Attacken von privaten IP-Adresessen aus dem Internet

[plumpsack]

Wer kennt das nicht?

Im Netz der Deutschen Telekom scheint das Gang und Gäbe zu sein.

Blöd nur, wenn man u.A. seine Alarmanlagen über Voip laufen lässt.

Lancom sagte mir mal das ist "normal" ...

Sollte man seine Firewall weiterhin so "sanft" einstellen, das "Anfragen" von "privaten IP-Adressen" aus dem Internet auf Port 445, 23, 22, etc. nicht mehr ein blocking/reconnect=neue IP-Adresse, durchgeführt?

Leider finde ich zu diesem Thema keine weiterführende Informationen.

[plumpsack]

Sieht dann so wie in der Anlage aus ...

Hat keiner ne Idee?

[GrandDixence]

Serverdienste, die nicht der Allgemeinheit zugänglich sein müssen (zum Beispiel Mailserver, Webserver) sollten aus Sicherheitsgründen von aussen nur durch einen VPN-Tunnel zugreifbar sein.

Ports wie TCP 445, TCP 23 für interne Serverdienste (Windows-Datei-/Druckerfreigabe, Telnet) sollten aus Sicherheitsgründen nicht der Allgemeinheit zugänglich gemacht werden!
Das gleiche gilt für Alarmanlagen, Überwachungskameras etc.

Im Idealfall ist der VPN-Server der einzige Serverdienste, welcher von der Allgemeinheit via Internet erreichbar ist.

Wenn die Firewall solche Meldungen protokolliert, ist dies doch ein gutes Zeichen, dass die Firewall einwandfrei funktioniert und ihren Sinn und Zweck erfüllt...

[plumpsack]

Der Witz ist ja, ich habe ja gar keine MS-PCs noch Telnet-Dienste im Netz.
Ärgerlich ist nur, das durch solche Attacken VOIP-Verbindungen getrennt werden und ich das Problem nicht eruieren/erfassen kann

[Jirka]

Hallo,

aus dem Screenshot geht hervor, dass am 01.06. 8 Ziel-IPs Deine waren... Ich würde da mal prüfen, ob nicht Verbindungsabbrüche oder DSL-Sync-Abbrüche Dein Problem sind...

Viele Grüße,
Jirka

[plumpsack]

Ziel war immer meine WAN-IP!
Von den ganzen privaten IP-Adressen passt nicht eine zu meinen Netzen.

[Jirka]

Ziel war immer meine WAN-IP!

Eben. Das ist doch nicht normal. Oder hast Du am 01.06. 8 mal den LANCOM neu gestartet? Ich nehme es nicht an...

Ach eins fällt mir noch ein: Du hast im IDS nicht zufälligerweise "Verbindung trennen" angehakt? Dann kann man nur sagen, selber Schuld...

[plumpsack]

Neustart übernimmt die Firewall.
= Neue WAN-IP-Adresse

Private IP-Adressen dürfen nicht durch das Internet geroutet werden.

->> Attacke durch Fake-IP-Adressen und man achte auf die "MS"-Ports.

[plumpsack]

Ach eins fällt mir noch ein: Du hast im IDS nicht zufälligerweise "Verbindung trennen" angehakt? Dann kann man nur sagen, selber Schuld...

Sag mal und du hast ehrlich noch Arbeit bei solcher Ignoranz?

DU solltest eigentlich die ISPs deiner Kunden und deine Kunden auf solche Missstände hinweisen!

[Dr.Einstein]

Was geht denn mit dir ab? Wenn du 'Verbindung trennen' einstellst, dann hat doch der IDS / DoS Angriff sogar Erfolg. Und wieso sollte dein ISP sowas filtern? Beschwer dich beim ISP des Absenders.

Gruß Dr.Einstein

[LoUiS]

Hi Dr. Einstein,

ich denke der plumpsack moechte einfach ignoriert werden, offensichtlich braucht er keine Hilfe zu seinen Problemen, anders kann man seine freundliche und zuvorkommende Art ja nicht interpretieren.


Ciao
LoUiS

[plumpsack]

Wenn du 'Verbindung trennen' einstellst, dann hat doch der IDS / DoS Angriff sogar Erfolg.

Deine Schlußvolgerung zum Intrusion Detection System (IDS) kann ich nicht nachvollziehen.
Genau so kann ich nicht nachvollziehen warum der DoS-Angriff Erfolg nach einer sofortigen Trennung haben sollte.

Und wieso sollte dein ISP sowas filtern? Beschwer dich beim ISP des Absenders.

Sollte die Deutsche Telekom von extern private IP-Adressen auf ihr Netzwerk routen, dann haben die ihr Handwerk nicht gelernt.

Ich denke das kommt von Sub-Sub-Sub-Unternehmen innerhalb des Netzes der Deutschen Telekom.

[LoUiS]

Deine Schlußvolgerung zum Intrusion Detection System (IDS) kann ich nicht nachvollziehen.
Genau so kann ich nicht nachvollziehen warum der DoS-Angriff Erfolg nach einer sofortigen Trennung haben sollte.

Du scheinst aber offensichtlich nicht zu verstehen, dass Dich da niemand gezielt angreift und Du mit der Aktion "Verbindung trennen" doch nur Dir selber schadest und so aus dem IDS Versuch selbst ein DoS machst. Nach der Neueinwahl passiert das gleiche Spielchen ja auf der neuen WAN Adresse wieder! So kann es ja jemand sogar drauf anlegen Deine WAN Verbindung kontinuierlich zu trennen und einen echten DoS daraus machen.

[plumpsack]

Du scheinst aber offensichtlich nicht zu verstehen, dass Dich da niemand gezielt angreift und Du mit der Aktion "Verbindung trennen" doch nur Dir selber schadest und so aus dem IDS Versuch selbst ein DoS machst.

Hä?
Das IDS sagt Einbruchsversuch.
Trenne Verbindung, hole dir eine neue IP-Adresse.
Irgendwie habt ihr das nicht verstanden:

Durch neue IP-Adresse -> keine neue Angriffsfläche!

Nach der Neueinwahl passiert das gleiche Spielchen ja auf der neuen WAN Adresse wieder! So kann es ja jemand sogar drauf anlegen Deine WAN Verbindung kontinuierlich zu trennen und einen echten DoS daraus machen.

Wie denn?

Es sei denn, jemand versucht im lokalen Netzwerk der Deutschen Telekom eine globale Attacke zu starten!

Dies wird aber nur durch eine sensible Einstellung in der Firewall mitgeschnitten/protokolliert.

Ansonsten bekommt niemand davon etwas mit !

PS: Mach doch mal aus Spaß einen Mitschnitt von deiner WAN-Schnittstelle.
Gegen den Mittschnitt sieht "http://sicherheitstacho.eu" wie ein Waisenkind aus!

[Dr.Einstein]

Sollte die Deutsche Telekom von extern private IP-Adressen auf ihr Netzwerk routen, dann haben die ihr Handwerk nicht gelernt.

Ich denke das kommt von Sub-Sub-Sub-Unternehmen innerhalb des Netzes der Deutschen Telekom.

Das ist Blödsinn. Die Ciscos und Junipers der Provider arbeiten Stumpf nach Layer 3, sprich Ziel IP und weg damit. Wenn jetzt noch Filter mit reinsollen, dann müssten ja zig BGP Routen bei jedem Paket vorher gegengeprüft werden, ob diese wirklich aus der Richtung kommen, unabhängig von privaten Adresskreisen, zumal die meisten Provider sowieso auch für Management Zwecke, VoIP oder wie im Fall Telekom Entertain selbst auch private IPs verwenden. Der Aufwand wäre groß (Rechenzeit = Geld), nur weil wer anders Schuld hat, und die IPs ins INet reinlässt. Erinnert mich an die Story damals mit dem offenen Mailrelays: Viele beschwerten sich bei ihrem Mailprovider, dass der die Fakequellen zulässt.

Und neue IP ist für mich wie: Hey, ich antworte nicht auf ICMP, bin gar nicht da. Ein richtiger Angreifer findest dich nach ~2min wieder, sind doch meist nur 2^16er Blöcke, das geht fix.

Gruß Dr.Einstein