewerking!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

Goedemorgen @Jason , wanneer kan ik een update/ aanpassing verwachten mbt bovenstaande? Kan niet zijn dat logins niet gelogd worden. Bvd

Jason van Odido
Rank
Reputatie 7
Badge +16

Goedemorgen @marvpp, ik vraag dit ook meteen na. Hopelijk heb ik snel meer nieuws voor je!

Ben je op zoek naar kennisartikelen? Neem dan snel een kijkje in de handige Wiki: https://community.odido.nl/knowledge-base
M
Reputatie 3

Hallo @Jason . Nog even een vraag nav bovenstaande. Naast de “supervisor” login vanuit T-mobile die niet gelogd wordt, zie nu ook mijn eigen “admin” logins ook niet meer in de log. Deze wil ik wel zien . Is er nog expert nieuws om dit weer te activeren? logging level?

ForumvoorwaardenCookie instellingen