Hallo liebe Lancom User,
ich betreibe an meinem Heimnetz einen Lancom 1721+ VPN Router, im Netz befinden sich drei PCs und ein Server.
Der Server ist u.a. als Web/Ftp-Server eingerichtet und über zwei Domains vom Internet aus erreichbar.
Leider häufen sich in letzter Zeit diverse Angriffe aus China, meistens sind es Port Scans und Brute Force Attacken, bis jetzt ist aber noch kein Schaden entstanden.
Ich habe jetzt über entsprechende Firewall Regeln diverse IP Bereiche aus China zu allen Stationen im Heimnetz gesperrt, trotzdem meldet der Router immer noch Angriffe über Port Scans.
Der Angreifer wird zwar nach 5 Anfragen für eine bestimmte Zeit gesperrt, aber ganz ausschließen kann ich ihn irgendwie nicht, jedenfalls weiß ich keine Lösung.
Kann man den 1721+ so konfigurieren, dass der oder die Angreifer überhaupt keine Möglichkeit mehr haben den Router selbst anzugreifen?
Die Angriffe finden mittlerweile gezielt statt, also völlig unabhängig von der zugewiesenen IP meines Providers.
Meine Domains sind bei Selfhost (DynDNS) in Leipzig registriert.
Viele Grüße,
Lothar
Lancom 1721+ VPN, IPs vom WAN zum Router sperren.
Moderator: Lancom-Systems Moderatoren
Hi lotharpe
Du kannst am LANCOM noch den Kongfigzugriff aus dem WAN abschalten (macht eigentlich schon der Grundkonfigurationswizard), das war aber auch schon alles, was du machen kannst, denn ein paar offene Ports brauch es ja noch, um z.B. VPN-Sessions annehemen zu können...
Gruß
Backslash
Selbst wenn du die Quelladdressen in China über Firewallregeln gesperrt hast, meldet die Firewall weiterhin stattfindende Portscans, denn die Anfragen kommen ja in jedem Fall bei dir an, auch wenn die Firewall die Pakete aufgrund der Regeln verwirft.Ich habe jetzt über entsprechende Firewall Regeln diverse IP Bereiche aus China zu allen Stationen im Heimnetz gesperrt, trotzdem meldet der Router immer noch Angriffe über Port Scans.
Der Angreifer wird zwar nach 5 Anfragen für eine bestimmte Zeit gesperrt, aber ganz ausschließen kann ich ihn irgendwie nicht, jedenfalls weiß ich keine Lösung.
Dwer sicherste Netz ist das Netz das offline ist...Kann man den 1721+ so konfigurieren, dass der oder die Angreifer überhaupt keine Möglichkeit mehr haben den Router selbst anzugreifen?
Die Angriffe finden mittlerweile gezielt statt, also völlig unabhängig von der zugewiesenen IP meines Providers.
Du kannst am LANCOM noch den Kongfigzugriff aus dem WAN abschalten (macht eigentlich schon der Grundkonfigurationswizard), das war aber auch schon alles, was du machen kannst, denn ein paar offene Ports brauch es ja noch, um z.B. VPN-Sessions annehemen zu können...
Gruß
Backslash
Hi Backslash,
danke erst mal für Deine Antwort.
Der Konfigzugriff wird benötigt, so kann ich von unterwegs alles gut überwachen, das Passwort ist recht lang und sicher.
Den Zugriffsport habe ich auf Port 8090 umgelegt und über VPN kann ich mit dem LANCOM VPN Client auch auf das interne Netz sicher zugreifen.
Habe jetzt die Sperrung der Absender Adresse nach einem Portscan auf 96 Stunden erhöht, das müsste eigentlich ausreichen.
Die DoS Erkennung habe ich auf 20 halboffene Verbindungen begrenzt.
Der 1721+ ist übrigens ein feiner Router, hatte vorher eine DFL-200 von D-Link und danach den 821+, der jetzt bei einem guten Freund seinen Dienst verrichtet.
Für mich als Lancom Anfänger war es nicht einfach den Router nach meinen Wünschen zu konfigurieren, durch LCOS 7 und jetzt 8, hat es aber bestens geklappt.
Gruß
Lothar
danke erst mal für Deine Antwort.
Der Konfigzugriff wird benötigt, so kann ich von unterwegs alles gut überwachen, das Passwort ist recht lang und sicher.
Den Zugriffsport habe ich auf Port 8090 umgelegt und über VPN kann ich mit dem LANCOM VPN Client auch auf das interne Netz sicher zugreifen.
Habe jetzt die Sperrung der Absender Adresse nach einem Portscan auf 96 Stunden erhöht, das müsste eigentlich ausreichen.
Die DoS Erkennung habe ich auf 20 halboffene Verbindungen begrenzt.
Der 1721+ ist übrigens ein feiner Router, hatte vorher eine DFL-200 von D-Link und danach den 821+, der jetzt bei einem guten Freund seinen Dienst verrichtet.
Für mich als Lancom Anfänger war es nicht einfach den Router nach meinen Wünschen zu konfigurieren, durch LCOS 7 und jetzt 8, hat es aber bestens geklappt.
Gruß
Lothar
Hallo,
diese drei IPs aus China nerven mich langsam.
LOCAL3 Alarm Dst: 91.37.93...:2301 {LANCOM-ROUTER}, Src: 221.192.199.49:12200 (TCP): port scan
LOCAL3 Alarm Dst: 91.37.93...:8088 {LANCOM-ROUTER}, Src: 221.1.220.199:12200 (TCP): port scan
LOCAL3 Alarm Dst: 91.37.93...:8080 {LANCOM-ROUTER}, Src: 58.218.204.110:12200 (TCP): port scan
Was kann ich machen, damit das aufhört?
Ist die Zeit der Sperre abgelaufen, geht es von neuem los, man kann die Uhr danach stellen.
Gruß, Lothar
diese drei IPs aus China nerven mich langsam.
LOCAL3 Alarm Dst: 91.37.93...:2301 {LANCOM-ROUTER}, Src: 221.192.199.49:12200 (TCP): port scan
LOCAL3 Alarm Dst: 91.37.93...:8088 {LANCOM-ROUTER}, Src: 221.1.220.199:12200 (TCP): port scan
LOCAL3 Alarm Dst: 91.37.93...:8080 {LANCOM-ROUTER}, Src: 58.218.204.110:12200 (TCP): port scan
Was kann ich machen, damit das aufhört?
Ist die Zeit der Sperre abgelaufen, geht es von neuem los, man kann die Uhr danach stellen.
Gruß, Lothar
Hi lotharpe
ehrlich gesagt: das einfachste ist, die Alarmierung bei Portscans abzuschalten... Ein Portscan als solches ist keine Bedrohung und liefert beim LANCOM eirsmal nur geschlossene Ports, es sei denn du hättest Portforwardings. Wenn Du Portforwardings hast, dann kannst du für die zu blockenden Adressen Friwall-Regeln erstellen:
Gruß
Backslash
ehrlich gesagt: das einfachste ist, die Alarmierung bei Portscans abzuschalten... Ein Portscan als solches ist keine Bedrohung und liefert beim LANCOM eirsmal nur geschlossene Ports, es sei denn du hättest Portforwardings. Wenn Du Portforwardings hast, dann kannst du für die zu blockenden Adressen Friwall-Regeln erstellen:
Code: Alles auswählen
Aktion: Zurückweisen
Quelle: IPs aus China
Ziel: alle Stationen
Dienste: alle DiensteBackslash
