Beantwortet

Network Attacken auf Closed-Ports Internes LAN / WLAN. Wie geht man vor? Wie schützt man sich?

  • 23 November 2017
  • 7 Antworten
  • 1407 Ansichten

Hallo
Also ich habe die Standard Einstellung des Routers. Standard Firewall eingestellt.
Habe folgende Ports von extern auf einen Linux Debian rechner gemappt.
Kriege aber auf dem Linux rechner folgende break-in attempts auf unterschiedlichsten Ports.
Also auf ports die ich gar nicht geforwarded habe. Wie geht das?
Wieso leitet der Router diese Attacken einfach weiter? Ich dachte der ganze Sinn einer Firewall besteht darin ankommenden Traffic auf einem Port abzublocken, ausser man erlaubt ihn durch?
Hat jemand anders Erfahrung damit? Was tun ausser IP restrictions anlegen und ueberhaupt alles einkommende zu restricten. Auf dem Debian Rechner koennte man hidden ssh login machen usw. Aber ich verstehe nicht wieso die A1 Firewall nichts taugt.

Das ist der Router den ich habe. Der neueste von A1.






https://
icon

Beste Antwort von AndreasAigner 23 November 2017, 23:02

Original anzeigen

7 Antworten

Benutzerebene 7
Abzeichen +6
hallo,

serverport und clientport
der zugriff ist sicher nur auf den/die internen server port(s) möglich welche man via portweiterleitung öffnet
welchen port der client verwendet um die kommunikation aufzubauen ist eine andere sache
dessen portzuweisung für den jeweiligen dienst erfolgt dynamisch vom betriebssystem
ist auch notwendig da man sonst nur eine verbindung aufbauen könnte

würde ein portumlenkung empfehlen
dann beruhigt sich die sache
ich verstehe nicht ganz. Meinst du alle alle anderen Ports auf 0.0.0.0 umleiten?

Ich verwende Port Mapping für 22 usw siehe Bild.
Benutzerebene 7
Abzeichen +6
hallo,

nein
und würde auch nicht gehen

die firewall am a1 modem funkt sicher so wie sie soll
zur sicherheit kannst aber einen online portscanner benutzen um das selbst zu überprüfen
dein bild zeigt keine sicherheits schwachstelle
nur einen zugriff auf ssh
client ip:quellport (dynamisch wie üblich) auf server ip:zielport (fix)
das bedeutet nicht das alle ports offen sind am router
das was du im log siehst ist der quellport und nicht der zielport
also der port den der client benutzt (ausgangspunkt der kommunikation)
es sind einfach alle quellports erlaubt und nur der zielport ist fix und offen
die einstellung extern alle hosts und alle ports erlauben ist ganz normal
würde man den quellport auch fixieren würde die kommunikation nicht klappen

erstelle eine portumlenkung für den zielport
z.b. von extern port 42435 auf intern port 22
dann hast ruhe da diese 'high' ports kaum gescannt werden
und mache das auch für die anderen standard ports (80,443 ...)
Danke jetzt hab ich’s geschnallt!

ja das ist einfach mal eine schnelle Umgehung der Probleme. Spitze

weil auf Port-knocking hatte ich jetzt gar keine Lust das einzurichten.
Benutzerebene 7
Abzeichen +7
Der Portscan war von einer IP-Adresse eines Providers in:
cooperativa telefonica de grand bourg Argentinien
Theoretisch könnte an die abuse-mailadresse des Betreibers die IP-Adresse und Zeitpunkt (Zeitzone angeben) übermittelt werden. Ob den Betreiber Portscans eines seiner Kunden interessieren, ist allerdings eine andere Frage.
Benutzerebene 7
Abzeichen +8
Der Portscan war von einer IP-Adresse eines Providers in:
cooperativa telefonica de grand bourg Argentinien
Theoretisch könnte an die abuse-mailadresse des Betreibers die IP-Adresse und Zeitpunkt (Zeitzone angeben) übermittelt werden. Ob den Betreiber Portscans eines seiner Kunden interessieren, ist allerdings eine andere Frage.

Wie schon erwähnt, ist der ominöse Port der Source Port der Verbindung, ..

Das mit der abuse ist süss ja.

Ich hatte unlängst wieder einmal die Muse, eine abuse mail zu verfassen, nachdem mein SFTP mit ominösen Strings bombardiert wurde, die auf den ersten und dritten Blick wie shell Code aussahen...

Ich erhielt als Antwort, das es sich um den Probe Server eines Kunden handelt, der zu Forschungszwecken das Internet nach unsicheren Server abscannt, und ich mich gerne an den Kunden direkt wenden soll, damit er meine IP Range aus dem Scan ausnimmt...

So ein Abuse Mail ist verschenkte Zeit...
Benutzerebene 4
Abzeichen +4

Hallo
Also ich habe die Standard Einstellung des Routers. Standard Firewall eingestellt.
Habe folgende Ports von extern auf einen Linux Debian rechner gemappt.
Kriege aber auf dem Linux rechner folgende break-in attempts auf unterschiedlichsten Ports.
Also auf ports die ich gar nicht geforwarded habe. Wie geht das?
Wieso leitet der Router diese Attacken einfach weiter? Ich dachte der ganze Sinn einer Firewall besteht darin ankommenden Traffic auf einem Port abzublocken, ausser man erlaubt ihn durch?
Hat jemand anders Erfahrung damit? Was tun ausser IP restrictions anlegen und ueberhaupt alles einkommende zu restricten. Auf dem Debian Rechner koennte man hidden ssh login machen usw. Aber ich verstehe nicht wieso die A1 Firewall nichts taugt.

Das ist der Router den ich habe. Der neueste von A1.
 

66f23c11-3635-4bf5-bb88-128fb1859264.png

 

0a91b3c2-9651-4206-9f97-9fbce28528b9.png

 

 

3dcf8c16-c886-4760-ac1c-161c0c167475.png

 

 

af30e142-6a9b-4cc8-a343-367188a87eff.png


https://

 

ja du gibst ja die Ports extern frei somit kann das jeder machen wenn er deine IP oder deinen Domain Name hat….er brutforced dich mit der Hydra 

Antworten