Portscans kommen durch Fritzbox
Hallo an alle,
Ich habe in der Firma ein interessantes Phänomen.
Der Aufbau Kabel Deutschland Koaxialanschluss --> Fritzbox --> Eigentliche Firewall.
Auf die Fritzbox bin ich leider angewiesen da ich kein Kabelmodem gefunden hab und auch die Telefonleitungen der Fritzbox als Backup fungieren falls die Telekomleitung mal abschmiert.
Nun bekomme ich täglich mehrfach portscanwarnungen am WAN Port der eigentlichen Firewall an dem die Kabel Deutschland Fritzbox hängt.
Wie kann das sein, dass meine FireWall einen portscan einer externen IP mitbekommt?
Das muss doch schon durch die "FireWall" der Fritzbox abgefangen werden.....
Sicherheitstechnisch ist es nicht schlimm, da ja was vernünftiges dahinterhängt aber für alle die in der Fritzbox direkt drinstecken is das ja fatal....
Eine Idee was da passiert?
LG
Theo
Ich habe in der Firma ein interessantes Phänomen.
Der Aufbau Kabel Deutschland Koaxialanschluss --> Fritzbox --> Eigentliche Firewall.
Auf die Fritzbox bin ich leider angewiesen da ich kein Kabelmodem gefunden hab und auch die Telefonleitungen der Fritzbox als Backup fungieren falls die Telekomleitung mal abschmiert.
Nun bekomme ich täglich mehrfach portscanwarnungen am WAN Port der eigentlichen Firewall an dem die Kabel Deutschland Fritzbox hängt.
Wie kann das sein, dass meine FireWall einen portscan einer externen IP mitbekommt?
Das muss doch schon durch die "FireWall" der Fritzbox abgefangen werden.....
Sicherheitstechnisch ist es nicht schlimm, da ja was vernünftiges dahinterhängt aber für alle die in der Fritzbox direkt drinstecken is das ja fatal....
Eine Idee was da passiert?
LG
Theo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 249117
Url: https://administrator.de/contentid/249117
Ausgedruckt am: 05.11.2024 um 06:11 Uhr
34 Kommentare
Neuester Kommentar
Zitat von @theoberlin:
Sicherheitstechnisch ist es nicht schlimm, da ja was vernünftiges dahinterhängt aber für alle die in der Fritzbox
direkt drinstecken is das ja fatal....
Eine Idee was da passiert?
Sicherheitstechnisch ist es nicht schlimm, da ja was vernünftiges dahinterhängt aber für alle die in der Fritzbox
direkt drinstecken is das ja fatal....
Eine Idee was da passiert?
- Due hast in der fritzbox einen exposed Host, damit alles an Deine Firewall geht
- Du hast Portforwarding in der fritzbox
- Du hast die Fritzbox auf "transparent" geschakltet.
- Bei Dir ist UPnP abkitv udn Software bohrt "Löcher" in deine Fritzbox.
- u.v.a. mehr, was die Kristallkugel zum Glühen bringt.
lks
PS: was sagt denn Deine Firewall genau und was für eine ist es denn überhaupt?
Zitat von @theoberlin:
Die Fritzbox ist eine 7270.
Was deine Punkte angeht:
Fritzbox ist als reiner Router konfiguriert.
Portforwarding ist aktiviert, aber nur für 2 Ports und jeweils als Single Port
Fritzbox ist wie gesagt ein ganz normaler NAT Router mit aktivierter FireWall
uPnP deaktivieren is bei diesen konsumersachen immer das allererste....
Die FireWall ist eine der großen SonicWalls. Und ich bekomme Hinweise von Portscans von einer externen IP auf immer so 5-20
Ports.
Die Fritzbox ist eine 7270.
Was deine Punkte angeht:
Fritzbox ist als reiner Router konfiguriert.
Portforwarding ist aktiviert, aber nur für 2 Ports und jeweils als Single Port
Fritzbox ist wie gesagt ein ganz normaler NAT Router mit aktivierter FireWall
uPnP deaktivieren is bei diesen konsumersachen immer das allererste....
Die FireWall ist eine der großen SonicWalls. Und ich bekomme Hinweise von Portscans von einer externen IP auf immer so 5-20
Ports.
Hast Du mal einen wireshark drangehängt? zur Not geht das auch direkt mit der fritzbox (Auf Inhalt und dann auf Support und dort dann auf Paketmitschnitt gehen).
Welche Ports sind es denn udn sind es imerm die gleichen Adressen?
lks
Das kann schon passieren....
Sofern für die IP Adressen die durchkommen ein Eintrag in der NAT Session Tabelle ist kann das passieren. Wenn eine inbound IP eine aktive Session hat, dann ist das NAT in der FB für diese Zeit beidseitig offen. Wenn in diesem Moment Portscans kommen rauschen die natürlich durch. Die Fritzbox ist in der Beziehung ja doof, da sie keine SPI Firewall hat und diese Portscans so nicht merkt und sich nur auf die NAT Firewall verlässt. Wie übrigens fast alle reinen Consumer NAT Router auch. Das merkt dann erst wieder die richtige Firewall dahinter die es dann verständlicherweise auch anzeigt.
Kann also schon sinnvoll sein doch immer eine kleine [ Firewall] zu verwenden. Gerade dann wenn man Opfer eines sogenannten Provider Zwangsrouters ist wie der TO mit dem Kabelprovider es ja wie viele andere Kabelkunden und auch einige xDSL Kunden auch ist !
Sofern für die IP Adressen die durchkommen ein Eintrag in der NAT Session Tabelle ist kann das passieren. Wenn eine inbound IP eine aktive Session hat, dann ist das NAT in der FB für diese Zeit beidseitig offen. Wenn in diesem Moment Portscans kommen rauschen die natürlich durch. Die Fritzbox ist in der Beziehung ja doof, da sie keine SPI Firewall hat und diese Portscans so nicht merkt und sich nur auf die NAT Firewall verlässt. Wie übrigens fast alle reinen Consumer NAT Router auch. Das merkt dann erst wieder die richtige Firewall dahinter die es dann verständlicherweise auch anzeigt.
Kann also schon sinnvoll sein doch immer eine kleine [ Firewall] zu verwenden. Gerade dann wenn man Opfer eines sogenannten Provider Zwangsrouters ist wie der TO mit dem Kabelprovider es ja wie viele andere Kabelkunden und auch einige xDSL Kunden auch ist !
Zitat von @theoberlin:
Die Ports sind die üblichen Verdächtigen die manch leichtfertiger Admin ans Internet hängt. RDP, SNMP, LDAP, SMB
etc.....Ich guck Montag mal was da genau alles durchkommt. Hab noch garnicht gesehen das ne Fritzbox Paketmitschnitt kann ;)
Die Ports sind die üblichen Verdächtigen die manch leichtfertiger Admin ans Internet hängt. RDP, SNMP, LDAP, SMB
etc.....Ich guck Montag mal was da genau alles durchkommt. Hab noch garnicht gesehen das ne Fritzbox Paketmitschnitt kann ;)
schau mal auf welche (genattete) Zieladresse die Scans kommen. wechselnd oder immer dieselbe?
lks
Sofern für die IP Adressen die durchkommen ein Eintrag in der NAT Session Tabelle ist kann das passieren. Wenn eine inbound
IP eine aktive Session hat, dann ist das NAT in der FB für diese Zeit beidseitig offen. Wenn in diesem Moment Portscans
kommen rauschen die natürlich durch. Die Fritzbox ist in der Beziehung ja doof, da sie keine SPI Firewall hat und diese
Portscans so nicht merkt und sich nur auf die NAT Firewall verlässt.
IP eine aktive Session hat, dann ist das NAT in der FB für diese Zeit beidseitig offen. Wenn in diesem Moment Portscans
kommen rauschen die natürlich durch. Die Fritzbox ist in der Beziehung ja doof, da sie keine SPI Firewall hat und diese
Portscans so nicht merkt und sich nur auf die NAT Firewall verlässt.
Wenn das tatsächlich so wäre, hätte mir das bei den Fritzboxen die ich selbst im privatbereich einsetze auffallen müssen. Weder fürher bei den 7170 und 7270 oder aktuell der 7390 ist mir so etwas aufgefallen.
lks
Na ja dazu müsste man auch wenigstens 24 Std. auf dem Routerport mal den Wireshark laufen lassen und dann gleichzeitig auch Traffic von inbound nach outbound erzeugen. Wer macht das schon...?
Der Tip mit dem Check der geNATteten Zieladresse ist aber richtig...
Das große Problem bei den Zwangsroutern ist das so gut wie immer TR-069 dort rennt und die Provider vollen Zugriff haben. Da lässt sich dann nur sehr schwer kontrollieren was die noch auf den Routern laufen lassen, deshalb gehört TR-069 und auch UPnP auch als allererstes abgeschaltet wenn man wirklich auf Nummer sicher gehen will !
Otto Normaluser ist damit aber schon völlig überfordert.
Der Tip mit dem Check der geNATteten Zieladresse ist aber richtig...
Das große Problem bei den Zwangsroutern ist das so gut wie immer TR-069 dort rennt und die Provider vollen Zugriff haben. Da lässt sich dann nur sehr schwer kontrollieren was die noch auf den Routern laufen lassen, deshalb gehört TR-069 und auch UPnP auch als allererstes abgeschaltet wenn man wirklich auf Nummer sicher gehen will !
Otto Normaluser ist damit aber schon völlig überfordert.
Zitat von @aqui:
Na ja dazu müsste man auch wenigstens 24 Std. auf dem Routerport mal den Wireshark laufen lassen und dann gleichzeitig auch
Traffic von inbound nach outbound erzeugen. Wer macht das schon...?
Na ja dazu müsste man auch wenigstens 24 Std. auf dem Routerport mal den Wireshark laufen lassen und dann gleichzeitig auch
Traffic von inbound nach outbound erzeugen. Wer macht das schon...?
/me
lks
PS. ich lass immer einen sniffer mitlaufen, der auf "ungewöhnliches" triggert. Da sollte es schon irgendwann anschlagen.
Zitat von @jens2001:
Das ist doch völlig gequirlte Sch...e!
Eine FB7270 als Kabelmodem???
Wie solldas gehen?
Das ist doch völlig gequirlte Sch...e!
Eine FB7270 als Kabelmodem???
Wie solldas gehen?
Wagrscheinlich ist das nur ein Router der hinter dem Modem sitzt. er sagte ja auch, daß das Ding nur als Router konfiguriert ist.
lks
PS: Wenn die 7270 eh nur der Router ist, warum hängt Ihr dann nciht direkt die friewall an das Modem?
Hi LKS,
Wahrscheinlich aber doch nicht Er sagt doch in seinem OT
Das deutet nirgends auf ein zusätzliches Modem hin.
Und auch sein
deutet nicht auf ein zusätzliches Modem hin.
Auch für mich stellt es sich so dar das sein Frittenschmiede direkt an sein Koax hängt...
Gruß,
Peter
Wahrscheinlich aber doch nicht Er sagt doch in seinem OT
Der Aufbau Kabel Deutschland Koaxialanschluss --> Fritzbox --> Eigentliche Firewall.
Auf die Fritzbox bin ich leider angewiesen da ich kein Kabelmodem gefunden hab und auch die Telefonleitungen der Fritzbox als Backup fungieren
Auf die Fritzbox bin ich leider angewiesen da ich kein Kabelmodem gefunden hab und auch die Telefonleitungen der Fritzbox als Backup fungieren
Und auch sein
Fritzbox ist wie gesagt ein ganz normaler NAT Router mit aktivierter FireWall
Auch für mich stellt es sich so dar das sein Frittenschmiede direkt an sein Koax hängt...
Gruß,
Peter
Hallo,
capture.html oder capture.lua
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt
Gruß,
Peter
Zitat von @theoberlin:
Die Ports sind die üblichen Verdächtigen die manch leichtfertiger Admin ans Internet hängt. RDP, SNMP, LDAP, SMB
Warum hängst du hier nicht einer deiner Meldungen mit dessen genauen Wortlaut hier rein?Die Ports sind die üblichen Verdächtigen die manch leichtfertiger Admin ans Internet hängt. RDP, SNMP, LDAP, SMB
Hab noch garnicht gesehen das ne Fritzbox Paketmitschnitt kann ;)
Habe aber alle Modelle mit AVM Firmwarecapture.html oder capture.lua
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt
Gruß,
Peter
Hallo,
"Alle Türen sind verschlossen und wir haben nur 2 Fenster aufgelassen,
wie man hier einbrechen konnte wissen wir auch nicht."
Und an der Firewall sind auch Ports offen?
Oder wofür sind die Ports an der AVM FB geöffnet?
Gruß
Dobby
Portforwarding ist aktiviert, aber nur für 2 Ports und jeweils als Single Port
Das hört sich für mich so an wie:"Alle Türen sind verschlossen und wir haben nur 2 Fenster aufgelassen,
wie man hier einbrechen konnte wissen wir auch nicht."
Und an der Firewall sind auch Ports offen?
Oder wofür sind die Ports an der AVM FB geöffnet?
Gruß
Dobby
dann lässt die Fritzbox doch auch nur eingehende Verbindungen auf diesem Port zu?
Ja, das ist richtig. Alles andere muss die NAT Firewall blocken.Die Portscans kommen aber auch auf deutlich höheren Portnummern. Heute war z.B 39589, 25539, 17164, 21710 und 8931 dabei.
Sind das Source Ports des Routers ?? Wenn nein und für diese Ports keinerlei Einträge in der NAT Session Table des Routers sind, UPnP deaktiviert ist, dann ist das ein klarer Firmware Bug der FB. Sowas darf niemals sein !Im Wireshark sehe ich auch das die voll bis an die Sonicwall durchrauschen.
Sehr böse... !Morgen werde ich mal die Fritzbox auf Werkszustand versetzen und ne neue Firmware manuell einspielen.
Dringenst solltest du das tun ! Besonders das Update der FW.Wichtig: Im Setup der FB unbedingt UPnP deaktivieren ! Nicht das irgendeine SW im lokalen Netz diese Ports per UPnP öffnet. UPnP gehört auch Routern und insbesondere Firewalls IMMER deaktiviert !
Und auch gleich TR-069 unbedingt deaktivieren.
Wenn dann nochwas durchkommen sollte: FB wegschmeissen und was Anständiges beschaffen.
Zitat von @theoberlin:
Dann hab ich aber immer noch nicht die Zugangsdaten die ich für meinen Kabelanschluss und die VOIP Einwahl brauche. Die
rückt Kabel Deutschland nicht raus. Die werden ausschließlich über TR-069 vom ACS übertragen....
Dann hab ich aber immer noch nicht die Zugangsdaten die ich für meinen Kabelanschluss und die VOIP Einwahl brauche. Die
rückt Kabel Deutschland nicht raus. Die werden ausschließlich über TR-069 vom ACS übertragen....
Dann würde ich denen mal andeuten, daß es auch andere (Telefon-)Anbieter gibt, die nicht so verklemmt sind und der Vertrag mit KD auch nicht ewig läuft.
lks
Hallo,
Also auch eine Glasfaser kann mehr als nur 20 millibit/sec. Euer Internet ist Grotten lahm. Selbst ISDN mit 64 KiloBit/sec ist schneller...
http://de.wikipedia.org/wiki/Gr%C3%B6%C3%9Fenordnung_(Datenraten)
Gruß,
Peter
Also auch eine Glasfaser kann mehr als nur 20 millibit/sec. Euer Internet ist Grotten lahm. Selbst ISDN mit 64 KiloBit/sec ist schneller...
http://de.wikipedia.org/wiki/Gr%C3%B6%C3%9Fenordnung_(Datenraten)
Gruß,
Peter
Hallo,
ich fasse das dann mal eben schnell zusammen so wie ich das jetzt verstanden habe!
Ist das so richtig?
Wenn dem so sein sollte, würde ich einfach einen anderen Router nehmen
der das auch mittels Load Balancing ausbalancieren kann!
Also sprich einen Multi WAN Router wie z.B.;
- Draytek Vigor3900
- MikroTik CCR1036
- Eigenbau Firewall pfSense
Gruß
Dobby
ich fasse das dann mal eben schnell zusammen so wie ich das jetzt verstanden habe!
Telekom bringt nur VDSL 25 welche ich aber auch als Backup habe.
Erster Internetzugang mit 25 MBit/sServer sind über eine 20 mbit Glasfaser drann.
Zweiter Internetzugang mit 20 MBit/sAber ich brauch unheimlich viel downloadkapazität und die kommt nunmal nur
über die 100mbit coaxialleitung von Kabel Deutschland.
Dritter Internetzugang mit 100 MBit/süber die 100mbit coaxialleitung von Kabel Deutschland.
Ist das so richtig?
Wenn dem so sein sollte, würde ich einfach einen anderen Router nehmen
der das auch mittels Load Balancing ausbalancieren kann!
Also sprich einen Multi WAN Router wie z.B.;
- Draytek Vigor3900
- MikroTik CCR1036
- Eigenbau Firewall pfSense
Gruß
Dobby
Dann hab ich aber immer noch nicht die Zugangsdaten die ich für meinen Kabelanschluss und die VOIP Einwahl brauche. Die rückt Kabel Deutschland nicht raus.
Falsch ! Die rücken sie mit entsprechendem Druck den man machen muss schon raus. Dazu sind sie gesetzlich verpflichtet.Außerdem gbt es für den Fall der Fälle wenn sie sich partout weigern immer noch den Wireshark, denn die Zugangsdaten sind NICHT verschlüsselt
Zitat von @theoberlin:
Okay selbst mal angenommen das wäre so wüsste ich nicht was es für Kabel Modems gibt.
Und WireShark wird da nicht klappen da ich mich ja nicht zwischen Router und Modem hängen kann...
Okay selbst mal angenommen das wäre so wüsste ich nicht was es für Kabel Modems gibt.
Und WireShark wird da nicht klappen da ich mich ja nicht zwischen Router und Modem hängen kann...
Die Fritzbox kann die Pakete selbst mitschneiden.
lks
Ja,
Du mußt nur das richtige Interface wählen (unter Internet).
lks
Und WireShark wird da nicht klappen da ich mich ja nicht zwischen Router und Modem hängen kann...
Doch, das klappt aber nur wenn Modem und Router 2 getrennte Geräte sind.Oder...wenn dein Router einer ist der intern solche Dbugging Möglichkeiten hat. Bessere Systeme wie FB, Lancom, Cisco usw. können das immer !