Attacken von privaten IP-Adresessen aus dem Internet
Moderator: Lancom-Systems Moderatoren
Attacken von privaten IP-Adresessen aus dem Internet
Wer kennt das nicht?
Im Netz der Deutschen Telekom scheint das Gang und Gäbe zu sein.
Blöd nur, wenn man u.A. seine Alarmanlagen über Voip laufen lässt.
Lancom sagte mir mal das ist "normal" ...
Sollte man seine Firewall weiterhin so "sanft" einstellen, das "Anfragen" von "privaten IP-Adressen" aus dem Internet auf Port 445, 23, 22, etc. nicht mehr ein blocking/reconnect=neue IP-Adresse, durchgeführt?
Leider finde ich zu diesem Thema keine weiterführende Informationen.
Im Netz der Deutschen Telekom scheint das Gang und Gäbe zu sein.
Blöd nur, wenn man u.A. seine Alarmanlagen über Voip laufen lässt.
Lancom sagte mir mal das ist "normal" ...
Sollte man seine Firewall weiterhin so "sanft" einstellen, das "Anfragen" von "privaten IP-Adressen" aus dem Internet auf Port 445, 23, 22, etc. nicht mehr ein blocking/reconnect=neue IP-Adresse, durchgeführt?
Leider finde ich zu diesem Thema keine weiterführende Informationen.
Re: Attacken von privaten IP-Adresessen aus dem Internet
Sieht dann so wie in der Anlage aus ...
Hat keiner ne Idee?
Hat keiner ne Idee?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- Beiträge: 1060
- Registriert: 19 Aug 2014, 22:41
Re: Attacken von privaten IP-Adresessen aus dem Internet
Serverdienste, die nicht der Allgemeinheit zugänglich sein müssen (zum Beispiel Mailserver, Webserver) sollten aus Sicherheitsgründen von aussen nur durch einen VPN-Tunnel zugreifbar sein.
Ports wie TCP 445, TCP 23 für interne Serverdienste (Windows-Datei-/Druckerfreigabe, Telnet) sollten aus Sicherheitsgründen nicht der Allgemeinheit zugänglich gemacht werden!
Das gleiche gilt für Alarmanlagen, Überwachungskameras etc.
Im Idealfall ist der VPN-Server der einzige Serverdienste, welcher von der Allgemeinheit via Internet erreichbar ist.
Wenn die Firewall solche Meldungen protokolliert, ist dies doch ein gutes Zeichen, dass die Firewall einwandfrei funktioniert und ihren Sinn und Zweck erfüllt...
Ports wie TCP 445, TCP 23 für interne Serverdienste (Windows-Datei-/Druckerfreigabe, Telnet) sollten aus Sicherheitsgründen nicht der Allgemeinheit zugänglich gemacht werden!
Das gleiche gilt für Alarmanlagen, Überwachungskameras etc.
Im Idealfall ist der VPN-Server der einzige Serverdienste, welcher von der Allgemeinheit via Internet erreichbar ist.
Wenn die Firewall solche Meldungen protokolliert, ist dies doch ein gutes Zeichen, dass die Firewall einwandfrei funktioniert und ihren Sinn und Zweck erfüllt...
Re: Attacken von privaten IP-Adresessen aus dem Internet
Der Witz ist ja, ich habe ja gar keine MS-PCs noch Telnet-Dienste im Netz.
Ärgerlich ist nur, das durch solche Attacken VOIP-Verbindungen getrennt werden und ich das Problem nicht eruieren/erfassen kann
Ärgerlich ist nur, das durch solche Attacken VOIP-Verbindungen getrennt werden und ich das Problem nicht eruieren/erfassen kann
Re: Attacken von privaten IP-Adresessen aus dem Internet
Hallo,
aus dem Screenshot geht hervor, dass am 01.06. 8 Ziel-IPs Deine waren... Ich würde da mal prüfen, ob nicht Verbindungsabbrüche oder DSL-Sync-Abbrüche Dein Problem sind...
Viele Grüße,
Jirka
aus dem Screenshot geht hervor, dass am 01.06. 8 Ziel-IPs Deine waren... Ich würde da mal prüfen, ob nicht Verbindungsabbrüche oder DSL-Sync-Abbrüche Dein Problem sind...
Viele Grüße,
Jirka
Re: Attacken von privaten IP-Adresessen aus dem Internet
Ziel war immer meine WAN-IP!
Von den ganzen privaten IP-Adressen passt nicht eine zu meinen Netzen.
Von den ganzen privaten IP-Adressen passt nicht eine zu meinen Netzen.
Re: Attacken von privaten IP-Adresessen aus dem Internet
Eben. Das ist doch nicht normal. Oder hast Du am 01.06. 8 mal den LANCOM neu gestartet? Ich nehme es nicht an...plumpsack hat geschrieben:Ziel war immer meine WAN-IP!
Ach eins fällt mir noch ein: Du hast im IDS nicht zufälligerweise "Verbindung trennen" angehakt? Dann kann man nur sagen, selber Schuld...
Re: Attacken von privaten IP-Adresessen aus dem Internet
Neustart übernimmt die Firewall.
= Neue WAN-IP-Adresse
Private IP-Adressen dürfen nicht durch das Internet geroutet werden.
->> Attacke durch Fake-IP-Adressen und man achte auf die "MS"-Ports.
= Neue WAN-IP-Adresse
Private IP-Adressen dürfen nicht durch das Internet geroutet werden.
->> Attacke durch Fake-IP-Adressen und man achte auf die "MS"-Ports.
Re: Attacken von privaten IP-Adresessen aus dem Internet
Sag mal und du hast ehrlich noch Arbeit bei solcher Ignoranz?Jirka hat geschrieben: Ach eins fällt mir noch ein: Du hast im IDS nicht zufälligerweise "Verbindung trennen" angehakt? Dann kann man nur sagen, selber Schuld...
DU solltest eigentlich die ISPs deiner Kunden und deine Kunden auf solche Missstände hinweisen!
-
- Beiträge: 2914
- Registriert: 12 Jan 2010, 14:10
Re: Attacken von privaten IP-Adresessen aus dem Internet
Was geht denn mit dir ab? Wenn du 'Verbindung trennen' einstellst, dann hat doch der IDS / DoS Angriff sogar Erfolg. Und wieso sollte dein ISP sowas filtern? Beschwer dich beim ISP des Absenders.
Gruß Dr.Einstein
Gruß Dr.Einstein
Re: Attacken von privaten IP-Adresessen aus dem Internet
Hi Dr. Einstein,
ich denke der plumpsack moechte einfach ignoriert werden, offensichtlich braucht er keine Hilfe zu seinen Problemen, anders kann man seine freundliche und zuvorkommende Art ja nicht interpretieren.
Ciao
LoUiS
ich denke der plumpsack moechte einfach ignoriert werden, offensichtlich braucht er keine Hilfe zu seinen Problemen, anders kann man seine freundliche und zuvorkommende Art ja nicht interpretieren.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: Attacken von privaten IP-Adresessen aus dem Internet
Deine Schlußvolgerung zum Intrusion Detection System (IDS) kann ich nicht nachvollziehen.Dr.Einstein hat geschrieben: Wenn du 'Verbindung trennen' einstellst, dann hat doch der IDS / DoS Angriff sogar Erfolg.
Genau so kann ich nicht nachvollziehen warum der DoS-Angriff Erfolg nach einer sofortigen Trennung haben sollte.
Sollte die Deutsche Telekom von extern private IP-Adressen auf ihr Netzwerk routen, dann haben die ihr Handwerk nicht gelernt.Dr.Einstein hat geschrieben: Und wieso sollte dein ISP sowas filtern? Beschwer dich beim ISP des Absenders.
Ich denke das kommt von Sub-Sub-Sub-Unternehmen innerhalb des Netzes der Deutschen Telekom.
Re: Attacken von privaten IP-Adresessen aus dem Internet
Du scheinst aber offensichtlich nicht zu verstehen, dass Dich da niemand gezielt angreift und Du mit der Aktion "Verbindung trennen" doch nur Dir selber schadest und so aus dem IDS Versuch selbst ein DoS machst. Nach der Neueinwahl passiert das gleiche Spielchen ja auf der neuen WAN Adresse wieder! So kann es ja jemand sogar drauf anlegen Deine WAN Verbindung kontinuierlich zu trennen und einen echten DoS daraus machen.plumpsack hat geschrieben: Deine Schlußvolgerung zum Intrusion Detection System (IDS) kann ich nicht nachvollziehen.
Genau so kann ich nicht nachvollziehen warum der DoS-Angriff Erfolg nach einer sofortigen Trennung haben sollte.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Re: Attacken von privaten IP-Adresessen aus dem Internet
Hä?LoUiS hat geschrieben: Du scheinst aber offensichtlich nicht zu verstehen, dass Dich da niemand gezielt angreift und Du mit der Aktion "Verbindung trennen" doch nur Dir selber schadest und so aus dem IDS Versuch selbst ein DoS machst.
Das IDS sagt Einbruchsversuch.
Trenne Verbindung, hole dir eine neue IP-Adresse.
Irgendwie habt ihr das nicht verstanden:
Durch neue IP-Adresse -> keine neue Angriffsfläche!
Wie denn?LoUiS hat geschrieben: Nach der Neueinwahl passiert das gleiche Spielchen ja auf der neuen WAN Adresse wieder! So kann es ja jemand sogar drauf anlegen Deine WAN Verbindung kontinuierlich zu trennen und einen echten DoS daraus machen.
Es sei denn, jemand versucht im lokalen Netzwerk der Deutschen Telekom eine globale Attacke zu starten!
Dies wird aber nur durch eine sensible Einstellung in der Firewall mitgeschnitten/protokolliert.
Ansonsten bekommt niemand davon etwas mit !
PS: Mach doch mal aus Spaß einen Mitschnitt von deiner WAN-Schnittstelle.
Gegen den Mittschnitt sieht "http://sicherheitstacho.eu" wie ein Waisenkind aus!
-
- Beiträge: 2914
- Registriert: 12 Jan 2010, 14:10
Re: Attacken von privaten IP-Adresessen aus dem Internet
Das ist Blödsinn. Die Ciscos und Junipers der Provider arbeiten Stumpf nach Layer 3, sprich Ziel IP und weg damit. Wenn jetzt noch Filter mit reinsollen, dann müssten ja zig BGP Routen bei jedem Paket vorher gegengeprüft werden, ob diese wirklich aus der Richtung kommen, unabhängig von privaten Adresskreisen, zumal die meisten Provider sowieso auch für Management Zwecke, VoIP oder wie im Fall Telekom Entertain selbst auch private IPs verwenden. Der Aufwand wäre groß (Rechenzeit = Geld), nur weil wer anders Schuld hat, und die IPs ins INet reinlässt. Erinnert mich an die Story damals mit dem offenen Mailrelays: Viele beschwerten sich bei ihrem Mailprovider, dass der die Fakequellen zulässt.plumpsack hat geschrieben:
Sollte die Deutsche Telekom von extern private IP-Adressen auf ihr Netzwerk routen, dann haben die ihr Handwerk nicht gelernt.
Ich denke das kommt von Sub-Sub-Sub-Unternehmen innerhalb des Netzes der Deutschen Telekom.
Und neue IP ist für mich wie: Hey, ich antworte nicht auf ICMP, bin gar nicht da. Ein richtiger Angreifer findest dich nach ~2min wieder, sind doch meist nur 2^16er Blöcke, das geht fix.
Gruß Dr.Einstein