Attacken von privaten IP-Adresessen aus dem Internet

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack »

Wer kennt das nicht?

Im Netz der Deutschen Telekom scheint das Gang und Gäbe zu sein.

Blöd nur, wenn man u.A. seine Alarmanlagen über Voip laufen lässt.

Lancom sagte mir mal das ist "normal" ...

Sollte man seine Firewall weiterhin so "sanft" einstellen, das "Anfragen" von "privaten IP-Adressen" aus dem Internet auf Port 445, 23, 22, etc. nicht mehr ein blocking/reconnect=neue IP-Adresse, durchgeführt?

Leider finde ich zu diesem Thema keine weiterführende Informationen.

:G)
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack »

Sieht dann so wie in der Anlage aus ...

Hat keiner ne Idee?
:G)
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von GrandDixence »

Serverdienste, die nicht der Allgemeinheit zugänglich sein müssen (zum Beispiel Mailserver, Webserver) sollten aus Sicherheitsgründen von aussen nur durch einen VPN-Tunnel zugreifbar sein.

Ports wie TCP 445, TCP 23 für interne Serverdienste (Windows-Datei-/Druckerfreigabe, Telnet) sollten aus Sicherheitsgründen nicht der Allgemeinheit zugänglich gemacht werden!
Das gleiche gilt für Alarmanlagen, Überwachungskameras etc.

Im Idealfall ist der VPN-Server der einzige Serverdienste, welcher von der Allgemeinheit via Internet erreichbar ist.

Wenn die Firewall solche Meldungen protokolliert, ist dies doch ein gutes Zeichen, dass die Firewall einwandfrei funktioniert und ihren Sinn und Zweck erfüllt...
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack »

Der Witz ist ja, ich habe ja gar keine MS-PCs noch Telnet-Dienste im Netz.
Ärgerlich ist nur, das durch solche Attacken VOIP-Verbindungen getrennt werden und ich das Problem nicht eruieren/erfassen kann :(
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von Jirka »

Hallo,

aus dem Screenshot geht hervor, dass am 01.06. 8 Ziel-IPs Deine waren... Ich würde da mal prüfen, ob nicht Verbindungsabbrüche oder DSL-Sync-Abbrüche Dein Problem sind...

Viele Grüße,
Jirka
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack »

Ziel war immer meine WAN-IP!
Von den ganzen privaten IP-Adressen passt nicht eine zu meinen Netzen.
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von Jirka »

plumpsack hat geschrieben:Ziel war immer meine WAN-IP!
Eben. Das ist doch nicht normal. Oder hast Du am 01.06. 8 mal den LANCOM neu gestartet? Ich nehme es nicht an...

Ach eins fällt mir noch ein: Du hast im IDS nicht zufälligerweise "Verbindung trennen" angehakt? Dann kann man nur sagen, selber Schuld...
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack »

Neustart übernimmt die Firewall.
= Neue WAN-IP-Adresse

Private IP-Adressen dürfen nicht durch das Internet geroutet werden.

->> Attacke durch Fake-IP-Adressen und man achte auf die "MS"-Ports.
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack »

Jirka hat geschrieben: Ach eins fällt mir noch ein: Du hast im IDS nicht zufälligerweise "Verbindung trennen" angehakt? Dann kann man nur sagen, selber Schuld...
Sag mal und du hast ehrlich noch Arbeit bei solcher Ignoranz?

DU solltest eigentlich die ISPs deiner Kunden und deine Kunden auf solche Missstände hinweisen!
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von Dr.Einstein »

Was geht denn mit dir ab? Wenn du 'Verbindung trennen' einstellst, dann hat doch der IDS / DoS Angriff sogar Erfolg. Und wieso sollte dein ISP sowas filtern? Beschwer dich beim ISP des Absenders.

Gruß Dr.Einstein
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von LoUiS »

Hi Dr. Einstein,

ich denke der plumpsack moechte einfach ignoriert werden, offensichtlich braucht er keine Hilfe zu seinen Problemen, anders kann man seine freundliche und zuvorkommende Art ja nicht interpretieren. ;)


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack »

Dr.Einstein hat geschrieben: Wenn du 'Verbindung trennen' einstellst, dann hat doch der IDS / DoS Angriff sogar Erfolg.
Deine Schlußvolgerung zum Intrusion Detection System (IDS) kann ich nicht nachvollziehen.
Genau so kann ich nicht nachvollziehen warum der DoS-Angriff Erfolg nach einer sofortigen Trennung haben sollte.
Dr.Einstein hat geschrieben: Und wieso sollte dein ISP sowas filtern? Beschwer dich beim ISP des Absenders.
Sollte die Deutsche Telekom von extern private IP-Adressen auf ihr Netzwerk routen, dann haben die ihr Handwerk nicht gelernt.

Ich denke das kommt von Sub-Sub-Sub-Unternehmen innerhalb des Netzes der Deutschen Telekom.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von LoUiS »

plumpsack hat geschrieben: Deine Schlußvolgerung zum Intrusion Detection System (IDS) kann ich nicht nachvollziehen.
Genau so kann ich nicht nachvollziehen warum der DoS-Angriff Erfolg nach einer sofortigen Trennung haben sollte.
Du scheinst aber offensichtlich nicht zu verstehen, dass Dich da niemand gezielt angreift und Du mit der Aktion "Verbindung trennen" doch nur Dir selber schadest und so aus dem IDS Versuch selbst ein DoS machst. Nach der Neueinwahl passiert das gleiche Spielchen ja auf der neuen WAN Adresse wieder! So kann es ja jemand sogar drauf anlegen Deine WAN Verbindung kontinuierlich zu trennen und einen echten DoS daraus machen.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack »

LoUiS hat geschrieben: Du scheinst aber offensichtlich nicht zu verstehen, dass Dich da niemand gezielt angreift und Du mit der Aktion "Verbindung trennen" doch nur Dir selber schadest und so aus dem IDS Versuch selbst ein DoS machst.
Hä?
Das IDS sagt Einbruchsversuch.
Trenne Verbindung, hole dir eine neue IP-Adresse.
Irgendwie habt ihr das nicht verstanden:

Durch neue IP-Adresse -> keine neue Angriffsfläche!
LoUiS hat geschrieben: Nach der Neueinwahl passiert das gleiche Spielchen ja auf der neuen WAN Adresse wieder! So kann es ja jemand sogar drauf anlegen Deine WAN Verbindung kontinuierlich zu trennen und einen echten DoS daraus machen.
Wie denn?

Es sei denn, jemand versucht im lokalen Netzwerk der Deutschen Telekom eine globale Attacke zu starten!

Dies wird aber nur durch eine sensible Einstellung in der Firewall mitgeschnitten/protokolliert.

Ansonsten bekommt niemand davon etwas mit !

PS: Mach doch mal aus Spaß einen Mitschnitt von deiner WAN-Schnittstelle.
Gegen den Mittschnitt sieht "http://sicherheitstacho.eu" wie ein Waisenkind aus!
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von Dr.Einstein »

plumpsack hat geschrieben:
Sollte die Deutsche Telekom von extern private IP-Adressen auf ihr Netzwerk routen, dann haben die ihr Handwerk nicht gelernt.

Ich denke das kommt von Sub-Sub-Sub-Unternehmen innerhalb des Netzes der Deutschen Telekom.
Das ist Blödsinn. Die Ciscos und Junipers der Provider arbeiten Stumpf nach Layer 3, sprich Ziel IP und weg damit. Wenn jetzt noch Filter mit reinsollen, dann müssten ja zig BGP Routen bei jedem Paket vorher gegengeprüft werden, ob diese wirklich aus der Richtung kommen, unabhängig von privaten Adresskreisen, zumal die meisten Provider sowieso auch für Management Zwecke, VoIP oder wie im Fall Telekom Entertain selbst auch private IPs verwenden. Der Aufwand wäre groß (Rechenzeit = Geld), nur weil wer anders Schuld hat, und die IPs ins INet reinlässt. Erinnert mich an die Story damals mit dem offenen Mailrelays: Viele beschwerten sich bei ihrem Mailprovider, dass der die Fakequellen zulässt.

Und neue IP ist für mich wie: Hey, ich antworte nicht auf ICMP, bin gar nicht da. Ein richtiger Angreifer findest dich nach ~2min wieder, sind doch meist nur 2^16er Blöcke, das geht fix.

Gruß Dr.Einstein
Antworten