You are currently viewing [UFW BLOCK]: DST=224.0.0.1 omassa sisäverkossa

[UFW BLOCK]: DST=224.0.0.1 omassa sisäverkossa

Asentelin Raspberry Pi serveritehokonettani (aidosti, se on sitä kotisisäverkossa) paikalleen ja jossain vaiheessa vilkaisin, USB-muistien takia, antaako dmesg mitään ihmeellistä. Antoihan se, UFW blokkasi urakalla sisäverkon liikennettä logia täyttäen . Yrittäjänä oli 192.168.100.16 ja kohteena 224.0.0.1.

[27448.609088] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=192.168.100.16 DST=224.0.0.1 LEN=144 TOS=0x00 PREC=0x00 TTL=1 ID=15467 DF PROTO=UDP SPT=58501 DPT=4448 LEN=124

 

Ihan ensimmäiseksi katsoin kuka oli asialla. Olin aivan varma, että joku perheen verkossa olevista laitteista vuotaa ja jos emme ole spämmirele, niin bitcoin-louhintakeskus kuitenkin. Kiittelin mielessäni UFW:tä hyvin tehdystä työstä.

IP-osoite 192.168.100.16 on Seagaten verkkolevy, kaipa sitä voi kutsua nimellä NAS. Ihmettelin, että mitä tämä nyt on – onko se jotain routerin palomuurin läpäissyttä ulkopuolista liikennettä ja miksi se pyrkii omituiseen IP-osoitteeseen kovalevyn kautta, josta whois ei ole milloinkaan kuullut. Google auki ja selvisihän se. Selvisi myös se, etten ole ainoa, jolle tuo tai vastaava logirivi on pelotellut löysät housuihin.

Kyseessä on NAS:n tekemä multicasting kysely. Yleisimmin sen aiheuttaa esimerkiksi mDNS tai UPnP. Tässä tapauksessa kyseessä oli nimenmaan verkkolevyn halu käyttää UPnP:tä.

Tämä asetus Seagaten PersonalCloud-levyssä oli syypää:

 

IP-osoite 224.0.0.1 taasen tarkoittaa suunnilleen samaa kuin kaikki sisäverkon IP-osoitteet – eli periaatteeltaan vastaava kuin että maailman IP-osoitteissa voidaan käyttää 0.0.0.0 kertomaan, että kaikki on sallittu.

Maalaisesti ilmaistuna kovalevy on kysellyt pikkulapsen järkähtämättömällä sinnikkyydellä jokaiselta verkon laitteelta, kerta toisensa jälkeen, että ”saanko olla sinun kovalevysi, saanko olla sinun kovalevysi, saanko olla sinun kovalevysi… ja Raspberryn UFW on aivan yhtä järkähtämättömästi murjottanut ilmoittaen, että on kielletty juttelemasta tuntemattomien kanssa, eikä meitä ole edes esitelty.

Kuitenkin, kyse ei ole haittaliikenteestä, vaan siitä on jopa hyötyä ja kuuluu sarjaan normaalit sisäverkon työt. Turhasta logittamisesta ja UFW:n estelystä pääsee eroon kertomalla mitä sen kuuluu tehdä:

ufw allow in from 192.168.100.16 to 224.0.0.1

  • vaihda tilalle oman pyyntöä tekevän laitteen sisäverkon IP-osoite

Tapaus ESP_XXXXXX

Sain toisen täysin vastaavan blokkausilmoituksen UFW:ltä. Routerin lista ei sillä kerralla kertonutkaan mistä laitteesta on kyse, vaan asialla oli ESP_XXXXXX, jossa äksät olivat MAC-osoitteen kuusi viimeistä merkkiä.

Ihmettelin mikä se oli. Listoilla näkyi tutut laitteet, joisen kuuluikin olla sisäverkossa, mutta tuota en saanut hahmotettua. Google auki, ja taas kerran muutkin olivat kyselleen täysin vastaavasta asiasta.

Laitenimeä ESP_ käyttää yritys Espressif Inc. joka valmistaa piirisarjoja wifi- ja bluetooth-yhteysiä varten. Piirejä käyttävät pääosin erilaiset laitteet, eli IoT (internet of things). Se voi olla verkkoon haikaileva sähköhammasharja tai älyohjatut valot. Olin hieman hämmentynyt, koska meillä ei ole moista maailmaa käytössä.

Yritin huutaa pesukoneen käyntiääneen yli rouvalle, että onko hän ottanut käyttöön jonkun vipstaakin, josta en tiedä, vai onko meillä jokin tieturvaan liittyvä ongelma. Samalla hetkellä sitten oivalsinkin. Meillä on pesukone, jonka ohjelma voidaan asentaa puhelinapilla ja joka kokee suunnatonta tarvetta lähettää verkon yli push-viestin, kun ohjelma on päättynyt.

Kun pesukone oli valmistunut, ja sammuksissa, niin ESP_-alkuinen laite hävisi. Kun laitoin pesukoneeseen sähköt päälle, niin laite palasi wifi-verkkoon.

Pesukone ei tarvitse mihinkään multicasting-kyselyä, mutta tekee sen kuitenkin. Villi veikkaus on, että koska Espressif Inc. on tukkuvalmistaja, niin ominaisuus on piirisarjassa valmiiksi mukana. Laitteesta sitten riippuu, että tarvitaanko sitä vai onko laitteen tekijä ollut niin laiska, että ei ole sitä ohjelmallisesti estänyt. Niin tai näin, niin pesukoneelle en anna palomuuriin lupaa multicastingiin.

Paitsi että jouduin antamaan luvan. Kun multicasting oli estettynä, niin pesuohjelmaan liittyvät viestit eivät kulkeneet.

 

Jakke Lehtonen

Teen B2B-markkinoille sisällöntuottoa sekä UX-testauksia. Samaan liittyy myös koulutukset yrityksille ja webmaailman kanssa muutoin painiville. Serverien sielunelämää on joutunut ohessa opettelmaan. Toinen puoli toiminnasta on koirien ravitsemuksen ja ruokinnan suunnittelua sekä varsinkin omistajien kouluttamista hoitamaan koiriaan oikein ja vielä paremmin. Profiili: Jakke Lehtonen

Keskustele foorumilla Meta/KATISKA