Frage

A1 WLAN Box Log meldet Portscan

R
Rang
Benutzerebene 1
Abzeichen +1

Hallo Miteinander

 

Ich hätte mal eine paar allgemeine Frage zum Thema:

Ich habe die WLAN Box 

 

Manufacturer:ZTE;
ProductClass:A1 WLAN Box;
HWVer:V1.1.0;
SWVer:020_42w2_MU;

 

Firewalll Einstellung Typisch mit aktiviertem Anti-Hacking 

 

Im Log Management unter Alarm werdenhier gelegentlich Portscans von außen angezeigt.

Früher waren das verschieden Portscans, also IP-Adressen die mit unterschiedlicher Häufigkeit einen Portscan ausgeführt haben.

In der letzten Zeit ist es meist nur noch ein und die selbe IP die gelogt wird: 110.249.212.46 von Port 55555 aus

Dieser Scan erfolgt jeden oder jeden zweiten Tag einmal, zu unterschiedlichen Zeitpunkten.

Die IP ist auf der Seite abuseipdb.com auch mit über 6000 Meldungen eingetragen.

 

Meine Fragen hierzu:

  • 1: Kann eine solche IP Adresse irgendwie geblockt werden, bzw. sollte man das überhaupt ?
  •  2: Im Netz heisst es überall das hunderte Portscans am Tag statt finden, warum bei mir nur so selten ?! liegt es an der dynamischen IP, oder werden sie nur nicht gelogt ?!
  •  3: Wenn ich über den Heise Netzwerkcheck selbst einen Portscan ausführe, wird dieser nur dann an der Wlan Box gelogt, wenn ich den Komplett Check mit alles Standard Ports ausführe. Ein Portscan mit ausgewählten Ports wird gar nicht in der Log Datei registriert. Warum das ?
  •  4: und zu gut der Letzt, muss man sich bei einem solchen wiederkehrenden Portscan eigentlich Sorgen machen ? UPnP hab ich deaktiviert und laut Heise sind alle Ports gefiltert, sprich nicht geöffnet.

Vielen Lieben dank für eure Gedanken :)

mfg Rider

 

 

5 Antworten

R
Rang
Benutzerebene 1
Abzeichen +1

Ich möchte noch ergänzen das ich auf Anraten von A1 ( bez. der WLAN Geschichte im anderen Foreneintrag ) die Wlan Box auf Werkseinstellungen zurück gesetzt habe.

Und siehe da, 12 Stunden später habe ich 18 Portscan Meldungen von 4 verschiedenen IP Adressen. Und die oben genannte war nicht mal dabei :)

A
Rang
Benutzerebene 7
Abzeichen +4
Servus " laut Heise sind alle Ports gefiltert, sprich nicht geöffnet. " - schaut also gut aus! Unangenehm liest sich das natürlich schon. Wahrscheinlich wird so etwas deshalb nicht immer von allen Modems angezeigt. Wenn dir eine Adresse immer wieder auffällt, von der das kommt: schadet sicher nicht, wenn du das an abuse@a1.net oder noch besser den zuständigen Provider schickst (der muss ja auch eine Abuse Adresse haben).- lg Hermann
R
Rang
Benutzerebene 1
Abzeichen +1

Hallo Hermann

Ja meine alte wlanbox hatte gar keine log Funktion, und wie gesagt zeigt das zte dies nur an wenn man den Log aktiviert und zusätzlich anti-Hacking. Beide Funktionen sind ab Werk deaktiviert.

 

das Auftauchen dieser Ereignisse verunsichert, gerade wenn man sich nicht so wirklich auskennt mit der Materie.

 

ich habe für mich einfach die log Funktion wieder deaktiviert. :) aus den Augen aus dem Sinn. Man verkopft sich sonst nur und sinnt immer über diese Sachen nach, statt die Zeit mit wichtigeren Dingen auszufüllen.

 

anti-hacking lass ich auf „an“ sollte hier mal ein Angriff statt finden ( einer der diese Funktion abwehren kann :) ) würde er dort registriert werden.

Ich glaube das ist der richtige Weg, wenn man nicht paranoid werden will.

 

mfg Rider

 

jo93
Rang
Benutzerebene 7
Abzeichen +8

Ports and sind nichts spektakuläres. 

Es gibt die verschiedensten Ansätze, wie solche erkannt werden. 

Einige schlagen Alarm, sobald ein Port angefragt wird welcher gesperrt ist. Die ZTE Box wird es eher erst ab vielen oder allen Ports Alarm schlagen. 

Ich hätte da schon in meinen Netzen die eine oder andere Überraschung. 

Mit der Hybrid Box hätte ich da mein Vergnügen, die hat die einfachen Portscans aus dem LAN ziemlich gut abgeschottet. Nur ich glaube da hat eine Abteilung bei A1 auch viel Spaß damit gehabt. 

 

Es gibt dann auch Dienste, die dann die Auswertung und Internet stellen. 

https://blog.haschek.at/2019/i-scanned-austria.html

Aktuelles Setup: Technicolor CGA4233 mit einer virtualisierten pfSense und einmal virtualiserten OpenWRT für VPN, zwei Unifi AP AC Pro & ein Unifi AP AC Lite für WLAN
R
Rang
Benutzerebene 1
Abzeichen +1

Interessant… ja das zte schlägt erst bei mehreren  Ports an, das konnte ich schon nachvollziehen. Würden einzelne gescannte Ports angezeigt werden würde die log-Datei wohl überlaufen 😊

Antworten


Allgemeine Nutzungsbedingungen