Sinds een paar dagen krijg ik een goot aantal regels in mijn access logs in webmin op mijn server (Mac OS X 10.5.8):

92.48.97.120 - - [11/Nov/2009:15:26:28 +0100] "CONNECT 205.188.251.43:443 HTTP/1.0" 302 -
92.48.97.120 - - [11/Nov/2009:15:31:35 +0100] "CONNECT 64.12.202.116:443 HTTP/1.0" 302 -

Het lijkt er op dat iemand via SSL verbinding maakt via poort 443. Blokkeren in BSD Firewall in webmin lijkt geen effect te hebben met onderstaande regel.

00400 Drop If protocol is TCP and destination is 192.168.168.4 and destination port is 443

Ik heb hierbij twee vragen waar ik met google geen antwoord op vind en ook niet via zoeken op het forum:

1. Kan het kwaad dat een persoon of computer verbinding maakt op bovenstaande manier met "CONNECT"?
2. Hoe kan ik in de Mac OS X firewall (dus buiten webmin om) specifieke IP adressen blokkeren?

Dat iemand poort 443 gebruikt voor SSL vind ik niet zo vreemd.
Als je geen SSL gebruikt of toestaat dan kan die hele poort toch dicht? 1 IP-adres blokkeren heeft in principe geen zin, voor je het weet moet dat met 6000 adressen en houdt je router het voor gezien. Verder is het administratief een ramp en loop je altijd achter de feiten aan. Timmer de boel dicht en laat alleen een gaatje voor wat men wel mag.

Het is inderdaad niet zo nuttig om dat IP adres alleen te blokkeren, het dichtgooien van 443 wel.

De regel in BSD Firewall zet zoals hierboven aangegeven ook 443 dicht voor alle bezoekers. Toch komt de bezoeker ook na het activeren van DROP op 443 terug in de logs. Kennelijk heeft het instellen van regels via webmin geen zin, vandaar de vraag of dat ook direct in de firewall van Mac OS X kan gebeuren. Blokkeren van 443 dan wel het IP adres.

Poort 443 moet je niet dichtgooien, je wilt neem ik aan secure blijven internetten. Adressen 192.168.x.y zijn adressen in jouw netwerk. Die moet je niet blokkeren (of het moet iemand zijn die op jouw netwerk is ingebroken). Externe adressen (source buiten jouw netwerk) zou je kunnen blokkeren.

De server faciliteert de volgende diensten:

FTP - ProFTPD Port 21
HTTPD - Apache/PHP/MySQL Port 80,3306
VNC Port 5900
Wesnoth Game Server Port 15000
Webmin Port 10000<p>Eigen interne IP adressen worden -vanzelfsprekend- niet geblokkeerd, verkeer ernaar toe wél, daar is bovenstaande regel voor.<p>Op de (web)server worden geen acties uitgevoerd via GUI behalve beheer d.m.v. VNC toegang. Secure internetten is dus niet nodig.<p>Het genoemde IP adres is geblokkeerd in BSD (IPFW) Firewall, alleen lijkt dit niet te werken.<p>02200 Drop If source is 92.48.97.120

Vandaar mijn twee vragen in het eerste bericht. Nuttig, verstandig of gewenst is een ander verhaal: hoé ik het moet doen in de firewall van Mac OS X zelf is iets waar ik zelf niet uit kom, vandaar dat ik die vraag hier stel.

Op internet kom ik niet veel tegen, behalve mensen die hetzelfde waarnemen, met twittert er zelfs over.

... en of bezoek op deze manier kwaad kan. Dat ook.


Aanvulling: IPFW aanzetten kan met de volgende instructies, al een stukje verder dus.

(Bewerkt door Sjors om 17:33, 11-11-2009)

Sjors om 15:56, 11-11-2009
De regel in BSD Firewall zet zoals hierboven aangegeven ook 443 dicht voor alle bezoekers.

Ik ken die firewall niet, maar als ik het goed lees dan gooit ie alleen 443 dicht als iemand naar 192.168.168.4 wil. Als 443 helemaal dicht kan, dan hoeft er geen IP-adres bij, geen source, geen destination.

Als het goed is kun je dan nog steeds veilig internetten, die verbinding wordt volgens mij van binnen geïnitieerd. Als dat soort verbindingen gemaakt worden, kunnen de meeste firewalls die ook in stand houden, ook al is de poort waarover die verbinding loopt verder gesloten. De kreet is Statefull inspection.

Opgelost. Het aanzetten van IPFW m.b.v. de instructies op de gelinkte site zorgt ervoor dat de regels ook daadwerkelijk gebruikt worden. In mijn router is het externe IP ge'NAT' naar het interne adres 192.168.168.4. Vandaar dat deze genoemd wordt als destination address. Anyway: nuttig, verstandig, gewenst of niet, de hits zijn uit de logs. Bedankt voor het meedenken.

Hallo Sjors,

Er klopt iemand aan op poort 443. Zolang je deze poort niet hebt verbonden aan een dienst die je aanbiedt, bijvoorbeeld een webserver op https, zal niemand connectie kunnen maken op die poort.
Het is z.g. inbound traffic, waar jij de poort voor hebt gesloten. De firewall detecteert in dit geval dat iemand op jouw inbound poort 443 aanklopt, maar geen gehoor krijgt. Vandaar de drop van het tcp packet.

Wanneer jij zelf vanaf poort 443 naar buiten verkeer zou gaan sturen, iets wat gewoonlijk niet gebeurt, omdat uitgaand verkeer meestal op random poorten vanaf 1023 wordt uitgestuurd, is er nog niets aan de hand.
Je hebt dan voor jezelf de poort outbound aangezet. Dit houdt nog steeds in dat er geen inbound verkeer mogelijk is anders dan in de door jouzelf opgezette sessie vanaf poort 443. Zodra je die sessie sluit, is het verkeer weer over. Bovendien zul je nooit vanaf poort 443 verkeer op gaan zetten naar een willekeurig iemand die bij jou aanklopt op 443.
Resumerend : Er is dus firewall- en verkeerstechnisch een duidelijk verschil tussen inkomend en uitgaand verkeer.
Inkomend en uitgaand verkeer op poort 443 zijn twee totaal verschillende zaken.
Zolang je poort 443 voor inkomend verkeer dicht hebt staan, dus er geen dienst op aanbiedt, hoef je je om deze melding niet druk te maken voor wat betreft hackende activiteiten of zo.
Anders wordt het wanneer de aanbeller dit 80.000 keer per seconde gaat doen.
Je processor wordt dan dusdanig belast met het droppen van packets dat er sprake zou zijn van een dos attack.
Maar ik geloof niet dat dat hier het geval is. 

Bedankt voor de uitvoerige uitleg, ik snap er nu iets meer van.  

Normaal maak ik me er ook niet zo druk om, doorgaans alleen scriptkiddies die zoeken naar setup.php in een phpMyAdmin installatie. Ik heb alleen webmin op https bereikbaar. Deze bezoeker moest ongeveer 950 x z'n truukje doen in de afgelopen 24 uur. IPFW zit kennelijk standaard in Mac OS X maar niet aan, wel via webmin in te stellen. Een startup item maakt 'm aktief.

Resumerend vind ik de firewall in Mac OS X niet zo lekker te configureren, een enkel poortnummer is er niet in te blokkeren bijvoorbeeld. Op deze manier met webmin+IPFW wel.