Attacken von privaten IP-Adresessen aus dem Internet

Forum zur aktuellen LANCOM Router Serie: LANCOM 1781A, LANCOM 1781AW, LANCOM 1781EW, LANCOM 1781EF, LANCOM 1631E, LANCOM 831A und VPN Gateways: LC-9100 VPN, LC-7100 VPN, LC-8011 VPN, LC-7111 VPN und LC-7011 VPN

Moderator: Lancom-Systems Moderatoren

plumpsack
Beiträge: 41
Registriert: 15 Feb 2018, 21:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack » 07 Jun 2018, 21:26

Dr.Einstein hat geschrieben:Und neue IP ist für mich wie: Hey, ich antworte nicht auf ICMP, bin gar nicht da. Ein richtiger Angreifer findest dich nach ~2min wieder, sind doch meist nur 2^16er Blöcke, das geht fix.
Könntest du das bitte näher erklären?

Anhand des Screenshots wurde ich auf einen neuen Address-Pool umgestellt, aber nach dem 06.06.2018 ging es wieder los :(
Dateianhänge
Private_IP-Adressen_2.png
Private_IP-Adressen_2.png (270.68 KiB) 208 mal betrachtet

Carsten1972
Beiträge: 68
Registriert: 04 Jul 2016, 19:37
Wohnort: Im schönen Sauerland

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von Carsten1972 » 13 Jun 2018, 11:35

Das IDS sagt Einbruchsversuch.
Trenne Verbindung, hole dir eine neue IP-Adresse.
Solche "Einbruchsversuche" kommen immer vor, überall, an jeder IP.
Das ist wie ein Dieb, der auf einem Großparkplatz einfach mal an jedem Auto den Türgriff zieht. Ist das Auto offen? Oh super, dann kann man ja was klauen.

Deine Reaktion, die Verbindung zu unterbrechen, ist außergewöhnlich.

Auf den Parkplatz übertragen würde es das sofortige Umparken bedeuten. "Dann findet der Dieb mein Auto nicht mehr."
Doch sicher - es kommen ja täglich einige Diebe vorbei, die schlichtweg jeden PKW das Parkplatzes prüfen.

"Private IPs dürfen im Netz nicht geroutet werden."

Tja, kommt aber vor.

Würde man vermehrt Login-Versuche auf den Router feststellen, dann könnte man davon ausgehen, dass du gezielt attackiert wirst.
Ein probates Mittel könnte dann eine neue IP sein (Schutz für ein paar Minuten), das bekommst du aber besser durch Sperren des Login für eine gewisse Zeit hin.
Wenn du von außen auf den Router MUSST:
Einschränken auf das Notwendigste. Ist doch klar.
Ein wenig Versteckspiel kann man betreiben, wenn man die Standard-Ports dafür auf unübliche Werte setzt.

plumpsack
Beiträge: 41
Registriert: 15 Feb 2018, 21:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack » 14 Jun 2018, 17:14

@Carsten1972

Danke dafür, das du dir das Thema wenigstens durgelesen hast.

Das Beispiel mit dem "Parkplatz" ist nett :)

Auch wenn mein Router, nach der Konfiguration im LCOS, gar nicht von aussen erreichbar ist, gibt es wohl Tools die es jemandem
ermöglichen meinen Router wieder aufzufinden.

Das Problem ist, diesen Tools "den Hals abzudrehen", sprich dessen DNS-Server zu blacklisten.

ein hilfreiches Tool ist z.B.:

https://www.abuseipdb.com/check/xxxx.xxxx.xxxx.xxxx

wobei xxxx.xxxx.xxxx.xxxx die zu prüfende IP-Adresse ist.

Nachdem ich so einiges über den DNS-Filter blockiert habe bleiben immer noch ein paar Pappenheimer über.

Meist Server aus Russland, Rumänien, Ungarn, China, Frankreich, GB und den USA .

PS:

Sorry, im SYSLOG sieht man natürlich schon wer zuletzt versucht hatte anzubimmeln.

plumpsack
Beiträge: 41
Registriert: 15 Feb 2018, 21:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack » 14 Jun 2018, 18:28

Mir fehlt eigentlich immer noch die Antwort von "Dr.Einstein" zum Thema "Wiedererkennung" und das geht schnell ...

Kommt da noch was?

Anbei noch die aktuellen Pappenheimer,

209.97.135.75
125.64.94.208
185.94.111.1
125.64.94.208
185.163.124.65
181.215.195.234
123.249.27.161

z.B. ziehen sich wie ein "roter Faden" durch das Syslog.

Dr.Einstein
Beiträge: 1863
Registriert: 12 Jan 2010, 15:10
Wohnort: Berlin

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von Dr.Einstein » 14 Jun 2018, 18:40

Da kommt nix mehr, ich halte mich aus dem Thread raus. Viel Erfolg bei deiner Security Strategie.

Gruß Dr.Einstein

plumpsack
Beiträge: 41
Registriert: 15 Feb 2018, 21:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack » 14 Jun 2018, 19:07

Eigentlich schade, erst "tam tam" machen, "ist ja so einfach ..." und dann sagen "ich halte mich da mal lieber raus ..."

https://www.bsi.bund.de/DE/Presse/Press ... 62018.html

Die stehen auch gerade auf'm Schlauch ...

Dr.Einstein
Beiträge: 1863
Registriert: 12 Jan 2010, 15:10
Wohnort: Berlin

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von Dr.Einstein » 14 Jun 2018, 19:20

Naja was erwartest du für eine Antwort. Jeder größere Provider hat mehrere RADIUS / DIAMETER Server für die Einwahlen der Clients. Jeder Radius / Cluster hat dabei seinen eigenen Adresspool und Region, d.h. wenn ich hier in Berlin rumsitze, werde ich wahrscheinlich monatelang im selben /16 /17 /18 (was auch immer der Provider dem Radius zugeordnet hat) im selben Pool meines Providers hängen bleiben. Und genau danach richten sich eine Reihe automatisierter Angriffe. Durch Tests findet man heraus, das die Kunden des Providers xyz yy% Routerhersteller 1, zz% Routerhersteller 2 im Einsatz haben. Hat man damals schön gesehen, wo Zyxel und andere Routerhersteller für bestimmte Angriffe anfällig waren. Angreifer scannen dann permanent den lukrativen Adressbereich (AS) durch. Und du holst dir eine neue IP Adresse, das verschont dich dann für 1 Minute? 1 Stunde? 1 Tag? Passt meiner Meinung nach zum Parkplatzbeispiel. Mit Pech parkst du dein Auto jetzt genau neben dem nächsten Dieb. Besser wäre es sein Auto stehen zu lassen, abzuschließen und regelmäßig zu kontrollieren, ob das Schloss noch hält. Was bringt dir deine aktuell hinterlegte Aktion? Und zu meinem Hinweis mit den Providern hast du auch nichts weiter gesagt. Diskussionen einseitig zu führen, macht keinen Spaß, darum halte ich mich normalerweise nach kurzer Zeit aus solchen einseitigen, nichts bringenden Threads raus...

Gruß Dr.Einstein

backslash
Moderator
Moderator
Beiträge: 5712
Registriert: 08 Nov 2004, 22:26
Wohnort: Aachen

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von backslash » 14 Jun 2018, 19:31

Hi plumpsack
Eigentlich schade, erst "tam tam" machen, "ist ja so einfach ..." und dann sagen "ich halte mich da mal lieber raus ..."
er hat doch eigentlich alles, was man zu deiner "Strategie" sagen kann gesagt... Ich wiederhole es auber nochmal für dich: Deine "Staregie" schützt dich nicht vor Angriffen, stattdessen führt sue dazu, daß an sich harmlose Portscans bei dir zu einem DoS mutieren, gerade WEIL du die Verbinmdung trennst...

Alle - wirklich alle - haben dir hier gesagt, daß du die Verbindungstrennung rausnehmen sollst. Wenn du abner stattdessen einfach beratungsresitent bist, dann kann dir hier aich keiner helfen...

BTW: die Aktionen "Verbindung ternnen", "Quell sperren", "Ziel sperren" sowie "Stealth-Mode" und "Ping-Blockieren" sind in der Firewall nur drin, weil die selbternannten "Experten" diverser Computerzeitschriften für DAUs das sooooo toll finden und es für Sicherheitsfeatures halten - obwohl es ganau das Gegensteil der Fall ist.
https://www.bsi.bund.de/DE/Presse/Press ... 62018.html

Die stehen auch gerade auf'm Schlauch ...
Ich sehe da jetzt keinerlei Zusammenhang zu deinem selbstgebauten Problem. Solange du auf deinem Router und auf deinen Rechnern sichere Paßwörter verwendest und nicht auf jede Viagra-Werbung oder sonstige Porno-Seite klickst, bist du auch nicht angreifbar...

Gruß
Backslash

plumpsack
Beiträge: 41
Registriert: 15 Feb 2018, 21:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack » 14 Jun 2018, 19:38

Was aber u.A. an der ganzen Sache interesant macht ist folgendes:

Alarm Dst: 217.237.107.162:15684 xxxxxxx.xxxxxx}, Src: 217.0.43.193:53 (UDP): connection refused

Alarm Dst: 217.237.107.162:15684 xxxxxxx.xxxxxx}, Src: 217.237.151.115:53 (UDP): connection refused

Da ist/sind doch ein oder zwei Telekom-DNS-Server kompromitiert.

Oder sehe ich das jetzt falsch, da ich gar keinen Telekom-DNS-Server nutze?
Zuletzt geändert von plumpsack am 14 Jun 2018, 19:41, insgesamt 1-mal geändert.

plumpsack
Beiträge: 41
Registriert: 15 Feb 2018, 21:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack » 14 Jun 2018, 19:40

backslash hat geschrieben: Ich sehe da jetzt keinerlei Zusammenhang zu deinem selbstgebauten Problem.
Das Problem ist nicht "selbstgebaut"" es ist real !

BTW.:
hh-nxr-a01.isp.t-ipnet.de sowie m-lb-a01.isp.t-ipnet.de hab ich jetzt per DNS-Filter "deaktiviert".
Komisch, Internet funktioniert trotzdem ... ;)

plumpsack
Beiträge: 41
Registriert: 15 Feb 2018, 21:23

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von plumpsack » 14 Jun 2018, 20:55

@backslash

Du willst mir doch nicht ehrlich erzählen "ignoriere alle Firewal Statements" und setze diese als "default" ... ?

Bist du ein "klick-Admin"?

COMCARGRU
Beiträge: 1120
Registriert: 10 Nov 2004, 18:56
Wohnort: Hessen

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von COMCARGRU » 14 Jun 2018, 22:55

plumpsack hat geschrieben:@backslash
Du willst mir doch nicht ehrlich erzählen "ignoriere alle Firewal Statements" und setze diese als "default" ... ?
Bist du ein "klick-Admin"?
:L) :L) :L) :L)



Er ist kein "klick-Admin", er ist der Entwickler der Lancom Firewall! Und wenn es auf diesem Planeten irgendeinen Menschen gibt, der bei diesem Thema weiß wovon er redet, dann ist es backslash!

Also nochmal: Schmeiß diesen Scheiß Haken raus, er ist das einzige reale Problem bei diesem ganzen Thema.
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???

Dr.Einstein
Beiträge: 1863
Registriert: 12 Jan 2010, 15:10
Wohnort: Berlin

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von Dr.Einstein » 15 Jun 2018, 09:04

dont feed the trolls, bitte den Thread schließen und den User sperren. Danke

mipo
Beiträge: 95
Registriert: 10 Nov 2004, 08:10
Wohnort: 67435 Neustadt

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von mipo » 16 Jun 2018, 19:16

COMCARGRU hat geschrieben:
14 Jun 2018, 22:55
Er ist kein "klick-Admin", er ist der Entwickler der Lancom Firewall! Und wenn es auf diesem Planeten irgendeinen Menschen gibt, der bei diesem Thema weiß wovon er redet, dann ist es backslash!
Hallo COMCARGRU,

ich bin ja hier schon ewig und habe stets sehr gute Tips von euch (Louis, Dir und backslash) für meine kleineren und größeren Probleme
bekommen. Aber auch nach mehr als 23 Jahren "Internet" ist Dein Beitrag der bisher beste, den ich je gelesen habe :D :D :D :D :D

Dieser @plumpsack ist der der Troll hoch 98 ...

Viele Grüße
Michael

COMCARGRU
Beiträge: 1120
Registriert: 10 Nov 2004, 18:56
Wohnort: Hessen

Re: Attacken von privaten IP-Adresessen aus dem Internet

Beitrag von COMCARGRU » 18 Jun 2018, 16:20

Na das ist jetzt aber etwas arg zu viel Lob! Was die Netzwerkerei angeht bin ich dann eher ne kleine Leuchte. Wenn hier Leute was drauf haben sind das LoUiS, Alfred, backslash, Jirka, Koppelfeld, Dr. Einstein und ein paar andere deren Nick mir gerade nicht einfällt... (MoinMoin z.B.)
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???

Antworten

Zurück zu „aktuelle LANCOM Router Serie“