4
Firewall blockt Anfragen
Hallo zusammen,
ich hab mir anzeigen lassen welche IP-Adressen unsere Firewall blockt und es sind schon mehrere Anfragen jeden Tag bei der ich nicht weiß woher sie kommen. Sie kommen teilweise aus China, Russland oder Tschechien und manchmal USA. Jetzt meine Frage: ist das normal, dass da am Tag 50,60 Anfragen auf den Port 1433 kommen? Sind das alle willkürliche "Angriffe". Wie ist da eure Erfahrung?
Gruß Jan
ich hab mir anzeigen lassen welche IP-Adressen unsere Firewall blockt und es sind schon mehrere Anfragen jeden Tag bei der ich nicht weiß woher sie kommen. Sie kommen teilweise aus China, Russland oder Tschechien und manchmal USA. Jetzt meine Frage: ist das normal, dass da am Tag 50,60 Anfragen auf den Port 1433 kommen? Sind das alle willkürliche "Angriffe". Wie ist da eure Erfahrung?
Gruß Jan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 353610
Url: https://administrator.de/contentid/353610
Printed on: April 19, 2024 at 18:04 o'clock
4 Comments
Latest comment
50-60? Herrlich, du hast ruhe.... reine Portscans und Script-Kiddy-Angriffe werden normalerweise im 100er Paketen gezählt... Ganz ehrlich, habe meine Firewall da schon auf direktes Drop ohne logging gestellt - da es einfach nur Datenmüll produziert (genauso wie die ganzen "ich versuch mal die cmd.exe auszuführen" auf nem Apache/Linux-System...
Hallo,
der Port 1433 ist der MS SQL Server auf dem diverse Sicherheitsluecken existieren.
siehe hier: https://www.speedguide.net/port.php?port=1433
besser noch: https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-25 ...
zwar veraltet aber unter diversen exploit Databases findet man genug exploites fuer den Windowsdreckssqlserver.
Oft erhalten nur die Windows Server updates nicht jedoch die SQL Instanzen.
Wie maretz schon schrieb sollte man die Firewall entsprechend abhaerten und die Scans direkt ins Nirwana schicken.
Nur mal ne Hausnummer:
Auf unseren Mailserver haben wir manchmal am Tag ca.2000 imap Loginversuche auf nicht existierende Postfaecher !
Gruss
der Port 1433 ist der MS SQL Server auf dem diverse Sicherheitsluecken existieren.
siehe hier: https://www.speedguide.net/port.php?port=1433
besser noch: https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-25 ...
zwar veraltet aber unter diversen exploit Databases findet man genug exploites fuer den Windowsdreckssqlserver.
Oft erhalten nur die Windows Server updates nicht jedoch die SQL Instanzen.
Wie maretz schon schrieb sollte man die Firewall entsprechend abhaerten und die Scans direkt ins Nirwana schicken.
Nur mal ne Hausnummer:
Auf unseren Mailserver haben wir manchmal am Tag ca.2000 imap Loginversuche auf nicht existierende Postfaecher !
Gruss
die Handvoll an Scans auf EINEM Port ist normal... Sorgen muß man sich erst machen wenn die Million geknackt wurde.
Dann hat es nämlich jemand ernsthaft auf euer Netz abgesehen.
Dann hat es nämlich jemand ernsthaft auf euer Netz abgesehen.
Hallo zusammen,
was man zurückverfolgen kann, soll oder muss. Man kann da auch etwas mit GeoBlocking machen wenn man
denn möchte und die Firewall es zulässt.
da nicht drauf schließen und nicht daraus schließen wer wann wen "angreift".
- Installiere auf dem oder den Server(n) einmal DenyHost oder fail2ban und gut ist es
- Installiere einmal einen IDS/IPS Sensor/Server oder schalte direkt an der Firewall so etwas ein am DMZ Port
Falls Ihr so etwas nicht habt wird da auch nichts zu machen sein und die Firewall blockt das ganze einfach ab
und gut ist es. Ist ja schließlich auch Ihr Job, oder?
weil die Länder selber ja jetzt die allergrößten Hacker sind und nicht mehr die paar Hacker selber! Das findet
in der Regel voll automatisiert statt und die Bots (Scripte) scannen willkürlich das gesamte Internet also alle
IP Adressen die es gibt! Und dann tragen sie etwas in einer Datenbank ein und dann wird die wiederum von
einem Script abgefragt und der ganze tanz geht von vorne los, bis man dann endlich ein paar lohnende Ziele
hat die man selber angreift oder infiltriert, aber die ganze Vorarbeit machen heute alles Scripte in Perl, PHP
oder Phyton. Die nennt man dann Roboter oder kurz um auch Bots.
NextGen Firewall kann da noch viel mehr raus holen und prüfen.
einem die Firewall nicht mehr helfen kann, Mitarbeiter, Chefs, andere Firmen mit Zugang zum Gelände, Müllcontainer,
Filialen und andere Standorte und alles was geht wie USB Sticks in die Briefkästen der Mitarbeiter verteilen als
Werbung oder was weiß ich was es nicht noch alles gibt.
Gruß
Dobby
ich hab mir anzeigen lassen welche IP-Adressen unsere Firewall blockt und es sind schon mehrere Anfragen jeden Tag
bei der ich nicht weiß woher sie kommen.
Das ist wohl auch so gewollt von denen und die Anfragen kommen meist über Proxy Server rein also nichtsbei der ich nicht weiß woher sie kommen.
was man zurückverfolgen kann, soll oder muss. Man kann da auch etwas mit GeoBlocking machen wenn man
denn möchte und die Firewall es zulässt.
Sie kommen teilweise aus China, Russland oder Tschechien und manchmal USA.
Dort stehen die Proxy Server und manchmal bis immer sind die sogar noch kaskadiert und von daher sollte manda nicht drauf schließen und nicht daraus schließen wer wann wen "angreift".
Jetzt meine Frage: ist das normal, dass da am Tag 50,60 Anfragen auf den Port 1433 kommen?
Habt Ihr eine DMZ mit einem SQL Server der darüber empfängt? Dann würde ich folgendes machen wollen,- Installiere auf dem oder den Server(n) einmal DenyHost oder fail2ban und gut ist es
- Installiere einmal einen IDS/IPS Sensor/Server oder schalte direkt an der Firewall so etwas ein am DMZ Port
Falls Ihr so etwas nicht habt wird da auch nichts zu machen sein und die Firewall blockt das ganze einfach ab
und gut ist es. Ist ja schließlich auch Ihr Job, oder?
Sind das alle willkürliche "Angriffe". Wie ist da eure Erfahrung?
80% / 20% (80/20) je nachdem wer da was mit wem macht, das kann man heute nicht mehr so genau sagenweil die Länder selber ja jetzt die allergrößten Hacker sind und nicht mehr die paar Hacker selber! Das findet
in der Regel voll automatisiert statt und die Bots (Scripte) scannen willkürlich das gesamte Internet also alle
IP Adressen die es gibt! Und dann tragen sie etwas in einer Datenbank ein und dann wird die wiederum von
einem Script abgefragt und der ganze tanz geht von vorne los, bis man dann endlich ein paar lohnende Ziele
hat die man selber angreift oder infiltriert, aber die ganze Vorarbeit machen heute alles Scripte in Perl, PHP
oder Phyton. Die nennt man dann Roboter oder kurz um auch Bots.
die Handvoll an Scans auf EINEM Port ist normal... Sorgen muß man sich erst machen wenn die Million
geknackt wurde.
Wenn die Firewall es alles abblockt braucht man sich auch keine Sorgen machen, oder? Und eine UTM odergeknackt wurde.
NextGen Firewall kann da noch viel mehr raus holen und prüfen.
Dann hat es nämlich jemand ernsthaft auf euer Netz abgesehen.
Dann wird er sich sicherlich nicht nur mit der Firewall beschäftigen sondern auch alles andere versuchen woeinem die Firewall nicht mehr helfen kann, Mitarbeiter, Chefs, andere Firmen mit Zugang zum Gelände, Müllcontainer,
Filialen und andere Standorte und alles was geht wie USB Sticks in die Briefkästen der Mitarbeiter verteilen als
Werbung oder was weiß ich was es nicht noch alles gibt.
Gruß
Dobby
