theoberlin
Goto Top

Portscans kommen durch Fritzbox

Hallo an alle,

Ich habe in der Firma ein interessantes Phänomen.
Der Aufbau Kabel Deutschland Koaxialanschluss --> Fritzbox --> Eigentliche Firewall.

Auf die Fritzbox bin ich leider angewiesen da ich kein Kabelmodem gefunden hab und auch die Telefonleitungen der Fritzbox als Backup fungieren falls die Telekomleitung mal abschmiert.

Nun bekomme ich täglich mehrfach portscanwarnungen am WAN Port der eigentlichen Firewall an dem die Kabel Deutschland Fritzbox hängt.

Wie kann das sein, dass meine FireWall einen portscan einer externen IP mitbekommt?
Das muss doch schon durch die "FireWall" der Fritzbox abgefangen werden.....

Sicherheitstechnisch ist es nicht schlimm, da ja was vernünftiges dahinterhängt aber für alle die in der Fritzbox direkt drinstecken is das ja fatal....

Eine Idee was da passiert?

LG
Theo

Content-ID: 249117

Url: https://administrator.de/contentid/249117

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 13.09.2014 aktualisiert um 09:38:05 Uhr
Goto Top
Zitat von @theoberlin:

Sicherheitstechnisch ist es nicht schlimm, da ja was vernünftiges dahinterhängt aber für alle die in der Fritzbox
direkt drinstecken is das ja fatal....

Eine Idee was da passiert?

  • Due hast in der fritzbox einen exposed Host, damit alles an Deine Firewall geht
  • Du hast Portforwarding in der fritzbox
  • Du hast die Fritzbox auf "transparent" geschakltet.
  • Bei Dir ist UPnP abkitv udn Software bohrt "Löcher" in deine Fritzbox.
  • u.v.a. mehr, was die Kristallkugel zum Glühen bringt.

lks

PS: was sagt denn Deine Firewall genau und was für eine ist es denn überhaupt?
theoberlin
theoberlin 13.09.2014 aktualisiert um 09:51:20 Uhr
Goto Top
Die Fritzbox ist eine 7270.

Was deine Punkte angeht:

Fritzbox ist als reiner Router konfiguriert. ohne exposed Host
Portforwarding ist aktiviert, aber nur für 2 Ports und jeweils als Single Port
Fritzbox ist wie gesagt ein ganz normaler NAT Router mit aktivierter FireWall
uPnP deaktivieren is bei diesen konsumersachen immer das allererste....


Die FireWall ist eine der großen SonicWalls. Und ich bekomme Hinweise von Portscans von zig externen IP's auf immer so 5-20 Ports.

LG
Theo
Lochkartenstanzer
Lochkartenstanzer 13.09.2014 um 09:53:24 Uhr
Goto Top
Zitat von @theoberlin:

Die Fritzbox ist eine 7270.

Was deine Punkte angeht:

Fritzbox ist als reiner Router konfiguriert.
Portforwarding ist aktiviert, aber nur für 2 Ports und jeweils als Single Port
Fritzbox ist wie gesagt ein ganz normaler NAT Router mit aktivierter FireWall
uPnP deaktivieren is bei diesen konsumersachen immer das allererste....


Die FireWall ist eine der großen SonicWalls. Und ich bekomme Hinweise von Portscans von einer externen IP auf immer so 5-20
Ports.


Hast Du mal einen wireshark drangehängt? zur Not geht das auch direkt mit der fritzbox (Auf Inhalt und dann auf Support und dort dann auf Paketmitschnitt gehen).

Welche Ports sind es denn udn sind es imerm die gleichen Adressen?

lks
theoberlin
theoberlin 13.09.2014 um 10:00:04 Uhr
Goto Top
Ich hab noch keinen dazwischengehangen.

Die Adressen sind immer unterschiedlich. Halt irgendwelche russischen, chinesischen und amerikanischen. Halt der übliche Müll der ab und an mal anklopft und guckt was offen ist.
Die Ports sind die üblichen Verdächtigen die manch leichtfertiger Admin ans Internet hängt. RDP, SNMP, LDAP, SMB etc.....Ich guck Montag mal was da genau alles durchkommt. Hab noch garnicht gesehen das ne Fritzbox Paketmitschnitt kann ;)

LG
Theo
aqui
aqui 13.09.2014 aktualisiert um 10:41:37 Uhr
Goto Top
Das kann schon passieren....
Sofern für die IP Adressen die durchkommen ein Eintrag in der NAT Session Tabelle ist kann das passieren. Wenn eine inbound IP eine aktive Session hat, dann ist das NAT in der FB für diese Zeit beidseitig offen. Wenn in diesem Moment Portscans kommen rauschen die natürlich durch. Die Fritzbox ist in der Beziehung ja doof, da sie keine SPI Firewall hat und diese Portscans so nicht merkt und sich nur auf die NAT Firewall verlässt. Wie übrigens fast alle reinen Consumer NAT Router auch. Das merkt dann erst wieder die richtige Firewall dahinter die es dann verständlicherweise auch anzeigt.
Kann also schon sinnvoll sein doch immer eine kleine [ Firewall] zu verwenden. Gerade dann wenn man Opfer eines sogenannten Provider Zwangsrouters ist wie der TO mit dem Kabelprovider es ja wie viele andere Kabelkunden und auch einige xDSL Kunden auch ist !
Lochkartenstanzer
Lochkartenstanzer 13.09.2014 um 10:58:40 Uhr
Goto Top
Zitat von @theoberlin:

Die Ports sind die üblichen Verdächtigen die manch leichtfertiger Admin ans Internet hängt. RDP, SNMP, LDAP, SMB
etc.....Ich guck Montag mal was da genau alles durchkommt. Hab noch garnicht gesehen das ne Fritzbox Paketmitschnitt kann ;)

schau mal auf welche (genattete) Zieladresse die Scans kommen. wechselnd oder immer dieselbe?

lks
Lochkartenstanzer
Lochkartenstanzer 13.09.2014 um 11:02:47 Uhr
Goto Top
Zitat von @aqui:


Sofern für die IP Adressen die durchkommen ein Eintrag in der NAT Session Tabelle ist kann das passieren. Wenn eine inbound
IP eine aktive Session hat, dann ist das NAT in der FB für diese Zeit beidseitig offen. Wenn in diesem Moment Portscans
kommen rauschen die natürlich durch. Die Fritzbox ist in der Beziehung ja doof, da sie keine SPI Firewall hat und diese
Portscans so nicht merkt und sich nur auf die NAT Firewall verlässt.

Wenn das tatsächlich so wäre, hätte mir das bei den Fritzboxen die ich selbst im privatbereich einsetze auffallen müssen. Weder fürher bei den 7170 und 7270 oder aktuell der 7390 ist mir so etwas aufgefallen.

lks
aqui
aqui 13.09.2014 aktualisiert um 11:28:08 Uhr
Goto Top
Na ja dazu müsste man auch wenigstens 24 Std. auf dem Routerport mal den Wireshark laufen lassen und dann gleichzeitig auch Traffic von inbound nach outbound erzeugen. Wer macht das schon...?
Der Tip mit dem Check der geNATteten Zieladresse ist aber richtig...
Das große Problem bei den Zwangsroutern ist das so gut wie immer TR-069 dort rennt und die Provider vollen Zugriff haben. Da lässt sich dann nur sehr schwer kontrollieren was die noch auf den Routern laufen lassen, deshalb gehört TR-069 und auch UPnP auch als allererstes abgeschaltet wenn man wirklich auf Nummer sicher gehen will !
Otto Normaluser ist damit aber schon völlig überfordert.
Lochkartenstanzer
Lochkartenstanzer 13.09.2014 aktualisiert um 13:30:58 Uhr
Goto Top
Zitat von @aqui:

Na ja dazu müsste man auch wenigstens 24 Std. auf dem Routerport mal den Wireshark laufen lassen und dann gleichzeitig auch
Traffic von inbound nach outbound erzeugen. Wer macht das schon...?

/me face-smile

lks

PS. ich lass immer einen sniffer mitlaufen, der auf "ungewöhnliches" triggert. Da sollte es schon irgendwann anschlagen.
jens2001
jens2001 13.09.2014 um 15:41:43 Uhr
Goto Top
Das ist doch völlig gequirlte Sch...e!

Eine FB7270 als Kabelmodem???

Wie solldas gehen?
Lochkartenstanzer
Lochkartenstanzer 13.09.2014 um 16:46:27 Uhr
Goto Top
Zitat von @jens2001:

Das ist doch völlig gequirlte Sch...e!

Eine FB7270 als Kabelmodem???

Wie solldas gehen?

Wagrscheinlich ist das nur ein Router der hinter dem Modem sitzt. er sagte ja auch, daß das Ding nur als Router konfiguriert ist.

lks

PS: Wenn die 7270 eh nur der Router ist, warum hängt Ihr dann nciht direkt die friewall an das Modem?
Pjordorf
Pjordorf 13.09.2014 um 23:13:56 Uhr
Goto Top
Hi LKS,

Zitat von @Lochkartenstanzer:
Wagrscheinlich ist das nur ein Router der hinter dem Modem sitzt
Wahrscheinlich aber doch nichtface-smile Er sagt doch in seinem OT
Der Aufbau Kabel Deutschland Koaxialanschluss --> Fritzbox --> Eigentliche Firewall.
Auf die Fritzbox bin ich leider angewiesen da ich kein Kabelmodem gefunden hab und auch die Telefonleitungen der Fritzbox als Backup fungieren
Das deutet nirgends auf ein zusätzliches Modem hin.
Und auch sein
Fritzbox ist wie gesagt ein ganz normaler NAT Router mit aktivierter FireWall
deutet nicht auf ein zusätzliches Modem hin.

Auch für mich stellt es sich so dar das sein Frittenschmiede direkt an sein Koax hängt...

Gruß,
Peter
Pjordorf
Pjordorf 13.09.2014 um 23:21:09 Uhr
Goto Top
Hallo,

Zitat von @theoberlin:
Die Ports sind die üblichen Verdächtigen die manch leichtfertiger Admin ans Internet hängt. RDP, SNMP, LDAP, SMB
Warum hängst du hier nicht einer deiner Meldungen mit dessen genauen Wortlaut hier rein?

Hab noch garnicht gesehen das ne Fritzbox Paketmitschnitt kann ;)
Habe aber alle Modelle mit AVM Firmware
capture.html oder capture.lua

http://www.wehavemorefun.de/fritzbox/Paketmitschnitt

Gruß,
Peter
108012
108012 14.09.2014 um 11:49:48 Uhr
Goto Top
Hallo,

Portforwarding ist aktiviert, aber nur für 2 Ports und jeweils als Single Port
Das hört sich für mich so an wie:
"Alle Türen sind verschlossen und wir haben nur 2 Fenster aufgelassen,
wie man hier einbrechen konnte wissen wir auch nicht."

Und an der Firewall sind auch Ports offen?
Oder wofür sind die Ports an der AVM FB geöffnet?

Gruß
Dobby
theoberlin
theoberlin 15.09.2014 aktualisiert um 18:14:24 Uhr
Goto Top
Aloha an alle,

so ich habe heute mal den Wireshark drüberlaufen lassen.

@aqui TR-069 kann man leider nicht rausschmeißen. Hab ich probiert im Laufe der VoIP Hack Probleme vor einiger Zeit.

Aber nochmal allgemein. Die Fritzbox is ne 6360. Mein Fehler.

Was das ganze NATting angeht korrigiert mich, aber wenn ich von innen eine Session aufhabe dann lässt die Fritzbox doch auch nur eingehende Verbindungen auf diesem Port zu?
Sprich eine HTTP Session führt ja wohl hoffentlich nicht dazu das Anfragen auf ganz anderen Ports durchkommen. Das wäre ja sogar für eine Fritzbox zu schlecht.

Die Portscans kommen aber auch auf deutlich höheren Portnummern. Heute war z.B 39589, 25539, 17164, 21710 und 8931 dabei.

Im Wireshark sehe ich auch das die voll bis an die Sonicwall durchrauschen.

Morgen werde ich mal die Fritzbox auf Werkszustand versetzen und ne neue Firmware manuell einspielen. Dürfte keiner merken zwecks Loadbalancing der anderen WAN Leitungen. Das ist irgendwie sehr abstrus...

lg
Theo
aqui
aqui 15.09.2014 aktualisiert um 18:20:58 Uhr
Goto Top
dann lässt die Fritzbox doch auch nur eingehende Verbindungen auf diesem Port zu?
Ja, das ist richtig. Alles andere muss die NAT Firewall blocken.
Die Portscans kommen aber auch auf deutlich höheren Portnummern. Heute war z.B 39589, 25539, 17164, 21710 und 8931 dabei.
Sind das Source Ports des Routers ?? Wenn nein und für diese Ports keinerlei Einträge in der NAT Session Table des Routers sind, UPnP deaktiviert ist, dann ist das ein klarer Firmware Bug der FB. Sowas darf niemals sein !
Im Wireshark sehe ich auch das die voll bis an die Sonicwall durchrauschen.
Sehr böse... !
Morgen werde ich mal die Fritzbox auf Werkszustand versetzen und ne neue Firmware manuell einspielen.
Dringenst solltest du das tun ! Besonders das Update der FW.
Wichtig: Im Setup der FB unbedingt UPnP deaktivieren ! Nicht das irgendeine SW im lokalen Netz diese Ports per UPnP öffnet. UPnP gehört auch Routern und insbesondere Firewalls IMMER deaktiviert !
Und auch gleich TR-069 unbedingt deaktivieren.
Wenn dann nochwas durchkommen sollte: FB wegschmeissen und was Anständiges beschaffen.
theoberlin
theoberlin 15.09.2014 aktualisiert um 19:56:17 Uhr
Goto Top
So...nächstes Problem. Der Bereich des firmwareupdates ist garnicht erst erreichbar. Da hat Kabel Deutschland "vorgesorgt "
Bezüglich upnp: Die sonicwall lässt ja auch nur definiertes ins WAN also selbst wenn im lokalen Netz upnp Schweinereien staffinden würden die nicht bis an die Fritzbox durchkommen.
Ich werde morgen mal mit Kabel Deutschland sprechen.
Aber da zwangsrouter, stellt sich die Frage nach etwas vernünftigem leider nicht...das vernünftige hängt ja dahinter ;)

Ziemlich böser Gedanke für alle die mit ihren Rechnern direkt an den ferngesteuerten Fritzboxen hängen...NSA lässt grüßen ;)

LG
Theo
aqui
aqui 17.09.2014 um 11:27:07 Uhr
Goto Top
Aber da zwangsrouter, stellt sich die Frage nach etwas vernünftigem leider nicht...
Na ja kannst ja ein Freetz drauf flashen oder ein original AVM Image. Dr. Google sagt dir wie face-wink
theoberlin
theoberlin 17.09.2014 um 12:39:10 Uhr
Goto Top
Dann hab ich aber immer noch nicht die Zugangsdaten die ich für meinen Kabelanschluss und die VOIP Einwahl brauche. Die rückt Kabel Deutschland nicht raus. Die werden ausschließlich über TR-069 vom ACS übertragen....

lg
Theo
Lochkartenstanzer
Lochkartenstanzer 17.09.2014 aktualisiert um 12:46:23 Uhr
Goto Top
Zitat von @theoberlin:

Dann hab ich aber immer noch nicht die Zugangsdaten die ich für meinen Kabelanschluss und die VOIP Einwahl brauche. Die
rückt Kabel Deutschland nicht raus. Die werden ausschließlich über TR-069 vom ACS übertragen....


Dann würde ich denen mal andeuten, daß es auch andere (Telefon-)Anbieter gibt, die nicht so verklemmt sind und der Vertrag mit KD auch nicht ewig läuft.


lks
theoberlin
theoberlin 21.09.2014 aktualisiert um 13:21:33 Uhr
Goto Top
Da hast du generell recht. Aber:

Telekom bringt nur VDSL 25 welche ich aber auch als Backup habe.
Server sind über eine 20 mbit Glasfaser drann.
Aber ich brauch unheimlich viel downloadkapazität und die kommt nunmal nur über die 100mbit coaxialleitung von Kabel Deutschland.
Die Glasfaser kann Anschlusseitig bis zu 630 Mbit aber meinem Chef nen upgrade auf ne 100Mbit sym. leitung aus den rippen zu leiern funktioniert mit Sicherheit nicht. Zumal es nach 20 mbit preislich expotentiell nach oben geht. Und da klingen die (unsymmetrischen) 100mbit download für unter 50€ einfach besser^^

Ich hab kabel deutschland jetzt aufgefordert mal seeeehr genau Ihre konfiguration zu überprüfen die sie da auf meine Fritzbox gepackt haben.

LG
Theo
Pjordorf
Pjordorf 21.09.2014 um 13:29:41 Uhr
Goto Top
Hallo,

Zitat von @theoberlin:
Server sind über eine 20 mbit Glasfaser drann.
Also auch eine Glasfaser kann mehr als nur 20 millibit/sec. Euer Internet ist Grotten lahm. Selbst ISDN mit 64 KiloBit/sec ist schneller...

http://de.wikipedia.org/wiki/Gr%C3%B6%C3%9Fenordnung_(Datenraten)

Gruß,
Peter
108012
108012 21.09.2014 um 13:40:57 Uhr
Goto Top
Hallo,

ich fasse das dann mal eben schnell zusammen so wie ich das jetzt verstanden habe!

Telekom bringt nur VDSL 25 welche ich aber auch als Backup habe.
Erster Internetzugang mit 25 MBit/s

Server sind über eine 20 mbit Glasfaser drann.
Zweiter Internetzugang mit 20 MBit/s

Aber ich brauch unheimlich viel downloadkapazität und die kommt nunmal nur
über die 100mbit coaxialleitung von Kabel Deutschland.
Dritter Internetzugang mit 100 MBit/s

Ist das so richtig?
Wenn dem so sein sollte, würde ich einfach einen anderen Router nehmen
der das auch mittels Load Balancing ausbalancieren kann!

Also sprich einen Multi WAN Router wie z.B.;
- Draytek Vigor3900
- MikroTik CCR1036
- Eigenbau Firewall pfSense

Gruß
Dobby
theoberlin
theoberlin 21.09.2014 um 13:41:48 Uhr
Goto Top
ich denke es ist klar das ich Mbit meinte und nicht mbit....
theoberlin
theoberlin 21.09.2014 um 13:49:40 Uhr
Goto Top
Ja dobby grundsätzlich richtig.

Allerdings ging es ja darum, dass die kabel deutschland strecke nicht ersetzbar ist. Und selbst wenn ich nen loadbalacing zwischen zwischen der vdsl und der symmetrischen mache komme ich auf keinen ausreichend hohen wert.

Davon abgesehen läuft schon ein Loadbalacing, allerdings mit Spill over, damit die 100 Mbit bis an die Grenze ausgenutzt werden.

Alles in allem hab ich keine andere Wahl als das Leitungssetup zu nutzen das ich habe. Nur KD muss da einiges in den Griff bekommen.....

LG
Theo
Pjordorf
Pjordorf 21.09.2014 um 13:50:38 Uhr
Goto Top
ich denke es ist klar das ich Mbit meinte und nicht mbit....
Und hier meine ich 1 Cent wenn ich 1.000.000,00 EUR Schreibe.....
theoberlin
theoberlin 21.09.2014 um 13:59:05 Uhr
Goto Top
Es geht um den Kontext. Wenn ich im einen Satz von einer 630 Mbit leitung rede und im nächsten die Autokorrektur aus 20 Mbit 20 mbit macht gibt es da nicht viel zu überlegen....
Bitte nur Sachdienliches.
aqui
aqui 21.09.2014 um 17:18:55 Uhr
Goto Top
Dann hab ich aber immer noch nicht die Zugangsdaten die ich für meinen Kabelanschluss und die VOIP Einwahl brauche. Die rückt Kabel Deutschland nicht raus.
Falsch ! Die rücken sie mit entsprechendem Druck den man machen muss schon raus. Dazu sind sie gesetzlich verpflichtet.
Außerdem gbt es für den Fall der Fälle wenn sie sich partout weigern immer noch den Wireshark, denn die Zugangsdaten sind NICHT verschlüsselt face-wink
theoberlin
theoberlin 27.09.2014 um 09:14:44 Uhr
Goto Top
Okay selbst mal angenommen das wäre so wüsste ich nicht was es für Kabel Modems gibt.
Und WireShark wird da nicht klappen da ich mich ja nicht zwischen Router und Modem hängen kann...

Zum eigentlichen Problem: ein fern reset mit einspielen einer neuen Firmware hat das Problem beseitigt. War wohl zu auffällig realisiert die NSA Lücke;)

LG Theo
Lochkartenstanzer
Lochkartenstanzer 27.09.2014 aktualisiert um 09:28:56 Uhr
Goto Top
Zitat von @theoberlin:

Okay selbst mal angenommen das wäre so wüsste ich nicht was es für Kabel Modems gibt.
Und WireShark wird da nicht klappen da ich mich ja nicht zwischen Router und Modem hängen kann...

Die Fritzbox kann die Pakete selbst mitschneiden.

lks
theoberlin
theoberlin 27.09.2014 um 09:41:30 Uhr
Goto Top
Auch zwischen Router und Modem?
Lochkartenstanzer
Lochkartenstanzer 27.09.2014 aktualisiert um 09:56:02 Uhr
Goto Top
Zitat von @theoberlin:

Auch zwischen Router und Modem?

Ja,

Du mußt nur das richtige Interface wählen (unter Internet).

lks
theoberlin
theoberlin 27.09.2014 um 10:01:38 Uhr
Goto Top
Alles klar dann werd ich das mal machen. Unabhängig davon, dass ich dann ein separates Modem nutzen muss und die Voip einwahl die Telefonanlage machen muss. Würde aber gehen.
Na gut danke für die Diskussion

Lg
Theo
-Gelöst-
aqui
aqui 27.09.2014 um 11:27:07 Uhr
Goto Top
Und WireShark wird da nicht klappen da ich mich ja nicht zwischen Router und Modem hängen kann...
Doch, das klappt aber nur wenn Modem und Router 2 getrennte Geräte sind.
Oder...wenn dein Router einer ist der intern solche Dbugging Möglichkeiten hat. Bessere Systeme wie FB, Lancom, Cisco usw. können das immer !