IP Spoofing Attack Detections in Zyxel Log

Wat de melding eigenlijk al aangeeft, ze maken gebruik van ‘IP Spoofing’ aan op de WAN interface.

Hier gebeurt dat ook regelmatig op de WAN interface met RFC 1918 adressen, maar bij een correct geconfigureerde firewall zal deze geblockt worden. Dat is dan ook de reden waarom je hem in het firewall log ziet staan, de actie die de firewall heeft uitgevoerd.

@Waqqas dank voor je bericht, maar ik heb in mijn verbindingoverzicht op Zyxel geen apparaat met 192.168.1.6. Volgens mij komt een apparaat vanuit de private range altijd via bekabeld of een wifi connectie en niet vanuit provider, want die komt via een 10 adres vanuit de WAN connectie binnen lijkt mij. Dan had ik minimaal verwacht dat deze connecties ook gelogd worden, maar die zie ik niet. Het gaat mij om het feit dat er iets ”onbekends” 192.168.1.6 op mijn netwerkje is en SSH connectie wil maken naar het publieke adres van mijn router.

@Pieter_B dank voor uitleg, maar ik zie zoals eerder antwoord geen relatie met WAN interface, er wordt niks van de 10. range gelogd. Als via de private 10 range “onderhoud” gedaan zou moeten doen , waarom (als dat al kan ) dan ook connectie vanuit de 192.168 private range.  Bij mij geen logging van 10 range .
Als ik overigens vanuit mijn adres in de 192.168 range naar mijn publkieke IP adress van Modem,  ping of telnet, dan zie ik geen entry van mij adres in mijn firewall log. Dan zou ik verwachten dat mijn connectie attempt naar mijn publieke adres ook gelogd wordt….
Mij nog onduidelijk waarom dan wel van een onbekend 192.168.1.6 adres? Moet ik mij zorgen maken?
Wie bedoel je  met "ze”?  Odido support? 

Met ‘ze’ bedoel ik iets en iedereen, die met dit soort IP spoofing toegang tot je netwerk probeert te krijgen. Ze zijn opzoek naar routers, welke gewoon dit soort ranges toch doorlaten door missconfiguratie. Die zijn ze in kaart aan het brengen, zodat daarna gericht ‘gewerkt’ kan worden.

Dat bij jou de 10 range niet in je logfile staat, kan van alles zijn. Je ziet in mijn logfile ook hetzelfde IP op de WAN komen, de 192.168.1.6.  Zoals je ook ziet, is het niet elke dag raak met een IP uit de RFC1918 range. Dus kun je ook aannemen dat dit random voorkomt, niet met een gerichte range of fixed IP’s of constant dezelfde WAN interface.

Een default regel in elke firewall zorgt er netjes voor, dat dit verkeer in de RFC1918 range er niet doorheen komt.

Hier in pfsense deze setting, die ik alleen op de WAN zijde heb ingesteld.

Zou mij niet verbazen dat in de originele Firmware van de Zyxel ook wel ergens dit staat ingesteld/aangevinkt op de WAN interface, maar omdat er ISP Firmware op staat kun je daar niet bij.

Moet je jezelf nu zorgen maken, ik zeg nee. De firewall’s van tegenwoordig zijn goed in staat, om dit soort pakketjes buiten de deur te houden.