Synology firewall LOGS router?

[NoFate]

heb me al suf gezocht , maar waar zijn de firewall logs van inkomende/uitgaande connecties?

deze lijst kan je dus gewoon niet opvragen? of mis ik iets? je ziet wel mooi de HITS staan, maar dan is het dan ook?
enigtste wat ik zie in log center, is als bv iemand succesfol heeft aangemeld, of verkeerd ww ofzo, maar dat is het dan ook?

onze VOIP centrale is gehacked, en we trachten te weten komen door wie/op welke poort etc... maar dit vind ik dus niet

dat is toch een minimum functionaliteit van een router neem ik aan?

[Babylonia]

Een firewall houdt dingen tegen die je expliciet hebt ingesteld om tegen te houden, maar logt zelf niet wat er wordt doorgelaten.
Aanmelden heeft alleen met de functies van de router zelf te maken (of m.b.t. de File server opties die je mogelijk hebt ingesteld,
voor een aangekoppelde USB-drive).

Meeste kans op informatie is via "Traffic Control" en dan onder het menu "monitor".
Die kan per 24 uur, per week etc. per apparaat laten zien welke domeinen er zijn aangedaan.
Misschien zou je daar eens dieper in kunnen duiken.
Meer info op het Engelstalige forum zie < dit bericht > en vervolgreacties.

Die VOIP-centrale heb je die een vast IP-adres gegeven?  Anders staat het mogelijk onder een MAC-adres vermeld.

Als de VOIP-centrale is gehackt, vraag ik me af of je de inloggegevens niet te gemakkelijk hebt gemaakt?
Verder als de VOIP-provider in Nederland zit, heb je de firewall-regels voor toegang tot VOIP wel zodanig krap gezet,
dat alleen de regio Nederland binnen de VOIP firewall regel actief is?
Tenslotte gaat al het VOIP-verkeer "naar ik denk" via de server van je VOIP-provider?

Zelf gebruik ik bijv. CheapConnect en VoipBuster. CheapConnect is een Nederlandse provider. De server staat in Nederland.
Maar kennelijk ook die van VoipBuster, tenminste vanuit mijn locatie in Nederland, gaat het via een Nederlandse server.
(Men zal wel meerdere servers in Europa gebruiken ?).
Naar aanleiding van dit gegeven heb ik mijn firewall regel voor VOIP krapper gezet (alleen Nederland),
en dat lijkt vooralsnog goed te werken met de testen die ik ermee heb gedaan.
Voor jezelf zou je die mogelijk op België kunnen zetten (als ik afga op de gegevens van je eerdere berichten).

Voor uitleg over firewall regels zie < dit onderwerp >, waarbij de VOIP firewall regel daar overigens nog op "ALL" staat.

[NoFate]

VoIP centrale had thans een zeer complex wachtwoord van hoofd, klein, tekens , nummers, dus denk niet door Brute force ..
Nuja, dat is aangepast dat maar 1 enkel source op het kan benaderen nu....

Traffic control is toch alleen maar om interne apparaten....


Maar is er nergens een log? Zou gewoon een overzicht willen zien van inkomende connecties, geblokkeerd en toegelaten... Elke router heeft zo een functie ..

Het enigste wat ik kan zien zijn de "hits" , maar dat is gewoon een nummer, ik zie nog eens niet welk ip daarop geconnecteerd is

[Babylonia]

Gebruik je een hardwarematige VOIP Centrale of softwarematige (beschreven zoals < HIER > )?

Mocht je een Soft Phone applicatie gebruiken, pas je die dan toe op één PC of meerdere?
Daarmee wordt het een stuk moeilijker te achterhalen via welk IP-adres die hack heeft plaatsgevonden, omdat er naast verbinding met een VOIP provider met je PC nog een heleboel andere domeinen worden bezocht.
(Ter referentie, thuis heb ik bijv. zonnepanelen. Via Traffic Control zie ik bij het betreffende apparaat slecht één domein waar het contact mee heeft. Zijnde de portal waar gegevens van verbruik worden opgeslagen).

Traffic control is toch alleen maar om interne apparaten....

Met alles wat er via de router in je thuisnetwerk aan internetverkeer passeert.
Als je elders bent en bijv. gebruik zou maken van een softphone applicatie op je laptop, gaat er geen verkeer via je router thuis.

VoIP centrale had thans een zeer complex wachtwoord van hoofd, klein, tekens , nummers.....

Maak je elders gebruik van zo'n softphone applicatie, met bijv. een openbaar WiFi netwerk, en je zet geen beveiligde WiFi-connectie op (VPN), ben je speelbal van lieden die het newerk sniffen. Onversleutelde wachtwoorden zijn dan zo uit te lezen.

[NoFate]

Het is idd een hardware centrale die met 3starsnet verbonden is, dus dat ip is nu alleen maar toegelaten...

Softphone ook in gebruik, maar gaat totaal over een andere poort, is ook geen management poort, en werkt ook mee certificaat, daar is ook de hack niet op gebeurd...

Dus is veilig nu...

Maar mijn vraag blijft, is er nergens een lijst te zien van inkomende connecties van welk source ip op welke destination....

Of omgekeerde, outbound connecties naar buiten op een bepaalde poort......

Gewoon dus een connectie overview van inbound en outbound zoals op elk merk router te zien is

[Briolet]

…Naar aanleiding van dit gegeven heb ik mijn firewall regel voor VOIP krapper gezet (alleen Nederland),

Er zijn natuurlijk heel veel VoIP protocollen om vanachter een nat router te werken. Mijn VoIP opent van binnen uit een verbinding met de provider zodat je er van buiten helemaal niet bij kunt. Bij mij draait hij achter dubbel nat en in de routers hoef ik niets in te stellen. Maar elke provider kan anders werken door de diversiteit aan protocollen.

Maar bij een eigen centrale in je eigen lan, heb je poorten die voor het telefoneren nodig zijn en poorten die voor het beheer nodig zijn. Die voor het telefoneren moeten wereldwijd open staan. Maar daarmee kun je volgens mij geen centrale hacken.
De poorten voor beheer hoeven alleen binnen je lan beschikbaar te zijn. Als je er van buiten bij wilt, doe je dat via VPN.

[NoFate]

Bij ons was het via 5060, deze inbound open gezet om iets te testen, sanderdaags was de hack al, veel telefoons naar andere landen gedaan...
Uiteindelijk was deze poort niet nodig inbound

[Briolet]

Gewoon dus een connectie overview van inbound en outbound zoals op elk merk router te zien is

Ik kan me ook niet voorstellen dat die optie er niet is. Zelfs op mijn Ziggo Ubee router kan ik dat allemaal loggen. (Via de syslog functie). Dat geeft wel een ongelofelijke berg aan log-data op, zodat je dat vast niet standaard aan zet.

[NoFate]

Snap het ook niet, zo kan je toch niks onderzoeken

[Babylonia]

Ter referentie mijn voorbeeld met zonnepanelen en de gegevens via Traffic Control waarbij er slechts via één domein connectie is:

[Babylonia]

Mijn VoIP opent van binnen uit een verbinding met de provider zodat je er van buiten helemaal niet bij kunt.
Bij mij draait hij achter dubbel nat en in de routers hoef ik niets in te stellen.

Met CheapConnect en het gebruik van de 3CX-softphone op mijn laptop, maak ik daar elders ook gebruik van.
Daar is niets voor ingesteld in de betreffende routers waar ik ben.  Ik kan er desgewenst ook op teruggebeld worden.

Het verbaast me wel dat de hardwarematige telefooncentrale van @NoFate zo snel is gehackt.
Ik vraag me af of het dan ook niet in de beperkingen van die apparatuur zou kunnen zitten??

[NoFate]

Idd, zowel username is ook veranderd, dus een Brute Force op zowel user en pass is onmogelijk lijkt me, toch zeker niet op 1 nacht...
Die 5060 is voor sip registratie, dus mss is dat een ander soort toegang...
Vroeger moest deze intern ook openstaan, maar nu doen centrales de registratie op een andere manier bij provider... Dus alleen outbound is nodig tegenwoordig...

Ben ook niet echt thuis in de wereld van VoIP... Maar allessinds 5060 inbound toe heeft geholpen

[Babylonia]

In het verleden een jaar lang een VOIP ATA-adapter bij een kennis opgesteld gehad met twee SIP accounts.
Omdat poort 5060 gereserveerd was voor de VOIP-mogelijkheden van de provider zelf (en niet in de router is aan te passen),
waren poort 5070 (CheapConnect), en poort 6000 (VoipBuster) ingesteld in de ATA-adapter, met port forwarding in de router.
Werkte prima.  Had het misschien ook zonder Port Forward instellingen kunnen doen??
Maar ondanks dat, nooit problemen ermee ondervonden.

[Babylonia]

Aanvullend, mag ik je vragen @NoFate van welke hardware VOIP centrale je gebruik maakt?
(Misschien zijn er nog bepaalde voorzorgsmaatregelen in de handleiding terug te vinden?).

[Briolet]

Dacht ik ook aan. Mijn VoIP ATA van grandstream heeft een zeer uitgebreide logfunctie die het log ook naar een syslog kan sturen. Ik laat nu alleen errors naar het syslog op de nas sturen, maar met de debugmode komt echt alles voorbij.