jan1986
Goto Top

Firewall blockt Anfragen

Hallo zusammen,

ich hab mir anzeigen lassen welche IP-Adressen unsere Firewall blockt und es sind schon mehrere Anfragen jeden Tag bei der ich nicht weiß woher sie kommen. Sie kommen teilweise aus China, Russland oder Tschechien und manchmal USA. Jetzt meine Frage: ist das normal, dass da am Tag 50,60 Anfragen auf den Port 1433 kommen? Sind das alle willkürliche "Angriffe". Wie ist da eure Erfahrung?

Gruß Jan

Content-ID: 353610

Url: https://administrator.de/contentid/353610

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

maretz
maretz 03.11.2017 um 16:01:28 Uhr
Goto Top
50-60? Herrlich, du hast ruhe.... reine Portscans und Script-Kiddy-Angriffe werden normalerweise im 100er Paketen gezählt... Ganz ehrlich, habe meine Firewall da schon auf direktes Drop ohne logging gestellt - da es einfach nur Datenmüll produziert (genauso wie die ganzen "ich versuch mal die cmd.exe auszuführen" auf nem Apache/Linux-System...
Alchimedes
Alchimedes 03.11.2017 aktualisiert um 16:50:24 Uhr
Goto Top
Hallo,

der Port 1433 ist der MS SQL Server auf dem diverse Sicherheitsluecken existieren.

siehe hier: https://www.speedguide.net/port.php?port=1433

besser noch: https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-25 ...

zwar veraltet aber unter diversen exploit Databases findet man genug exploites fuer den Windowsdreckssqlserver.
Oft erhalten nur die Windows Server updates nicht jedoch die SQL Instanzen.

Wie maretz schon schrieb sollte man die Firewall entsprechend abhaerten und die Scans direkt ins Nirwana schicken.

Nur mal ne Hausnummer:

Auf unseren Mailserver haben wir manchmal am Tag ca.2000 imap Loginversuche auf nicht existierende Postfaecher !

Gruss
GrueneSosseMitSpeck
GrueneSosseMitSpeck 03.11.2017 um 17:34:55 Uhr
Goto Top
die Handvoll an Scans auf EINEM Port ist normal... Sorgen muß man sich erst machen wenn die Million geknackt wurde.
Dann hat es nämlich jemand ernsthaft auf euer Netz abgesehen.
108012
108012 04.11.2017 um 03:31:49 Uhr
Goto Top
Hallo zusammen,

ich hab mir anzeigen lassen welche IP-Adressen unsere Firewall blockt und es sind schon mehrere Anfragen jeden Tag
bei der ich nicht weiß woher sie kommen.
Das ist wohl auch so gewollt von denen und die Anfragen kommen meist über Proxy Server rein also nichts
was man zurückverfolgen kann, soll oder muss. Man kann da auch etwas mit GeoBlocking machen wenn man
denn möchte und die Firewall es zulässt.

Sie kommen teilweise aus China, Russland oder Tschechien und manchmal USA.
Dort stehen die Proxy Server und manchmal bis immer sind die sogar noch kaskadiert und von daher sollte man
da nicht drauf schließen und nicht daraus schließen wer wann wen "angreift".

Jetzt meine Frage: ist das normal, dass da am Tag 50,60 Anfragen auf den Port 1433 kommen?
Habt Ihr eine DMZ mit einem SQL Server der darüber empfängt? Dann würde ich folgendes machen wollen,
- Installiere auf dem oder den Server(n) einmal DenyHost oder fail2ban und gut ist es
- Installiere einmal einen IDS/IPS Sensor/Server oder schalte direkt an der Firewall so etwas ein am DMZ Port

Falls Ihr so etwas nicht habt wird da auch nichts zu machen sein und die Firewall blockt das ganze einfach ab
und gut ist es. Ist ja schließlich auch Ihr Job, oder?

Sind das alle willkürliche "Angriffe". Wie ist da eure Erfahrung?
80% / 20% (80/20) je nachdem wer da was mit wem macht, das kann man heute nicht mehr so genau sagen
weil die Länder selber ja jetzt die allergrößten Hacker sind und nicht mehr die paar Hacker selber! Das findet
in der Regel voll automatisiert statt und die Bots (Scripte) scannen willkürlich das gesamte Internet also alle
IP Adressen die es gibt! Und dann tragen sie etwas in einer Datenbank ein und dann wird die wiederum von
einem Script abgefragt und der ganze tanz geht von vorne los, bis man dann endlich ein paar lohnende Ziele
hat die man selber angreift oder infiltriert, aber die ganze Vorarbeit machen heute alles Scripte in Perl, PHP
oder Phyton. Die nennt man dann Roboter oder kurz um auch Bots.

die Handvoll an Scans auf EINEM Port ist normal... Sorgen muß man sich erst machen wenn die Million
geknackt wurde.
Wenn die Firewall es alles abblockt braucht man sich auch keine Sorgen machen, oder? Und eine UTM oder
NextGen Firewall kann da noch viel mehr raus holen und prüfen.

Dann hat es nämlich jemand ernsthaft auf euer Netz abgesehen.
Dann wird er sich sicherlich nicht nur mit der Firewall beschäftigen sondern auch alles andere versuchen wo
einem die Firewall nicht mehr helfen kann, Mitarbeiter, Chefs, andere Firmen mit Zugang zum Gelände, Müllcontainer,
Filialen und andere Standorte und alles was geht wie USB Sticks in die Briefkästen der Mitarbeiter verteilen als
Werbung oder was weiß ich was es nicht noch alles gibt.

Gruß
Dobby