mysticfoxde
Goto Top

Steigende Scan- und Angriffsintensität auf Internetanschlüsse seitens Russland

Moin Zusammen,

ich habe mir gestern und heute die Logs von diversen SGW‘s unserer Kunden auf mögliche Angriffsspuren durchgesehen und musste dabei feststellen, dass insbesondere die Scann- und Angriffsintensität mit der die entsprechenden Internetanschlüsse konfrontiert werden, in den letzten Tagen und insbesondere seitens Russlands, leider merklich zugenommen hat. ๐Ÿ˜”

Wenn ich mir die Logauszüge der letzten 48 Stunden von den 14 SGW’s, die quer über das Land verteilt und über diverse Provider angebunden sind, nun genauer anschaue, dann stechen immer wieder dieselben Akteure ins Auge.
Die einen „kartographieren“/“katalogisieren“ mit sehr ausgeklügelten Scannverfahren und auch ordentlich HW-Power dahinter, die entsprechenden Internetanschlüsse, respektive die darüber erreichbaren Dienste und die anderen versuchen dann, mal mehr mal weniger gezielt, die erreichbaren Dienste anzugreifen. ๐Ÿคฎ

Und ja, das Ganze ist eigentlich nichts neues, die Intensität mit der das aktuell und insbesondere seitens Russland aber auch z.B. seitens China geschieht, finde ich mittlerweile schon sehr besorgniserregend. ๐Ÿ˜”

Wie geht ihr eigentlich mit solchen Dingen um?
Sprich, überwacht/monitort ihr aktiv Scann- oder Angriffsversuche auf euren Internetanschlüssen überhaupt?

Wenn ja, wie und was sagen eure Logs zu der jetzigen Situation?

Gruss Alex

Content-ID: 21774154469

Url: https://administrator.de/contentid/21774154469

Printed on: November 12, 2024 at 08:11 o'clock

MysticFoxDE
MysticFoxDE May 24, 2024 at 14:40:24 (UTC)
Goto Top
Moin Zusammen,

an alle Besitzer einer Sophos XG/XGS!
Damit ihr in den Logs die entsprechenden und hoffentlich auch nur geblockte Zugriffsversuche auch vollständig sehen könnt, müsst ihr bei den Logeistellungen der XG/XGS, noch die folgenden Optionen aktivieren.
sophos xg-xgs log-settings
๐Ÿ˜‰

Und nein, per Default sind diese Optionen leider aus. ๐Ÿ˜”

Gruss Alex
kreuzberger
kreuzberger May 24, 2024 at 14:42:48 (UTC)
Goto Top
@MysticFoxDE

Ich hab Windows 95, das ist so alt, das verstehen moderne Viren nicht.
๐Ÿคž

Kreuzberger
maretz
maretz May 24, 2024 at 14:44:24 (UTC)
Goto Top
Wie ich damit umgehe - Fail2Ban aufm Server und wenn mir grössere Dinge auffallen gleich den ganzen IP-Range blocken sofern aus dem Bereich da nix sinnvolles zu erwarten ist. Nachteil sind da natürlich die ganzen CDN-Dinger, aber zumindest die Kiddys bekommt man so schon recht gut raus...
ManuManu2021
ManuManu2021 May 24, 2024 updated at 14:51:16 (UTC)
Goto Top
hat jemand Erfahrung mit "SOC Outsourcing" z.B. bei Watchguard und ESET? (also für KMUs unter 100 Seats)
https://www.watchguard.com/wgrd-products/managed-services
https://www.eset.com/de/business/services/managed-detection-and-response ...
Mir scheint es gibt sehr viele Anbieter.
@MysticFoxDE - Geoblocking hast du aktiviert nehme ich an.
ThePinky777
ThePinky777 May 24, 2024 at 14:54:44 (UTC)
Goto Top
Sophos Country Blocking, sofern das Buisness nix mit Russland/China/Südamerika oder sonstigen zu tun haben.
Aber aus USA kommen auch so scanns... da hat man nur das Problem mit dem Block das irgend ein Cloud dreck dann nicht mehr korrekt geht... daher ist das am schwersten zu filtern face-smile
Lochkartenstanzer
Lochkartenstanzer May 24, 2024 at 15:06:06 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Und ja, das Ganze ist eigentlich nichts neues, die Intensität mit der das aktuell und insbesondere seitens Russland aber auch z.B. seitens China geschieht, finde ich mittlerweile schon sehr besorgniserregend. ๐Ÿ˜”


Moin,

Die weißt, daß Attributierung über IP-Adressen sehr schwierig ist. Man kann mit diesen Logs nur sagen, daß die IP-Adressen Rußland und China zugeteilt wurden. Ob da nun die Russen, Chinesen, Bratwa, Triaden, Kamasutra oder die bösen Nordkoreaner dahinterstecken, kann man da eigentlich nicht herauslesen, ist aber für die Behandlung völlig unerheblich.


Wie geht ihr eigentlich mit solchen Dingen um?

Ganz einfach: ip-Adressbereiche (=ggf, ganze ASNs) an der Firewall blockieren, wenn man in den entsprechenden Ländern keine Geschäftspartner hat.

Sprich, überwacht/monitort ihr aktiv Scann- oder Angriffsversuche auf euren Internetanschlüssen überhaupt?

Ja.


Wenn ja, wie und was sagen eure Logs zu der jetzigen Situation?


Bisiness äs uschual würde der Angelsaxe sagen. Die Katalogisierung fand schon immer statt, schon im letzten Jahrtausend. Man hat dann auch gesehen, daß bei Bekanntwerden von Einfallstoren diese sehr schnell versucht wurden auszunutzen. Wenn man da keine weiter Schutzmechanismen hatte, mußte man darauf achten vor den bösen Buben an die Informationen zu kommen, was nicht immer leicht war.

Es hilft daher, mehrere Maßnahmenpaket bereitzuhalten. Dienste nur auf Regionen/ASNs zu begrenzen, mit denen sie Kontakt haben dürfen, die Dienste selbst extra abzusichern, etc.

Letztendlich ist das nichts anderes als das normale Tagewerk eines Security-Admins.

lks
MysticFoxDE
MysticFoxDE May 24, 2024 at 15:07:29 (UTC)
Goto Top
Moin @maretz,

Wie ich damit umgehe - Fail2Ban aufm Server

das wolltest du zwar nicht, aber damit schüttest du mir nur Salz in eine grosse und alte Wunde. ๐Ÿ˜ญ
Denn ich war schon vor etlichen Jahren bei der ITSA auf dem Stand von Sophos und habe förmlich darum gebettelt, dass die endlich Fail2Ban in die XG's integrieren und bis heute ist diesbezüglich leider nichts geschehen. ๐Ÿ˜”

und wenn mir grössere Dinge auffallen gleich den ganzen IP-Range blocken sofern aus dem Bereich da nix sinnvolles zu erwarten ist. Nachteil sind da natürlich die ganzen CDN-Dinger, aber zumindest die Kiddys bekommt man so schon recht gut raus...

Die "grösseren Dinge" blocken wir gleich per Country Blocking weg, sprich, Russland, China, Nord Korea, u.s.w.

Gruss Alex
MysticFoxDE
MysticFoxDE May 24, 2024 at 15:15:27 (UTC)
Goto Top
Moin @ManuManu2021,

hat jemand Erfahrung mit "SOC Outsourcing" z.B. bei Watchguard und ESET? (also für KMUs unter 100 Seats)
https://www.watchguard.com/wgrd-products/managed-services
https://www.eset.com/de/business/services/managed-detection-and-response ...

+- dasselbe gibt es auch von Sophos ... und nein, momentan bin ich von diesen, meistens zu sehr marketingaufgeblasenen SaaS-Diensten, nicht wirklich sehr begeistert. ๐Ÿ˜”

@MysticFoxDE - Geoblocking hast du aktiviert nehme ich an.

Natürlemo. ๐Ÿคช
Und seit neustem blocken wir pauschal auch z.B. alle (uns bekannten) Tor-Exitnodes und insbesondere die in Deutschland, damit die Schlingel damit nicht so einfach das Geoblocking umgehen können.

Gruss Alex
MysticFoxDE
MysticFoxDE May 24, 2024 at 15:20:02 (UTC)
Goto Top
Moin @ThePinky777,

Sophos Country Blocking, sofern das Buisness nix mit Russland/China/Südamerika oder sonstigen zu tun haben.

so machen wird das mitunter auch, + noch ein paar andere ๐ŸฆŠsereien, wie z.B. das mit dem bereits erwähnten Blocken von Tor-Exitnodes.

Aber aus USA kommen auch so scanns... da hat man nur das Problem mit dem Block das irgend ein Cloud dreck dann nicht mehr korrekt geht... daher ist das am schwersten zu filtern face-smile

Ja, mit diesem Problem haben wir leider auch sehr oft zu kämpfen. ๐Ÿ˜”

Gruss Alex
MysticFoxDE
MysticFoxDE May 24, 2024 updated at 15:48:03 (UTC)
Goto Top
Moin @Lochkartenstanzer,

Die weißt, daß Attributierung über IP-Adressen sehr schwierig ist. Man kann mit diesen Logs nur sagen, daß die IP-Adressen Rußland und China zugeteilt wurden. Ob da nun die Russen, Chinesen, Bratwa, Triaden, Kamasutra oder die bösen Nordkoreaner dahinterstecken, kann man da eigentlich nicht herauslesen, ist aber für die Behandlung völlig unerheblich.

das ist mir schon bewusst, daher habe ich die eine oder andere Quelle, ja auch schon etwas genauer "verifiziert".
Und den Rest soll jetzt bitte der BSI/BND machen, denen ich vorher schon etwas detailliertere Infos zugesteckt habe. Die sind da etwas breiter aufgestellt und eigentlich eher für solche Themen und auch entsprechende Gegenmaßnahmen verantwortlich.

Letztendlich ist das nichts anderes als das normale Tagewerk eines Security-Admins.

Schon ... aber es sind stand heute jedoch auch > 80 Millionen Internetanschlüsse alleine in Deutschland zu schützen und dafür gibt es in unserem Land nicht mal ansatzweise ausreichend Security-Admins, zumindest wenn wir den Schutz dieser Internetanschlüsse, weiterhin dezentral, sprich, auf das ganze Land gesehen, eigentlich absolut unzureichend leben. ๐Ÿ˜”

Gruss Alex
13034433319
13034433319 May 24, 2024 updated at 15:49:13 (UTC)
Goto Top
CountryBlock, Tor-Block, Fail2Ban, und Rate-Limit, fertsch.
Hier kommt gerade viel über das AS aus Hongkong (CHANGWAY), gern genutzt von den Russen.
11020714020
11020714020 May 24, 2024 at 16:03:13 (UTC)
Goto Top
Seit dem 23.05.2024 gegen etwa 8 Uhr stehen mehrere deutsche Webseiten auf der Zielliste des pro-russischen DDoSNetzwerks DDoSia.

Ursprünglich waren eigentlich nur wenige Adressen im Fokus. Kann gut sein, dass sich das ausgedehnt hat.
em-pie
em-pie May 24, 2024 at 17:57:45 (UTC)
Goto Top
Das könnte das Verhalten div. Seiten in den letzten 1-2 Tage erklären…
  • heise.de
  • Teamviewer
Und im WWW finden sich noch weitere Seiten…
Dani
Dani May 24, 2024 updated at 17:58:55 (UTC)
Goto Top
Moin,
Wie geht ihr eigentlich mit solchen Dingen um?
das Grundrauschen interessiert uns nicht. Das hast du immer und wird auch immer vorhanden sein.
Immer wieder werden Subnetze oder ganze AS (BGP) gesperrt. Und zwar nicht an unserer Firewall, sondern durch unseren ISP. Schließlich ist Bandbreite auch ein Kostenpunkt. Der Traffic der nicht da ist, fließt nicht in die Statistik ein. face-wink

Sprich, überwacht/monitort ihr aktiv Scann- oder Angriffsversuche auf euren Internetanschlüssen überhaupt?
Natürlich. Dafür gibt es ein SOC + NOC + NOC unseres ISP.

Seit dem 23.05.2024 gegen etwa 8 Uhr stehen mehrere deutsche Webseiten auf der Zielliste des pro-russischen DDoSNetzwerks DDoSia.
Entweder hat der Betreiber der Internetseite am DDoS Schutz gespart oder aber der DDoS Schutz des Hosters ist dafür nicht ausgelegt bzw. einfach zu klein.


Gruß,
Dani
MysticFoxDE
MysticFoxDE May 24, 2024 at 18:01:51 (UTC)
Goto Top
Moin @11020714020,

Seit dem 23.05.2024 gegen etwa 8 Uhr stehen mehrere deutsche Webseiten auf der Zielliste des pro-russischen DDoSNetzwerks DDoSia.

du meinst sicherlich die "MIRhosting" & "Stark Industries Solutions Ltd", ja, die Ar......... habe ich auch schon auf dem Schirm. ๐Ÿ˜”

Hast du vielleicht eine aktuelle Auflistung deren IP-Bereiche schon irgendwo entdeckt?

Für alle anderen denen die oberen Begriffe bisher nicht sagen.
https://correctiv.org/faktencheck/russland-ukraine/2024/05/16/hacks-und- ...
https://krebsonsecurity.com/2024/05/stark-industries-solutions-an-iron-h ...

Gruss Alex
11020714020
11020714020 May 24, 2024 at 21:01:13 (UTC)
Goto Top
Entweder hat der Betreiber der Internetseite am DDoS Schutz gespart oder aber der DDoS Schutz des Hosters ist dafür nicht ausgelegt bzw. einfach zu klein.

Die Aussage ist schnell getroffen und in durchaus nicht unwesentlichen Fällen ist diese auch berechtigt, aber je nachdem wie ein Angriff aufgebaut ist (auch bei DDoS) ist die Kritik nicht unbedingt gerechtfertigt. Da sind schon große Pferde kotzen gegangen bei komplexe(re)n Angriffen, bei denen nun wahrlich an SzA und Abwehr nicht gespart wird.

So sehr ich für Security einstehe, so sehr habe ich auf der anderen Seite die allberühmte Verhältnismäßigkeit im Blick. In unserem / meinem Fall bedeutet das, dass ich zur Not einfach die Leitung kappen lasse ("Kabel abstöpseln"), da selbst für uns, (und ich würde behaupten, wir sind wirklich gut aufgestellt) eine Risiko-Mitigation zu angemessenen Kosten nicht mehr möglich ist (das können auch die "Global Player" nicht, wie MS, Amazon, Google):

Und schon gar nicht könne die das, da sie selbst keine Carrier sind, die faktisch auf den "Leitungen" sitzen, da sind Amazon & Co. auch nur Kunden.

Der richtige Ansatz wäre daher, dass die Carrier in solchen Fällen eingreifen. Aber die sehen sich ja nur zu gerne als "dumme" Transporteure und nicht als aktive Betreiber und berufen sich dabei zu gerne auf die allbekannte "Netzneutralität" bzw. sind auch gesetzlich dazu gezwungen (nein, ich diskutiere diese Themen nicht mehr mit der BNetzA face-wink).
commodity
commodity May 24, 2024 at 23:52:03 (UTC)
Goto Top
Wie geht ihr eigentlich mit solchen Dingen um?
Meine Router denken nicht national face-wink
Die beäugen eine Reihe Ports und wenn sich da innerhalb einer definierten Zeitspanne eine nicht explizit erlaubte Source-IP einige Male auf einen oder mehrere von diesen einzuwählen versucht, wird er geblockt.
Ein prima Feature auch, um sich selbst auszusperren, wenn man das vergessen hat und was testet. face-big-smile

Ist im Alltag ohnehin mehr Kosmetik, denn solange nicht ein gezielter Angriff gefahren wird juckt das den Router nicht und wer mich gezielt lahmlegen will, schafft das wahrscheinlich auch.

Direkt im WWW hängende Server sind alle Linux und haben natürlich Fail2Ban an Bord.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE May 25, 2024 at 06:05:17 (UTC)
Goto Top
Moin @11020714020,

Der richtige Ansatz wäre daher, dass die Carrier in solchen Fällen eingreifen.

๐Ÿ‘๐Ÿ‘๐Ÿ‘
Genau so sehe ich das auch!

Denn zu glauben, dass sich jeder der Anschlussinhaber schon selber ausreichend wehren könnte, von denen jedoch >~ 99,5% nicht wirklich eine Ahnung von IT-Security haben, ist meiner Ansicht nach schlichtweg grob fahrlässig!
Das mit grob fahrlässig meine ich jedoch nicht Richtung den Carrier, sondern eher Richtung des Staates, sprich, Richtung unserer Regierung, die eigentlich für die Sicherheit der Bürger der Hauptverantwortliche ist.

Aber die sehen sich ja nur zu gerne als "dumme" Transporteure und nicht als aktive Betreiber und berufen sich dabei zu gerne auf die allbekannte "Netzneutralität" bzw. sind auch gesetzlich dazu gezwungen (nein, ich diskutiere diese Themen nicht mehr mit der BNetzA face-wink).

Das Internet war noch nie neutral und wird es auch nicht wirklich so schnell werden, solange wir Menschen so sind wie wir momentan eben sind, sprich, nicht wirklich neutral/friedlich! ๐Ÿ˜”

Daher ist das mit der "Netzneutralität" zwar ein schöner Wunschgedanke, real umsetzen lässt sich dieser in der jetzigen Zeit jedoch nicht wirklich. Zumindest nicht ohne dabei auch gleichzeitig die Mehrheit der Bürger dadurch massiv zu gefährden. Siehe jetzige Lage, in der mittlerweile so gut wie kein Tag ohne eine Meldung vergeht, dass irgendwo in der Republik mal wieder irgend eine Behörde/Schule/Unternehmen, gehackt wurde. ๐Ÿ˜ญ

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lagebe ...
"Im Bericht für das Jahr 2023 kommt die Cybersicherheitsbehörde des Bundes zum Fazit: Die Bedrohung im Cyberraum ist so hoch wie nie zuvor."

Ich wette übrigens, dass im Bericht vom Jahr 2024 wieder was ähnliches stehen wird, sprich, das die Lage im vergleich zum Vorjahr, noch dramatischer geworden ist. ๐Ÿ˜”

Und genau so wird es meiner Ansicht nach auch weitergehen. Zumindest solange wir insbesondere weiterhin, die nicht wirklich vorhandene Netzneutralität anbeten und auch weiterhin daran glauben, dass wir bei einem jetzt schon katastrophalen IT-Security-Fachkräftemangel, die Lage doch noch irgendwie dezentral in den Griff bekommen könnten.

Gruss Alex
Starmanager
Starmanager May 25, 2024 at 17:51:26 (UTC)
Goto Top
Beim sperren auch die Tor Nodes mit einbeziehen. Haben das diese Woche zusaetzlich auf der Foritnet aktiviert.
MysticFoxDE
MysticFoxDE May 26, 2024 updated at 07:03:17 (UTC)
Goto Top
Moin Zusammen,

ich habe gestern bei einer der XGS, die am WAN-Anschluss eingehenden Scann- & Angriffsversuche über einen Zeitraum von 4 Stunden etwas genauer analysiert, insbesondere die, die aus dem USA IP-Raum stammen und dabei sind mir weitere unangenehme Details aufgefallen. ๐Ÿ˜”

Zum Beispiel das folgende ...

charter communications inc 01

... ein grösserer Teil der Angriffsversuche kommen über die "Charter Communications Inc" und die wurden im Jahr 2022 ...

https://www.enterprotect.com/resource-center/telecom-giant-charter-commu ...

... wohl auch ordentlich gehackt.

Und so wie es aussieht, war die "Charter Communications Inc" bei weitem nicht das einzige Opfer.

https://www.kelacyber.com/wp-content/uploads/2023/12/Telecom-sector-.pdf



att 01

und das ist nur ein kleiner Auszug … ๐Ÿ˜ญ

Des Weiteren kommen sehr viele Scann- & Angriffsversuche über die Infrastruktur von Google, Amazon & CO rein, was mich zu der Annahme bewegt, dass in deren Rechenzentren, wohl auch ein guter Haufen „gekaperter“ Systeme laufen. ๐Ÿ˜”

Und eines haben so gut wie alle Quell-IP’s, die für die momentanen Scans und Angriffe verwendet werden übrigens auch gemeinsam …

https://www.abuseipdb.com/check/75.82.64.49?page=87#report
https://www.abuseipdb.com/check/52.15.109.126?page=286#report

… und zwar die Tatsache, dass die meisten davon erst ab ~ 2022 „auffällig“ wurden.

Dann kommt noch der Punkt dazu, dass sich bei abuseipdb.com, über die Scans und Angriffe die über die entsprechenden IP’s laufen, komischerweise nur User aus den „westlichen“ Ländern beschweren und keine aus Russland oder mit diesem befreundeten Ländern, wie z.B. China.

Bei den ganzen Indizien, ist es nun glaube ich nicht mehr wirklich so schwer 1+1 richtig zusammenzuzählen.
Sprich, ja, die Lage sieht leider noch viel düsterer aus. ๐Ÿ˜”๐Ÿ˜ญ

Gruss Alex
MysticFoxDE
MysticFoxDE May 26, 2024 at 07:20:50 (UTC)
Goto Top
Moin @Starmanager,

Beim sperren auch die Tor Nodes mit einbeziehen.

du meinst wegen "nach aussen" telefonieren, oder?

Haben das diese Woche zusaetzlich auf der Foritnet aktiviert.

Haben die Fortis dafür etwa eine vorgefertigte Liste oder hast du selber etwas erstellt?

Übrigens, als zusätzlichen "Torhüter" (mögliche Schutzmassnahme), würde ich noch gerne eine weitere Empfehlung loswerden.

Und zwar sollte man sein System, hin und wieder auch mal zusätzlich mit "Thor" oder wenigstens "Thor-Lite" ...

https://www.nextron-systems.com/thor/
https://www.nextron-systems.com/thor-lite/ (kostenlos)

... oder vergleichbarem scannen. ๐Ÿ˜‰

Gruss Alex
kreuzberger
kreuzberger May 26, 2024 at 09:44:50 (UTC)
Goto Top
Moin @MysticFoxDE

deine Beobachtungen sind bemerkenswert besorgniserregend.

Leider wird man bei den meisten Admins keine tieferen Kenntnisse finden, was da wirklich passiert und ob deren Firewalls gleichermaßen angegriffen oder gar längst geknackt sind.

Es wäre daher schon toll, wenn man irgendwie, ich weiß, das es schwierig ist, eine Anleitung hätte, wie man das auf anderen gängigen Firewalls erkennen kann, was du auf deiner Sophos siehst.

Bei mir hier z b. steht eine kleine alte Ubiquiti Unifi Security Gateway USG, die ja sehr verbreitet ist. Ich hätte jetzt auch nicht so den Blick dafür, das mal zu „beschnüffeln“, was da am Aussenport vor sich geht. (Es gibt hier kein VPN).
Ohnehin gibt es unzählige Unternehmen, wo einfach eine Fritzbox genutzt wird.
Gibt es da ggf. Seiten im Internet, wo man das nachlesen kann, beim BSI z b.?

Danke
Kreuzberger
aqui
aqui May 26, 2024 at 14:09:08 (UTC)
Goto Top
Bei Cisco Routern mit Zone based Firewall Setup reicht es z.B. das Logging von blockiertem Traffic zu aktivieren was im Default deaktiviert ist.
parameter-map type inspect global
alert on
log dropped-packets

On Top kann man diesen Traffic auch per NetFlow auswerten und visualisieren.
MysticFoxDE
MysticFoxDE May 26, 2024 at 15:58:41 (UTC)
Goto Top
Moin @kreuzberger,

Leider wird man bei den meisten Admins keine tieferen Kenntnisse finden, was da wirklich passiert und ob deren Firewalls gleichermaßen angegriffen oder gar längst geknackt sind.

das ist genaugenommen aber auch schon eine sehr besorgniserregende Aussage. ๐Ÿ˜”

Es wäre daher schon toll, wenn man irgendwie, ich weiß, das es schwierig ist, eine Anleitung hätte, wie man das auf anderen gängigen Firewalls erkennen kann, was du auf deiner Sophos siehst.

Das würde ich sehr gerne machen, jedoch ist das alles andere als einfach. ๐Ÿ˜”
Denn bei so gut wie jedem Router/FW/NGFW/SGW Hersteller, sieht das Verfahren für die entsprechende Datenbeschaffung, leider etwas anders aus.
Und bei vielen, vor allem den Hersteller der 0815 Router, die millionenweise an den Privatanschlüssen hängen, ist eine solche Analyse leider noch um Welten schwieriger als z.B. bei einer Sophos XG/XGS oder auch einer FortiGate.

Bei mir hier z b. steht eine kleine alte Ubiquiti Unifi Security Gateway USG, die ja sehr verbreitet ist. Ich hätte jetzt auch nicht so den Blick dafür, das mal zu „beschnüffeln“, was da am Aussenport vor sich geht. (Es gibt hier kein VPN).

Ich kenne die Ubiquiti Unifi Geräte leider nicht wirklich so gut, daher kann ich dir diesbezüglich auch nicht wirklich den richtigen Tipp geben. Ich hoffe jedoch, dass sich hier der eine oder andere Kollege findet, der sich damit besser auskennt und diese Frage dann auch etwas gezielter beantworten kann.

Wenn ich den Artikel hier richtig verstehe ...
https://help.ui.com/hc/en-us/articles/204959834-UniFi-Advanced-Logging-I ...
... dann ist das bei deinem USG aber auch nicht so einfach.

Ohnehin gibt es unzählige Unternehmen, wo einfach eine Fritzbox genutzt wird.

Ach ja, die FritzBox, haben meine Eltern auch an ihrem Anschluss dran hängen und ja, die habe ich mir erst heute morgen mal genauer angesehen.

Die Analyse der Scann- und Angriffsversuche, ist auf einer Fritzbox jedoch alles andere als einfach und nur mit bordmitteln auch nicht wirklich möglich.

Denn das einzige was ich bei der Fritze in die Richtung machen kann, ist über die folgende etwas versteckte Seite ...

http://fritz.box/#cap

einen Mitschnitt aller Datenpakete auf deren Internet Schnittstelle zu starten, der schneidet jedoch sämtlichen Datenverkehr mit.

Sprich, anschliessend muss man den Mitschnitt mit Wireshark entsprechend filtern und analysieren, was je nach aufkommendem Datenverkehr nicht wirklich ohne ist. ๐Ÿ˜”

Ich habe mir heute und trotzt Sonntag dennoch die Mühe gemacht und habe den eingehenden Datenverkehr, eines ganz normalen privaten Telekom DSL Anschlusses meiner Eltern über eine Stunde lang aufgezeichnet und habe danach die Daten per Wireshark ausgewertet.
Das Ergebnis ist leider sehr ernüchternd, den auch der Anschluss meiner über 70 Jahre alten Eltern der mit einer dynamischen IP läuft, wird von denselben Akteuren, genau so gescannt und auch angegriffen, wie die Businessanschlüsse unserer Kunden die mit festen IP's laufen. ๐Ÿ˜ฑ๐Ÿ˜ญ

Gibt es da ggf. Seiten im Internet, wo man das nachlesen kann, beim BSI z b.?

Das BSI stellt schon einige Dokumente bereit, wie man forensische Untersuchungen machen kann. Die sind jedoch nicht wirklich auf dieses Scenario ausgelegt. Zumindest habe ich bisher noch keine Doku entdeckt, wo gezielt ein solches Analyseverfahren beschrieben wurde. ๐Ÿ˜”

Was nicht ist, kann aber noch werden, sprich, ich versuche das BSI mal etwas in diese Richtung zu stupsen.

So, jetzt muss ich aber auch noch a bissale nach meinen beiden Hausdrachen schauen. ๐Ÿคช

Gruss Alex
commodity
commodity May 26, 2024 at 17:43:56 (UTC)
Goto Top
Sprich, ja, die Lage sieht leider noch viel düsterer aus. ๐Ÿ˜”๐Ÿ˜ญ
Klärt mich doch bitte auf, wo das Problem liegt. Dass WAN-seitig "Angriffe" (gemeint sind hier wohl eher Scans und Login-Tries - die aus aller Welt) erfolgen, ist ja nun eine Binsenweisheit. Ebenso sind die für Schwiegereltern (oder andere Fritzbox-Kunden) doch im Prinzip egal, denn die "Angriffe" kommen ja, (zumindest bei IPv4) nicht durchs NAT, es sei denn, die Leute sind so naiv und öffnen irgendwelche Fritzbox-Dienste nach außen.

Gleiches gilt im Prinzip für die Unternehmensnetzwerke. Die haben eine Firewall (oder eine Fritzbox face-smile ) - und für freigegebene Dienste angemessene weitere Schutzmaßnahmen (Fail2ban lässt grüßen). Auch hat die Sophos mit solchen "Angriffen" doch wohl ebenso wenig ein Problem, wie meine Mikrotiks (die im Übrigen auch fein alles loggen und das an den Log-Server schicken, wo man weiter auswerten könnte (was ich bislang nicht brauche)). Jeder einfache Paketfilter sollte mit dieser Art "Angriff" zurecht kommen.

Interessant wird es doch erst,

  • wenn DDoS ins Spiel kommt, weil Dich z.B. ein Botnetz (wirklich) angreift. Das wird bei Omi Trude ja nun kaum der Fall sein. Unternehmen, die das nicht aushalten, mal eine Weile offline zu sein, werden sich da aktiv schützen. Alle anderen werden eben dann aktiv, wenn der Angriff sich auf die Performance auswirkt.
  • wenn BruteForce auf schwache Absicherung trifft. Dagegen hilft aber kein Security by Obscurity (wozu auch Geoblocking IMO gehört), sondern Schutzmaßnahmen an den offenen Diensten.

Also, was ist jetzt das konkrete Problem, dass aus den im Eingangspost festgestellten Logmeldungen resulitiert?

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE May 26, 2024 at 19:22:24 (UTC)
Goto Top
Moin @commodity,

Also, was ist jetzt das konkrete Problem, dass aus den im Eingangspost festgestellten Logmeldungen resulitiert?

würde es dir den gefallen, wenn ständig jemand um dein Haus schleichen und schauen würde, wo eine Möglichkeit besteht, in diese einzubrechen?

Und würde es dir auch egal sein, wenn jemand ständig versuchen würde deine Haustür aufzubrechen um an deine Geheimnisse zu kommen und oder deine Bude zu verwüsten?

Sprich, ich denke nicht, dass es dir in der "analogen" Welt so egal währe und nur weil man das in der digitalen Welt nicht so sehr mitbekommt, bedeutet das noch lange nicht, dass es weniger schlimm/gefährlich ist. ๐Ÿ˜”
Vor allem dann nicht, wenn es nicht nur um die Bespitzelung und Einbruchsversuche von nur einem Haus geht, sondern so gut wie jedes Haus, sprich, so gut wie jeden Bürger/Unternehmen/Behörde in diesem Land betrifft! ๐Ÿคจ

Gruss Alex
commodity
commodity May 26, 2024 updated at 21:14:29 (UTC)
Goto Top
Hallo Alex,
mal davon abgesehen, dass der Vergleich hinkt, wie ich nach 10 km joggen und
auch mal davon abgesehen, dass Du meine Frage (leider mal wieder) sogleich interpretierst ("egal"), statt sie einfach zu beantworten. Ich habe nicht gesagt, dass mir etwas egal ist, ich habe gesagt, dass ich das thematisierte Problem nicht nachvollziehen kann:
würde es dir den gefallen, wenn ständig jemand um dein Haus schleichen und schauen würde, wo eine Möglichkeit besteht, in diese einzubrechen?
Willkommen in meinem Leben. Ich wohne in Berlin face-big-smile
Und würde es dir auch egal sein, wenn jemand ständig versuchen würde deine Haustür aufzubrechen
Niemandem ist das egal, aber hier sind wir beim hinkenden Vergleich:

In der analogen Welt ist das handelbar, notfalls mit Schutzmaßnahmen, aufmerksamen Nachbarn, Wachschutz, Polizeieinsätzen usw.
Im Internet ist die Erreichbarkeit der "Haustür" für alle von überall hingegen eine gewollte Funktion. It's a feature face-big-smile. Jeder soll mit jedem von überall möglichst ohne Hindernisse kommunizieren können. Das ist das Prinzip des WWW. Dass dieses missbraucht wird, wird angesichts bestehender (ausreichender) Schutzmöglichkeiten hingenommen. Wer daran teilnehmen möchte, kann und muss sich schützen - und das ist ja nun auch nicht schwierig, wie das Beispiel Fritzbox oben schon zeigt. Und Dir als Profi muss ich auch nicht sagen, dass man etwaige im Internet angebotene Dienste schützen muss - und auch das ist, jedenfalls für den "normalen" Usecase, auch nicht so schwierig. Wie schon der andauernde Fortbestand des gesamten Systems trotz all dieser (meinetwegen zunehmenden) "Angriffe" belegt. Für verbleibende Restrisiken gibt es ein Backup.

Etwas anderes zu erwarten - vielleicht gar durch Kontrollen, Auflagen, Eingriffe/Anordnungen vom Staat, wäre der Ruf nach Verbotspolitik, da höre ich jetzt schon wieder den Aufschrei. Zumal in einem Land, in dem selbst heute noch die freie Fahrt auf der Autobahn sakrosankt ist face-wink
Um gleich mal unpassend analog zu bleiben: Wollen wir jetzt alle 2km eine Straßensperre haben, weil wir wissen, dass auf unseren Straßen eine respektable Menge krimineller, betrunkener, zugekiffter, überforderter, übermüdeter, aggressiver, rücksichtsloser oder schlicht ungeeigneter Fahrer unterwegs ist - die direkt sogar unsere Leben und Gesundheit (und die unserer Lieben) bedrohen, nicht nur unsere Daten? Und real ja auch dort jeden Tag eine Menge passiert? Nein, das wollen wir (dennoch) sicher nicht.
Die Politik wird sich dann einzuschalten haben, wenn tatsächlich ein Problem besteht. Und das tut sie durchaus auch. Soweit durch die Justiz erreichbar, werden immer wieder auch Botnetze, Hackingzentren oder Spamschleudern stillgelegt.

Du thematisierst hier aber primär ein mulmiges Gefühl. Das kann Dir keiner abnehmen, außer Du Dir selbst face-smile
Dass sich Gefahren realisieren ...
dass irgendwo in der Republik mal wieder irgend eine Behörde/Schule/Unternehmen, gehackt wurde. ๐Ÿ˜ญ
... ist IMO kein Argument. Das tun sie auch täglich an der von Dir herangezogenen (analogen) Haustür. Es fallen auch Leute täglich von der Leiter. Soll der Staat da jetzt die Leiterfangmatte anordnen?
Wir Admins wissen es doch:
Wenn eine Behörde/Schule/Unternehmen, gehackt wurde, sind administrative Fehler oder grobe Benutzerfehler gemacht worden. Oft genug sind Risiken ignoriert oder kleingeredet worden. Fast alle lächeln den Hinweis auf die Risiken schlechter und/oder mehrfach verwendeter Passwörter, selbstverständlich unter der Schreibtischmatte oder im Browser hinterlegt, weg. Vielleicht beschämtes Nicken. Konsequentes Handeln? Fehlanzeige. Man möchte die Vorteile der Technologie, aber nicht den Aufwand dafür, damit umzugehen. Wer jetzt genau soll die Leute wir vor ihrer eigenen Nachlässigkeit schützen?

Wer einen Dienst ins Internet stellt (wer es sich nicht zutraut, könnte es ja auch lassen) und diesen nicht schützt, verhält sich wie jemand, der mit geschlossenen Augen und Kopfhörern über die Kreuzung geht. Kann klappen...

Und wir wissen auch: Deine Eltern sind mit ihrer Fritzbox völlig ausreichend vor dieser Art "Angriffen" aus dem Internet geschützt - jedenfalls so lange, bis Papi seine Musikfiles für die Kumpels aus dem Skatclub frei schaltet... Nicht aber vor dem Trojaner, den sie sich mit einem Download oder einer Mail einfangen. Aber das ist ein völlig anderes Thema.

Beste Grüße in den Süden, commodity
MysticFoxDE
MysticFoxDE May 26, 2024 at 22:08:49 (UTC)
Goto Top
Moin @commodity,

Du thematisierst hier aber primär ein mulmiges Gefühl. Das kann Dir keiner abnehmen, außer Du Dir selbst.

https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lagebi ...

"Straftaten im Bereich Cybercrime liegen in Deutschland weiter auf einem hohen Niveau. Das zeigt sich insbesondere mit Blick auf Cyberstraftaten, die zu Schäden in Deutschland führen, jedoch aus dem Ausland oder von einem unbekannten Ort aus verübt werden. Die Zahl dieser sogenannten Auslandstaten steigt seit ihrer Erfassung im Jahr 2020 kontinuierlich an – 2023 um 28% gegenüber dem Vorjahr. Die Zahl der Auslandstaten im Phänomenbereich Cybercrime übersteigen damit erneut die der Inlandstaten, also jene Cyberstraftaten, bei denen Deutschland gleichermaßen Handlungs- und Schadensort ist. Die Inlandstaten stagnieren auf hohem Niveau (134.407 Fälle bzw. -1,8% gegenüber 2022)."

"Cybercrime richtet jedes Jahr einen hohen wirtschaftlichen Schaden an. Laut Erhebung des Branchenverbandes Bitkom e. V. lagen die im Jahr 2023 direkt durch Cyber-Angriffe verursachten gesamtwirtschaftlichen Schäden bei 148 Milliarden Euro."

https://de.statista.com/statistik/daten/studie/444719/umfrage/schaeden-d ...

https://www.tagesschau.de/wirtschaft/cybercrime-deutschland-100.html

"Laut einer Studie des Digital-Branchenverbands Bitkom haben Cyberangriffe, die der Organisierten Kriminalität zugeschrieben werden, deutlich zugenommen. Die Attacken auf deutsche Unternehmen sind zunehmend bandenmäßig organisiert."

"Immer mehr Angriffe kommen laut Bitkom aus Russland und China. Dies decke sich mit den Erkenntnissen des Verfassungsschutzes, sagte der Vizepräsident des deutschen Inlandsgeheimdienstes, Sinan Selen, bei der Vorstellung der Umfrage. Es sei mittlerweile möglich, die Urheberschaft von Angriffen trotz des Versuchs der Kaschierung mit großer Sicherheit festzustellen."

https://www.bitkom.org/Presse/Presseinformation/Bilanz-Cyberkriminalitae ...

"Bilanz Cyberkriminalität 2023: 7 von 10 Internetnutzern betroffen"
"Eine Anzeige bei der Polizei bleibt in der Regel erfolglos"

sprich, kann es sein, dass du hier eher etwas zu sehr auf die leichte Schulter nimmst?

Gruss Alex
MysticFoxDE
MysticFoxDE May 26, 2024 at 22:33:52 (UTC)
Goto Top
Moin @commodity,

Und wir wissen auch: Deine Eltern sind mit ihrer Fritzbox völlig ausreichend vor dieser Art "Angriffen" aus dem Internet geschützt - jedenfalls so lange, bis Papi seine Musikfiles für die Kumpels aus dem Skatclub frei schaltet...

https://www.heise.de/hintergrund/Fritzbox-Sicherheitsleck-analysiert-Ris ...

"Risiko sogar bei deaktiviertem Fernzugriff"
"Nur so viel: Die Updates stopfen offenbar tatsächlich ein Sicherheitsleck im Webserver, durch das Angreifer die Konfiguration der Fritzbox überschreiben können. Die Schwachstelle lässt sich unabhängig vom eingestellten Port ausnutzen und betrifft auch andere Fritzbox-Modelle als die 7590 und sogar Repeater."

Und so ähnliche Meldungen gab es in den letzte Jahren von so gut wie jedem Router/FW/SGW Hersteller. ๐Ÿ˜”

So und nun nehme die Scanns, packe da ein Zero-Day dazu und schon solltest du das Problem schon eher erkennen.

Gruss Alex
11020714020
11020714020 May 27, 2024 at 04:35:58 (UTC)
Goto Top
Das Problem ist schon etwas mehrschichtiger @commodity,

Es fängt eben schon bei der Hardwareentwicklung und Firmware an, geht weiter über das OS bis hin zur Anwendung und den Anwendern.

Da kannst du selbst als perfekt aufgestelltes Unternehmen mit Heerschaaren von Security-Spezialisten wenig machen, wenn am Ende in der Firmware oder z.B. in der Firewall ein Bug ist und dieser über einen Zeroday ausgenutzt werden kann.

Dann kannst du nur noch hoffen, dass das über ein perfektes Logging und Monitoring möglichst schnell einen Event im SOC auslöst und ggf. jemand das Kabel zieht, falls das überhaupt noch was nützt und z.B. der Verschlüsselungstrojaner nicht bereits deine Systeme infiziert hat.

Es gibt natürlich Möglichkeiten für bestimmte Bereiche innerhalb des Unternehmens eine echte Abschottung zu implementieren, die solche Angriffe unmöglich machen. Jedoch ist das für die Bereiche, die mit Extern bidirektional kommunizieren können müssen, nahezu unmöglich.

Und wie wir selbst hier immer wieder lernen können ist es für nicht wenige immer zu aufwendig, zu kompliziert, zu behindernd oder was auch immer, wenn man davon spricht, dass Security by Design oder Mindeststandards eingehalten werden sollten.

Dann ist man ja derjenige, der von der Realität und den Anforderungen in den Unternehmen keine Ahnung hat.

Von daher finde ich deine Aussagen zu dem Thema etwas zu kurz gegriffen, da sie einige Aspekte außen vor lassen. Denn es muss nicht Papi sein, der seine Musikfiles für seine Kumpels im Skatclub zur Verfügung stellen will und damit ein Tor aufmacht, es könnte eben wie @MysticFoxDE zu recht darstellt auch sein, dass AVM auf seiner Fritzbox einen Bug hat und somit den Zugriff auf das interne Netz der Familie Müller mit all deren Geheimnissen erst möglich macht.
Starmanager
Starmanager May 27, 2024 at 06:25:35 (UTC)
Goto Top
Hallo @MysticFoxDE.

Die Fortinet hat eine vorgefertigte Liste der Tor Nodes. Wir haben sie gegen externe Angreifer auf unsere "Web Server" aktiviert.
tor-exit.node
MysticFoxDE
MysticFoxDE May 27, 2024 at 06:39:18 (UTC)
Goto Top
Moin @aqui,

Bei Cisco Routern mit Zone based Firewall Setup reicht es z.B. das Logging von blockiertem Traffic zu aktivieren was im Default deaktiviert ist.
parameter-map type inspect global
alert on
log dropped-packets


danke für diesen wichtigen Hinweis.

Ich glaube ich verstehe nun so langsam, warum diese Angriffsversuche den meisten bisher nicht wirklich aufgefallen sind.
Denn wenn bei CISCO die verworfenen Pakete nicht protokoliert werden, so wie es übrigens auch bei Sophos und Fortinet per Default auch der Fall ist, dann wird es bei den anderen Enterprise-FW's/NGFW's/SGW's, diesbezüglich wahrscheinlich auch nicht viel besser aussehen. ๐Ÿ˜”๐Ÿ˜ญ

On Top kann man diesen Traffic auch per NetFlow auswerten und visualisieren.

Sieht interessant aus, ist aber für die meisten kleineren wahrscheinlich viel zu aufwendig und die grösseren müssen eigentlich nur die Protokollierung in deren Enterprise-FW's/NGFW's/SGW's korrekt/vollständig aktivieren, um das angesprochene Problem bereits mit Bordmitteln zu erkennen.

Gruss Alex
MysticFoxDE
MysticFoxDE May 27, 2024 at 06:48:38 (UTC)
Goto Top
Moin @Starmanager,

Die Fortinet hat eine vorgefertigte Liste der Tor Nodes. Wir haben sie gegen externe Angreifer auf unsere "Web Server" aktiviert.
tor-exit.node

๐Ÿ˜ฎ ... jetzt bin ich aber etwas neidisch, den sowas haben/können die Sophos XGS Gerättle, von haus aus leider (noch) nicht.

Daher müssen wir bei jeder XG/XGS, die folgende Liste ...
https://check.torproject.org/torbulkexitlist
... auch leider immer wieder von Hand pflegen. ๐Ÿ˜ญ

Gruss Alex
MysticFoxDE
MysticFoxDE May 27, 2024 at 07:15:55 (UTC)
Goto Top
Moin @11020714020,

es könnte eben wie @MysticFoxDE zu recht darstellt auch sein, dass AVM auf seiner Fritzbox einen Bug hat und somit den Zugriff auf das interne Netz der Familie Müller mit all deren Geheimnissen erst möglich macht.

๐Ÿ‘๐Ÿ‘๐Ÿ‘

aber, um die Fritze-Besitzer mache ich mir ehrlich gesagt eher weniger Sorgen, zumindest solange die nicht selber am NAT oder sonstigen Freigaben herumspielen.

Denn eines muss man AVM lassen, und zwar die Tatsache, dass deren CVE Einträge sehr überschaubar sind.

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=AVM

Was man von diesen Kandidaten ...

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Check+Point
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Fortinet
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Watchguard
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=palo+alto
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Sophos

... und vor allem von diesem ...

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=CISCO

... so leider überhaupt nicht behaupten kann. ๐Ÿ˜ญ

Und dabei kratzen wir hier nur an den Schwachstellen der FW's/NGFW's/SGW's und noch nicht mal an denen der tausenden von möglichen Applikationen und oder Gerättle, die diese per NAT noch zusätzlich im Internet veröffentlichen. ๐Ÿ˜”

Gruss Alex
MysticFoxDE
MysticFoxDE May 27, 2024 at 07:34:22 (UTC)
Goto Top
Moin Zusammen,

falls jemand ohne den eigenen Roter/FW's/NGFW's/SGW's zu zerrupfen sehen möchte was auf der Welt IT-Angriffstechnisch gerade abgeht, sollte die folgenden Seiten mal besuchen.

https://www.sicherheitstacho.eu/#/de/tacho
https://www.digitalattackmap.com/
https://threatmap.checkpoint.com/
https://threatbutt.com/map/
https://threatmap.fortiguard.com/
https://threatmap.bitdefender.com/
https://talosintelligence.com/fullpage_maps/pulse
https://horizon.netscout.com/
๐Ÿ˜”

Gruss Alex
commodity
commodity May 27, 2024 at 08:51:40 (UTC)
Goto Top
kann es sein, dass du hier eher etwas zu sehr auf die leichte Schulter nimmst?
Nein, das tue ich nicht.
Deine völlig unspezifische Schlagzeilenliste zeigt aber, dass Du hier beachtlich dramatisierst. face-big-smile
Reminder: (Dein eigenes) Thema ist hier nicht Cybersecurity allgemein, sondern der Angriffsvektor Portscan/Bruteforce direkt aus dem Internet. Das ist durchaus eine Bedrohung, vor der kann man sich aber recht gut schützen. Anders als bei anderen Bedrohungen, wo es durchaus schwieriger ist. Darum geht es hier aber nicht.

Auch der von Dir zitierte Fall zur Fritzbox hat überhaupt nichts mit dem Thema zu tun:
Hier nochmal Deine eigene Frage:
Sprich, überwacht/monitort ihr aktiv Scann- oder Angriffsversuche auf euren Internetanschlüssen überhaupt?
Und hier die Beschreibung des Angriffes bei der Fritzbox:
Dafür muss der Angreifer sein Opfer lediglich auf eine Website lotsen, die auf das Webinterface im internen Netz verweist, etwa durch Cross-Site-Request-Forgery (CSRF) oder schlicht durch eine Umleitung.
In der Schule stünde da ein "Thema verfehlt" drunter face-wink

am Ende in der Firmware oder z.B. in der Firewall ein Bug ist und dieser über einen Zeroday ausgenutzt werden kann.
1. Davor schützen auch nicht räumliche Netzsperren. Der Hacker kann von überall kommen, auch aus D
2. Wer wirklich sicheren Schutz braucht, arbeitet mit kaskadierten Systemen unterschiedlicher Hersteller sowie IDS & Co. Wer ein so hohes Schutzniveau nicht benötit hat für diesen (was die individuelle Realisierungswahrscheinlichkeit betrifft) äußerst unwahrscheinlichen Fall ein Backup.

Viele Grüße, commodity
Dani
Dani May 27, 2024 at 08:57:32 (UTC)
Goto Top
@11020714020
Die Aussage ist schnell getroffen und in durchaus nicht unwesentlichen Fällen ist diese auch berechtigt, aber je nachdem wie ein Angriff aufgebaut ist (auch bei DDoS) ist die Kritik nicht unbedingt gerechtfertigt.
bei den Standard Webhostern trifft leider oftmals meine Annahme zu. Das kann auch auch im Kleingedruckten der AGBs (alternativ auch über das Sternchen bei DDoS) nachlesen. Ist der Angriff größer als xx GBit greift der Schutz nicht mehr und der es ein Null Routing durchgeführt. Bei Hetzner ist es aus privaten Erzählungen teilweise andersherum. Die DDoS ist im volle Gange und das System schlägt nicht an und reagiert. Ich weiß nicht was besser ist...

Die (Webseiten), welche es ernst meinen kommen, sind bei den Großen (Cloudflare, Microsoft, AWS, Google, Link11, etc.) Aber das ist natürlich mit Kosten verbunden und entsprechenden Aufwand. Aber von nichts, kommt nichts.

Der richtige Ansatz wäre daher, dass die Carrier in solchen Fällen eingreifen. Aber die sehen sich ja nur zu gerne als "dumme" Transporteure und nicht als aktive Betreiber und berufen sich dabei zu gerne auf die allbekannte "Netzneutralität" bzw. sind auch gesetzlich dazu gezwungen (nein, ich diskutiere diese Themen nicht mehr mit der BNetzA face-wink).
Wie soll ein Carrier das bewältigen? Wir sprechen von mehreren Tbit/s alleine bei den Tier 1 Anbietern. Unabhängig davon kannst du davon ausgehen, dass durch die notwendigen Ressourcen (Zeit, Personal, Hardware), etc. die Preise deutlich steigen werden. Damit noch nicht berücksichtigt, was mit Anbietern außerhalb Deutschland (oder sogar Europa) geschieht. Oder sprichst du von ISPs?

@MysticFoxDE
Das mit grob fahrlässig meine ich jedoch nicht Richtung den Carrier, sondern eher Richtung des Staates, sprich, Richtung unserer Regierung, die eigentlich für die Sicherheit der Bürger der Hauptverantwortliche ist.
Das würde aber Umkehrschluss bedeuten, wenn man es zu 100% nimmt, es muss eine SSL Interception eingeführt werden. Weil nur so, kann die Verantwortung übernommen und das Gesetz durchgesetzt werden. Was uns wieder zum Thema Überwachungsstaat bringen wird...

Siehe jetzige Lage, in der mittlerweile so gut wie kein Tag ohne eine Meldung vergeht, dass irgendwo in der Republik mal wieder irgend eine Behörde/Schule/Unternehmen, gehackt wurde
Es ist immer die Frage, wie ist der vermeidliche Hack abgelaufen. Ist es auf einen Bug der Software/Hardware zurückzuführen oder war ein Admin zu Faul zeitnah Updates einzuspielen oder gibt es Mängel bei dem Netzwerk Management. Bei den letzteren zwei Punkte sehe ich auf keinen Fall den Staat in der Pflicht. Wo kommen wir da dahin...

"Im Bericht für das Jahr 2023 kommt die Cybersicherheitsbehörde des Bundes zum Fazit: Die Bedrohung im Cyberraum ist so hoch wie nie zuvor."
lese doch einmal die Kriminalstatistik der Polizei/Staatsanwaltschaft. Du wirst darin parallel finden... nichts desto trotz steht deshalb nicht in jeder Gemeinde einen Polizist an der Hauptstraße, oder?

Zumindest solange wir insbesondere weiterhin, die nicht wirklich vorhandene Netzneutralität anbeten
Wo und in wie fern wird diese Netzneutralität aktuell nicht eingehalten?


Gruß
Dani
Lochkartenstanzer
Lochkartenstanzer May 27, 2024 updated at 09:24:37 (UTC)
Goto Top
Moin,

Um meinen Senf auch nochmal dazuzugeben:

Ich beschäftige mich schon seit Anfang der 80er mit Netzwerken Und auch relativ früh mit IT-Sicherheit. Wir haben damals an der Uni vermutlich eine der ersten Hardware-Firewalls (Paketfilter + deep packet inspektion) gebaut, waren aber "nur kleine Studenten", die das nicht vermarkten durften. Professor wollte damit nur angeben, aber nicht fertig 1entwickeln lassen.

Wir haben schon damals festgestellt, daß, obwohl nur wenige überhaupt wußten, was Internet ist, es viele Zugriffsversuche und automatisierte Scans gab, und zwar bevor es das WWW überhaupt gab! Von daher kann ich mit Fug und Recht behaupten, daß solche Scans und Angriffsversuche überhaupt nicht neu sind und "schon immer" da waren. Was sich im laufe der Zeit geändert hat, ist der Automatisierungsgrad. Und seit die NSA Google und andere die Welt systematisch scannen und in Datenbanken ablegen, sind die Reaktionszeiten auf Fehler in Systemen sehr kurz geworden. Und es werden immer mehr Mitspieler, die Ihre Datenbanken selbst aufbauen und nicht mehr bei Shodan & Co. nachschauen. Deswegen sieht man auch immer mehr Bot-Traffic an den "Grenzen" seines Netzes. Muß man nun deswegen ein "schlechtes Gefühl" haben? Kommt darauf an, ob man Optimist oder Pessimist ist. Das ist halt wie, als wenn man in einem Erdbeben- oder Vulkangebiet lebt. Man weiß, daß da jederzeit etwas passieren kann und trifft soweit wie möglich Vorkehrungen. Man sichert sich gegen die meisten Vorfälle ab, in dem Wissen, daß, wenn das große Ereignis stattfindet, man im Prinzip (fast) nichts dagegen machen kann, außer versuchen, diverse Rettungsszenarien zu planen. Und die Pessimisten "ziehen weg", d.h. klemmen sich vom Netz so gut wie möglich ab.

Wie ist nun die Gefährdungslage?

Den meisten Privatanwendern und Kleinbetrieben, die nur einen einfachen Router als Internetzugang haben und diese i.d.R. nur ausgehende Verbindungen haben, wird kaum etwas passieren. Auch wenn diese Router manchmal Bugs haben, wie z.B. der Fritzbox-Bug, so ist doch durch die Standardeinstellungen der Router i.d.R. größtmöglicher Schutz gewährleistet.

Größere Gefahr sehe ich eher durch die Gadgets, die ins Heimnetz gestellt werden und die man per Internet per App erreichen kann, weil dies zentralisierte Server voraussetzt, die lohnendere Ziele sind. Oder die Gadgets wollen, daß man die Firewall des Routers durchlöchert. Als weitere größere Gefahr sehe ich die Verwaltungsmöglichkeit der Router durch den ISP, was viele Anwender "vergessen" abzustellen. Auch hier sind die ISPs lohnendere Ziele, weil man da gleich größere Beute machen kann. Man sollte nicht vergessen, daß auch viele ISPs unterwandert sind.

Was soll man also als Netzwerkadmin machen? Ich bin der Ansicht, daß weder die Strategie Augen zu und durch, weil es wird schon nichts passieren (=Optimist) , noch die Strategie Hilfe, die ganze Welt will mir was böses, und ich schließe mich ein und schränke die Kommunikation auf ein Minimum ein (=Pessimist)// gangbare Lösungen sind. Daher sollte man sich auf sinnvolle und wirtschaftliche Maßnahmen beschränken:

  • Nur notwendige Dienste nach innen erlauben, und die natürlich auch nur in Sicherheitszonen.
  • Diese Dienste gesondert absichern.
  • "Schmutz" schon an der Firewall wegfiltern, wie zB. ASNs, mit denen man eh nie reden will oder Knoten, die Verschleierung des Kommunikationspartners dienen sollen.
  • Ab und zu mal einen Blick in die Logs werfen.
  • Und ganz wichtig. Desaster-Recovery-Pläne vorhalten und auch üben! Das vergessen die meisten.

Zu dem Ruf, daß die Provider alles richten sollen und der Staat da Vorschriften machen soll:

Hier muß man sehr genau aufpassen, daß man den Teufel nicht mit dem Beelzebub austreibt. Klar haben die Provider in manchen Fällen bessere Möglichkeiten unerwünschten Traffic rauszufiltern. Das kann aber auch schon manchmal zuviel des Guten sein. Bei DDOS-Angriffen ist klar, daß die eher auf der ISP-Seite als auf der Kundenseite geblockt werden sollten, aber schon das einschränken der Scans kann zu unerwünschten Effekten führen. Scans - das könnnen schon einfach Pings oder traceroutes sein - sind ein unerläßliches Werkzeug für den Netzwerkadmin, um die Erreichbarkeit von Diensten zu prüfen. Wenn da ein Provider zu viel des Guten tut, verschwendet man viel Zeit für eine Fehlersuche (mir schon passiert!). und wenn es gestzliche Vorschriften gibt, ist der Abstand zu Zensur gar nicht mehr weit. In der heutigen Zeit könnte ich mir durchaus vorstellen, daß es heißt, daß alle Provider z.B. wegen dem Boykotts Rußlands den Traffic dorthin sperren sollen, was eindeutig zu viel des Guten wäre.


(Mein) Fazit:

Nicht nach dem Gesetzgeber rufen, sondern selbst machen. Und nicht mit Weltuntergangsmiene sich das Leben vermiesen lassen, sondern sich daran erfreuen. Viele fahren ja auch täglich Auto und lassen sich durch den Umstand, daß sie ggf. Abends nicht mehr nach Hause kommen, weil sie ein tödlicher Unfall ereilt, die Laune verderben. (Gut manche sind sich dessen gar nicht bewußt, daß das passieren kann, aber als ehrentamtlicher Rotkreuzhelfer bekommt man zuviel mit, als daß man das vergißt).


Schöne Restwoche noch,

lks
Lochkartenstanzer
Lochkartenstanzer May 27, 2024 at 09:38:13 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Ach ja, die FritzBox, haben meine Eltern auch an ihrem Anschluss dran hängen und ja, die habe ich mir erst heute morgen mal genauer angesehen.

Die Analyse der Scann- und Angriffsversuche, ist auf einer Fritzbox jedoch alles andere als einfach und nur mit bordmitteln auch nicht wirklich möglich.

Denn das einzige was ich bei der Fritze in die Richtung machen kann, ist über die folgende etwas versteckte Seite ...

http://fritz.box/#cap

einen Mitschnitt aller Datenpakete auf deren Internet Schnittstelle zu starten, der schneidet jedoch sämtlichen Datenverkehr mit.

Sprich, anschliessend muss man den Mitschnitt mit Wireshark entsprechend filtern und analysieren, was je nach aufkommendem Datenverkehr nicht wirklich ohne ist. ๐Ÿ˜”

Ich habe mir heute und trotzt Sonntag dennoch die Mühe gemacht und habe den eingehenden Datenverkehr, eines ganz normalen privaten Telekom DSL Anschlusses meiner Eltern über eine Stunde lang aufgezeichnet und habe danach die Daten per Wireshark ausgewertet.
Das Ergebnis ist leider sehr ernüchternd, den auch der Anschluss meiner über 70 Jahre alten Eltern der mit einer dynamischen IP läuft, wird von denselben Akteuren, genau so gescannt und auch angegriffen, wie die Businessanschlüsse unserer Kunden die mit festen IP's laufen. ๐Ÿ˜ฑ๐Ÿ˜ญ


Hallo Alex,

das hätte ich Dir auch so sagen, können, ohne da irgendwelche Auswertungen zu machen. Was nutzt es eine Angriffs-Datenbank zu haben, wenn man Teile der Ziele wegläßt. Und solange man kein CG-NAT hat, sind dynamische IP-Adressen genausgut wie fixe, insbesonder weil in der heutigen zeit die "dynamischen" IP-Adressen deutlich länger stabil bleiben als früher, bei der Telekom z.b. meist 3 Monate, wenn man nicht vorher den Router durchstartet oder den so eingestellt hat, daß der jede Nacht sich eine neue Adresse holt.

lks

PS: Um einen Überblick über "aktuelle Scans" an einfache Routern zu bekommen setzte ich oft einen "Sensor", d.h. einen RasPi, der als Exposed host der die meisten Pakte dropt und loggt und bei http ggf. die gewünschte URL mitprotokolliert. Klar bekommt man damit nicht alles geloggt, weil ja einige verbindungen ggf schon an derm Router terminiert werden, aber man bekommt dadurch schon einen guten Überblick.
MysticFoxDE
MysticFoxDE May 27, 2024 at 09:40:50 (UTC)
Goto Top
Moin @commodity,

Deine völlig unspezifische Schlagzeilenliste zeigt aber, dass Du hier beachtlich dramatisierst. face-big-smile

ähm, meine Aussagen zu verharmlosen mag ja noch das eine sein, aber meinst du nicht, dass du mit der Verharmlosung der Aussagen des BSI/BMI/BKA/BND, die genaugenommen fast dasselbe sagen, dich nun doch etwas übernimmst?

Reminder: (Dein eigenes) Thema ist hier nicht Cybersecurity allgemein, sondern der Angriffsvektor Portscan/Bruteforce direkt aus dem Internet. Das ist durchaus eine Bedrohung, vor der kann man sich aber recht gut schützen.

Wenn der Schutz den du hier ansprichst wirklich funktionieren würde und auch flächendeckend implementiert wäre, dann würde es solche Portscanns in der Masse nicht wirklich geben, weil sie nicht wirklich effektiv wären. Wenn jedoch die Portscann- und auch die Angriffsintensität ständig nur zunimmt, dann bedeutet das schlichtweg, dass die entsprechenden Schutzmassnahmen, wohl doch nicht so sehr funktionieren wie sie sollten.

Auch der von Dir zitierte Fall zur Fritzbox hat überhaupt nichts mit dem Thema zu tun:
Hier nochmal Deine eigene Frage:
Sprich, überwacht/monitort ihr aktiv Scann- oder Angriffsversuche auf euren Internetanschlüssen überhaupt?
Und hier die Beschreibung des Angriffes bei der Fritzbox:
Dafür muss der Angreifer sein Opfer lediglich auf eine Website lotsen, die auf das Webinterface im internen Netz verweist, etwa durch Cross-Site-Request-Forgery (CSRF) oder schlicht durch eine Umleitung.
In der Schule stünde da ein "Thema verfehlt" drunter face-wink

Das war nur ein Hinweis, das auch die Fitze nicht unhackbar ist und etwas später habe ich dann auch noch genug Hinweise zu anderen Herstellern und deren zum Teil noch viel gravierenderen Lücken mit dazu gepostet.

am Ende in der Firmware oder z.B. in der Firewall ein Bug ist und dieser über einen Zeroday ausgenutzt werden kann.
1. Davor schützen auch nicht räumliche Netzsperren. Der Hacker kann von überall kommen, auch aus D

Daher mitunter auch die Tor-Exitnode Sperre. ๐Ÿ˜‰

2. Wer wirklich sicheren Schutz braucht, arbeitet mit kaskadierten Systemen unterschiedlicher Hersteller sowie IDS & Co.

Oder sorgt einfach dafür, dass die eigenen FW zum einen überhaupt nicht von aussen administriert werden kann und von innen am besten nur von einem abgeschotteten MGMT Netz, welches wiederum keinen (dauerhaften) Internetzugang hat. Und die Dienste die die FW selbst nach aussen stellt und oder weiterleitet, sollten nur von der Ländergruppe erreichbar sein, für die die auch bestimmt sind. So bleibt der Fingerabdruck des eigenen Internetanschlusses schön klein, wodurch auch die Wahrscheinlichkeit für einen gezielten Angriff deutlich gesenkt wird.

Und ja, zu 100% kann man sich nicht wirklich schützen, man kann und muss es aber im Rahmen des Möglichen jedoch wenigstens versuchen!


Gruss Alex
MysticFoxDE
MysticFoxDE May 27, 2024 at 10:36:57 (UTC)
Goto Top
Moin @Lochkartenstanzer,

das hätte ich Dir auch so sagen, können, ohne da irgendwelche Auswertungen zu machen. Was nutzt es eine Angriffs-Datenbank zu haben, wenn man Teile der Ziele wegläßt. Und solange man kein CG-NAT hat, sind dynamische IP-Adressen genausgut wie fixe, insbesonder weil in der heutigen zeit die "dynamischen" IP-Adressen deutlich länger stabil bleiben als früher, bei der Telekom z.b. meist 3 Monate, wenn man nicht vorher den Router durchstartet oder den so eingestellt hat, daß der jede Nacht sich eine neue Adresse holt.

das ist mir schon klar, dennoch hätte ich gedacht, dass die Angreifer, um z.B. Ressourcen zu sparen und oder um schneller die IP-Bereiche mit den festen IP's zu scannen, hinter denen sich schon eher Unternehmen/Behörden, sprich , lohnendere Ziele befinden, die IP-Bereiche mit den dynamischen IP's eher etwas auslassen würden.
Zu sehen, dass diese jedoch genauso beschossen werden wie auch die Business-Anschlusse, hätte ich ehrlich gesagt nicht wirklich erwartet. ๐Ÿ˜”


PS: Um einen Überblick über "aktuelle Scans" an einfache Routern zu bekommen setzte ich oft einen "Sensor", d.h. einen RasPi, der als Exposed host der die meisten Pakte dropt und loggt und bei http ggf. die gewünschte URL mitprotokolliert. Klar bekommt man damit nicht alles geloggt, weil ja einige verbindungen ggf schon an derm Router terminiert werden, aber man bekommt dadurch schon einen guten Überblick.

Du betreibst quasi einen eigenen Honeypot ... ๐Ÿ‘๐Ÿ‘๐Ÿ‘ ... sehr gut.
Zu dem Thema werde ich etwas später übrigens auch noch kommen. ๐Ÿ˜‰

Gruss Alex
commodity
commodity May 27, 2024 updated at 11:41:02 (UTC)
Goto Top
dass du mit der Verharmlosung der Aussagen des BSI/BMI/BKA/BND, die genaugenommen fast dasselbe sagen, dich nun doch etwas übernimmst?
Lieber Alex, Du hast ganz offenbar Schwierigkeiten bei (Deinem eigenen) Thread-Thema zu bleiben. Es geht hier nicht um die Gefahren, die allgemein aus dem Internet drohen. Lies Deinen Eingangspost nochmal.
Mangelnde Konzentration führt nicht nur hier zu sachwidrigen Aussagen, sondern ist auch ein wesentlicher Faktor für adminstrative Fehler. Deshalb bitte nicht ein Thema mit der Gurke anfangen und später über das Mischgemüse ausführen, wenn's doch immer noch um die Gurke geht. Dafür ist das Thema Sicherheit nun doch etwas zu wichtig.

Wir trennen also zwischen:
a) Gefahren durch Portscans (hier das Thema) und
b) weitere Gefahren durch das Internet und seiner Nutzung (hier nicht das Thema).

... dann würde es solche Portscanns in der Masse nicht wirklich geben
Niemand hat hier in Abrede gestellt, dass die Scans auch Ziele finden. Das ist aber immer ein erreichbarer Dienst. Das Problem ist nicht der Scan, sondern die unsichere Publizierung eines Dienstes.
Es ist die ureigene Aufgabe und Verantwortung des Admins/Dienstbetreibers, hier das passende Schutzlevel zu schaffen. Dabei hilft es nicht, sich zu gruseln oder obscurity-like irgendwie vor Portscans verstecken zu wollen oder nach der Macht zu rufen, die das regeln soll, sondern es gilt, ganz schlicht: Seine Arbeit zu machen. Oder wie der geschätzte Kollege @Lochkartenstanzer es formuliert:
selbst machen.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE May 27, 2024 updated at 16:38:12 (UTC)
Goto Top
Moin @Dani,

Das würde aber Umkehrschluss bedeuten, wenn man es zu 100% nimmt, es muss eine SSL Interception eingeführt werden. Weil nur so, kann die Verantwortung übernommen und das Gesetz durchgesetzt werden. Was uns wieder zum Thema Überwachungsstaat bringen wird...

na ja, ich habe jetzt auch keine SSL Interception eingesetzt um die Spreu vom Weizen zu trennen.
Und nein, mir geht es nicht darum, dass der Staat jeglichen Mühl beseitigt und den groben, könnte und müsste dieser sich aber schon in irgend einer Weise kümmern.

Es ist immer die Frage, wie ist der vermeidliche Hack abgelaufen. Ist es auf einen Bug der Software/Hardware zurückzuführen oder war ein Admin zu Faul zeitnah Updates einzuspielen oder gibt es Mängel bei dem Netzwerk Management. Bei den letzteren zwei Punkte sehe ich auf keinen Fall den Staat in der Pflicht. Wo kommen wir da dahin...

Natürlich hat auch der "Fachkräftemangel" kräftig mit diesem Problem, respektive, dass es derart ausufert, zu tun.
Das Problem des "Fachkräftemangel" werden wir aber mittelfristig nicht wirklich lösen und schon gar nicht, wenn wir das Ganze Thema IT-Security, absolut dezentral angehen. ๐Ÿ˜”

lese doch einmal die Kriminalstatistik der Polizei/Staatsanwaltschaft. Du wirst darin parallel finden... nichts desto trotz steht deshalb nicht in jeder Gemeinde einen Polizist an der Hauptstraße, oder?

In Deutschland gibt es +- 10.786 Gemeinden und in Summe ~ 280.000 Polizeibeamte, was unter dem Strich ~26 Polizeibeamte / Gemeinde bedeutet, die durchaus schon auch hin und wieder nach den/dem Rechten schauen.
Im Internet gibt es stand heute jedoch nicht mal ansatzweise etwas vergleichbares, alleine schon wegen der meiner Ansicht nach absolut bescheuerten Netzneutralität.

Und das mit bescheuert meine ich auch nicht auf den Grundgedanken bezogen, der hinter der Netzneutralität steckt, sondern eher darauf bezogen, dass dieser Grundgedanke bei uns Menschen stand heut leider nicht wirklich funktioniert, weil wir eben nicht alle wirklich nur friedlich und freundlich sind.

Wo und in wie fern wird diese Netzneutralität aktuell nicht eingehalten?

Genaugenommen gilt die Netzneutralität so wie wir sie kennen nur innerhalb der EU Grenzen.
Und selbst da halten sich nicht wirklich alle brav daran, was diverseste Verfahren in den letzten Jahren beweisen. ๐Ÿ˜”

Gruss Alex
MysticFoxDE
MysticFoxDE May 27, 2024 updated at 16:41:46 (UTC)
Goto Top
Moin @Lochkartenstanzer,

Wir haben schon damals festgestellt, daß, obwohl nur wenige überhaupt wußten, was Internet ist, es viele Zugriffsversuche und automatisierte Scans gab, und zwar bevor es das WWW überhaupt gab!
Von daher kann ich mit Fug und Recht behaupten, daß solche Scans und Angriffsversuche überhaupt nicht neu sind und "schon immer" da waren.

das ist im Grunde schon richtig nur haben die damaligen, hin und wieder vorkommenden und sehr banalen Scanns, überhaupt nichts mit der Flut zu tun, die heute auf die Anschlüsse einscheppert.

Und es werden immer mehr Mitspieler, die Ihre Datenbanken selbst aufbauen und nicht mehr bei Shodan & Co. nachschauen.
Deswegen sieht man auch immer mehr Bot-Traffic an den "Grenzen" seines Netzes.

Ja es werden definitiv immer mehr Spieler und die meisten davon, führen nicht wirklich etwas gutes im Schilde, den sonst würden sie nicht versuchen die entsprechenden Scanns, so gut es geht zu tarnen. ๐Ÿ˜”

Den meisten Privatanwendern und Kleinbetrieben, die nur einen einfachen Router als Internetzugang haben und diese i.d.R. nur ausgehende Verbindungen haben, wird kaum etwas passieren. Auch wenn diese Router manchmal Bugs haben, wie z.B. der Fritzbox-Bug, so ist doch durch die Standardeinstellungen der Router i.d.R. größtmöglicher Schutz gewährleistet.

Ein rudimentärer Schutz ist dann vielleicht schon gegeben, jedoch ganz sicher nicht der größtmögliche.

Größere Gefahr sehe ich eher durch die Gadgets, die ins Heimnetz gestellt werden und die man per Internet per App erreichen kann, weil dies zentralisierte Server voraussetzt, die lohnendere Ziele sind. Oder die Gadgets wollen, daß man die Firewall des Routers durchlöchert. Als weitere größere Gefahr sehe ich die Verwaltungsmöglichkeit der Router durch den ISP, was viele Anwender "vergessen" abzustellen. Auch hier sind die ISPs lohnendere Ziele, weil man da gleich größere Beute machen kann. Man sollte nicht vergessen, daß auch viele ISPs unterwandert sind.

๐Ÿ‘๐Ÿ‘๐Ÿ‘, respektive, ๐Ÿ˜ญ๐Ÿ˜ญ๐Ÿ˜ญ

Was soll man also als Netzwerkadmin machen? Ich bin der Ansicht, daß weder die Strategie Augen zu und durch, weil es wird schon nichts passieren (=Optimist) , noch die Strategie Hilfe, die ganze Welt will mir was böses, und ich schließe mich ein und schränke die Kommunikation auf ein Minimum ein (=Pessimist)// gangbare Lösungen sind. Daher sollte man sich auf sinnvolle und wirtschaftliche Maßnahmen beschränken:

  • Nur notwendige Dienste nach innen erlauben, und die natürlich auch nur in Sicherheitszonen.
  • Diese Dienste gesondert absichern.
  • "Schmutz" schon an der Firewall wegfiltern, wie zB. ASNs, mit denen man eh nie reden will oder Knoten, die Verschleierung des Kommunikationspartners dienen sollen.
  • Ab und zu mal einen Blick in die Logs werfen.
  • Und ganz wichtig. Desaster-Recovery-Pläne vorhalten und auch üben! Das vergessen die meisten.

Grundsätzlich ๐Ÿ‘๐Ÿ‘๐Ÿ‘ …. aber … wie viele, vor allem normale Internetnutzer sind schon in der Lage genau das richtig umzusetzen, wenn noch nicht mal alle ITler das halbwegs anständig hinbekommen. ๐Ÿ˜”


Zu dem Ruf, daß die Provider alles richten sollen und der Staat da Vorschriften machen soll:

Hier muß man sehr genau aufpassen, daß man den Teufel nicht mit dem Beelzebub austreibt.

Hier möchte ich dir keineswegs widersprechen, denn dieser Weg ist leider auch nicht wirklich ungefährlich.
Ich sehe jedoch nicht wirklich eine andere Lösung, weil wir als Land für einen dezentralen Kampf, schlichtweg nicht über ausreichend Ressourcen/Fachkräfte verfügen.

Scans - das könnnen schon einfach Pings oder traceroutes sein - sind ein unerläßliches Werkzeug für den Netzwerkadmin, um die Erreichbarkeit von Diensten zu prüfen. Wenn da ein Provider zu viel des Guten tut, verschwendet man viel Zeit für eine Fehlersuche (mir schon passiert!).

Glaub mir, die Scanns die ich meine und die letzten Tage beobachtet habe, haben ganz sicher nichts mit irgendwelchen Erreichbarkeitsprüfungen zu tun, sondern sind grösstenteils definitiv eine getarnte Bespitzelung. Vergleiche doch selber mal die Daten von unterschiedlichen Anschlüssen aus demselben Zeitraum, dann siehst du schon was ich meine.

Viele fahren ja auch täglich Auto und lassen sich durch den Umstand, daß sie ggf. Abends nicht mehr nach Hause kommen, weil sie ein tödlicher Unfall ereilt, die Laune verderben.

Ja, viele fahren täglich Auto und das es trotz einiger „Heinis“ dennoch halbwegs sicher auf unseren Strassen zugeht, ist der Tatsache geschuldet, dass nicht jeder Hinz und Kunz aktiv am Strassenverkehr teilnehmen darf, vor allem wenn er sich ständig nur danebenbenimmt.

Ferner musst du in Deutschland, bevor du aktiv mit einem grösseren motorisierten Gefährt am Strassenverkehr teilnehmen möchtest, duzende von Bedingungen erfüllen.
Man musst z.B. ein bestimmtest Alter haben und auch eine gewisse (geistige) Reife. Zudem musst du die Teilnahme am Straßenverkehr sowohl theoretisch als auch unter Aufsicht praktisch erlernen und das erlernte im Rahmen einer Prüfung beweisen. Und wenn du die Prüfung bestanden hast, dann darfst du nicht mit jedem Schrot auf die Strasse, sondern nur mit dem der dafür zugelassen wurde und auch alle paar Jahre von TÜV auf strassentauglichkeit überprüft wird. Und wenn jemand meint, er müsse sich auf der Strasse nicht an die Regeln halten, dann kostet es mich im besten Fall einen Anruf und schon ist das Problem erledigt.

Im Gegensatz dazu, kann stand heute jeder ans Internet das dranhängen was er möchte und im Internet auch weitestgehend das treiben was er will, vor allem dann, wenn er nicht aus Deutschland oder einem EU-Land kommt. Und selbst wenn jemand durch derbste Strafftaten auffällt, kann die Polizei stand heute, in den meisten Fällen so gut wie nichts dagegen machen. ๐Ÿ˜”

Sprich, nein, der deutsche Strassenverkehr und das Internet, haben genaugenommen und auch zum Glück, nicht wirklich viele Gemeinsamkeiten … wenn, dann eher der russische. ๐Ÿคช

Schöne Restwoche noch

Ebenso!

Gruss Alex
MysticFoxDE
MysticFoxDE May 28, 2024 updated at 07:15:52 (UTC)
Goto Top
Moin Zusammen,

ich finde es ehrlich gesagt nicht wirklich sehr lustig, dass bisher gefühlt eher verhalten bis verharmlosend auf dieses Thema reagiert wird, da wir hier schliesslich nicht über irgendwelche Kavaliersdelikte, die so gut wie gegen jeden Internetanschluss bei uns im Land betreffen sprechen, sondern eher über zum Teil schwere Strafftaten, die gegen diese, zum teil fast sekündlich verübt werden!

Denn bereits ein intensiver Portscann, gilt ohne die ausdrückliche Erlaubnis des Eigentümers der entsprechenden IP als rechtswidrig und je nachdem wie ein Portscann abläuft und vor allem zu welchem Zweck, erfühlt der eine oder andere von diesen, auch schon den Straftatbestand von StGB §202c (Freiheitsstrafe bis zu zwei Jahren). Und ja, ich weiss, dass dieses Thema, vor allem rechtlich noch sehr umstritten ist und dass es diesbezüglich noch kein eindeutiges Urteil gibt.

Aber … spätestens die gezielten Angriffsversuche gegen offene Ports wie z.B. SSH, VPN oder RDP Ports, vor allem wenn man dabei Brut-Force zum brechen derer Authentifizierung verwendet, stellen nach StGB §202a (Freiheitsstrafe bis zu drei Jahren) & §202b (Freiheitsstrafe bis zu zwei Jahren) & §303a (Freiheitsstrafe bis zu zwei Jahren) & §303b (Freiheitsstrafe bis zu drei Jahren), eindeutig zum Teil schwere Straftaten dar!

Damit ihr mal endlich versteht wie ernsthaft die Lage ist, habe ich heute ein kleines Selbstexperiment gemacht. Und zwar habe ich um ca. 6:36, den SSH-Zugang unseres SGW’s, mal komplett Richtung Internet geöffnet. Der entsprechende WAN-Anschluss, läuft übrigens über feste IP’s, die wir seit ~ 10 Jahren besitzen. Und ja, ich weiss, dass das generell keine gute Idee ist, daher hatte ich auch parallel die Logs des SSH-Dienstes und die der FW ständig im Blick.

Ja, OK, das letztere war gelogen, den kurz nachdem ich den Zugang aktiviert habe, bin ich noch kurz losgetigert und habe mir einen frischen Kaffee geholt und auf dem Weg dahin auch noch schnell den alten rausgelassen. ๐Ÿ™ƒ Und als ich wieder am Platz war, was keine 5 Minuten gedauert hat, stand der SSH Port unseres SGW’s, bereits schon unter Beschuss. ๐Ÿ˜ฌ๐Ÿ˜ญ

ssh attack


Dass es so schnell geht, hätte ich ehrlich gesagt, nun auch nicht wirklich erwartet. ๐Ÿ˜”

Und warum ist das wohl so?
Na ganz einfach, weil vor allem die „Well-known ports“, ständig per Scann mitunter auch von den Übeltätern auf Verfügbarkeit belauscht werden!

ssh scann

๐Ÿ˜ญ

Gruss Alex
maretz
maretz May 28, 2024 at 07:39:10 (UTC)
Goto Top
Ganz ehrlich - was erwartest du jetzt? Wenn ich jeden Port-scan und jedes SSH-Login mit falschem Passwort zur Anzeige bringen würde dann hätten wir zumindest ein Problem gelöst. Bei der Menge an Personal wäre DE vermutlich unter vollbeschäftigung. Ich habe - trotz Fail2Ban, trotz div. Ländersperren allerdings ohne sperre von CDN/Tor/... - täglich mehrere 100 Versuche (klar, F2B geht auch erst nach dem 3ten Versuch los).

Deine SSH-Login-Dinger sind einfache Script-Kiddy-Dinger... dabei laufen die Standardversuche mit User "root", "Admin", "Administrator",... Ganz ehrlich - diese Dinger zu melden wäre so als wenn du jeden Klingelstreich von Kindern als Einbruchsversuch wertest - PRINIPZIELL würden die ja auch so prüfen ob jemand zuhause ist. Wohnst du aber neben ner Grundschule einer Grossstadt wirst du vermutlich dann viel zu tun haben und könntest dir nen Streifenbeamten direkt neben die Haustür stellen (wobei DAS vermutlich noch funktionieren würde).

Und ja - 5 Minuten nach Öffnen gehts los? Dann muss ich sagen is deine IP noch recht gut... normalerweise sollte das eher so im Bereich von Sekunden sein ;).

Was ist also deine Idee? Der Provider kann hier nix machen -> da ja u.a. SSH völlig legitimer Traffic ist (genau wie alles andere auch). Würde der Provider zB. ausgehend filtern (unter der Hoffnung das es den überhaupt in jedem Land interessieren würde) wäre das immernoch problematisch, ich habe zB. durch Ansible oft gewollt eine vielzahl von SSH-Verbindungen zu verschiedenen Servern offen. Wäre jetzt irgendwie blöd wenn der Provider sagt "aber du hast mehr als 5 Verbindungen auf - das könnte nen Angriff sein, ich block das mal weg" - grade lange threads können da durchaus mal auf 20+ systemen gleichzeitig laufen -> völlig gewollt und legitim.

Und natürlich ist es blöd dass das Internet kein freundlicher Raum ist wo jeder jeden mag, nur Infos stehen die glaubwürdig und real sind,... Aber das ist nunmal fakt. Und deshalb haben selbst die billigsten Plastik-Homeuse-Router idR. per Default die Verwaltung von "WAN"-Ports deaktiviert so das Omma-Erika zuhause das ding an die Wand dängeln kann und trotzdem halbwegs sicher ist (sofern die nicht von innen alles klickt was bunt leuchtet). Nur: Was ist deine Idee das zu ändern? Alles zur Anzeige bringen? Wird lustig wenns in DE nich mal klappt nen einheitliches Polizei-System zu haben (vgl. dem Polizeiwagen der nen Rechner nach Bayern fährt weil die dort die Software nich hatten...). Und die sollen mit dem ganzen Behördenkram jetzt auch noch versuchen über die Ländergrenzen zu ermitteln - und das wenn du div. Länder hast die scheinbar sich eh nich dafür interessieren (Ostblock zB.). Mit welchem Effekt rechnest du? Das deine SSH-Versuche dann vermutlich bei irgendwelchen Teenies landen die es geschafft haben nen Script zum Laufen zu bringen? Du kannst ja mal nen anderen Test machen - stelle nen Apache Webserver mitm blanken Ar... ins Netz, packe nur ne Index-Seite rein ("hier is nix") und schau dir die Logfile an wenn du den Kaffee aufgefüllt hast.. Du wirst div. Versuche sehen die cmd.exe aufzurufen - selbst wenns nen Linux-System is... bei mir in den letzten 2 Tagen ca. 100+ Versuche (wir dank F2B-Regel auch dann geblockt)...
commodity
commodity May 28, 2024 updated at 08:07:18 (UTC)
Goto Top
Dass es so schnell geht, hätte ich ehrlich gesagt, nun auch nicht wirklich erwartet.
Ich bin ehrlich verwirrt, so etwas von einem gestandenen Forumsmitglied zu lesen.

Das ist doch das erste, was man erlebt und jeder wissen muss, der einen Server/Dienst am Netz betreibt. Auch in diesem Forum kein seltenes Thema.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE May 28, 2024 updated at 08:34:03 (UTC)
Goto Top
Moin @maretz,

Ganz ehrlich - was erwartest du jetzt?

na ja, primär möchte ich mit diesem Beitrag, auf das meiner Ansicht nach durchaus sehr brisante Problem, etwas deutlicher hinweisen und den einen oder anderen auch vielleicht dazu bewegen, es sich mal selbst genauer anzuschauen. ๐Ÿ˜‰
Und wenn er dann noch seine Erkenntnisse teilt so wie du, dann habe ich mein Ziel auch schon ein stückweit erreicht, den der BSI/BND/BMI, sollten mittlerweile auch zu den Mitlesern gehören. ๐Ÿ˜

Wenn ich jeden Port-scan und jedes SSH-Login mit falschem Passwort zur Anzeige bringen würde dann hätten wir zumindest ein Problem gelöst. Bei der Menge an Personal wäre DE vermutlich unter vollbeschäftigung. Ich habe - trotz Fail2Ban, trotz div. Ländersperren allerdings ohne sperre von CDN/Tor/... - täglich mehrere 100 Versuche (klar, F2B geht auch erst nach dem 3ten Versuch los).

Und eben weil ein dezentrales Händling, zumindest gegen den groben Schmutz, schlichtweg zu viel Aufwand bei jedem einzelnen Anschlussinhaber verursacht, bin ich der Ansicht, dass eine etwas zentralere Schutzschicht, durchaus viel effektiver sein könnte.

Deine SSH-Login-Dinger sind einfache Script-Kiddy-Dinger... dabei laufen die Standardversuche mit User "root", "Admin", "Administrator",... Ganz ehrlich - diese Dinger zu melden wäre so als wenn du jeden Klingelstreich von Kindern als Einbruchsversuch wertest

Ein Klingelstreich würde ich ganz sicher nicht als Einbruchsversuch werten, eine Art „klassischer Portscann“, ist es hingegen schon. ๐Ÿคช

PRINIPZIELL würden die ja auch so prüfen ob jemand zuhause ist.

Wenn jemand nur an der Hausklingel schellt, dann ist das eher ein Ping-Versuch, wenn jemand hingegen um das ganze Haus schleicht und sämtliche Türen und Fester auf mögliche „Einstiegsversuche/Einbruchsversuche“ prüft, dann ist das bereits schon eine Straftat.

Dann muss ich sagen is deine IP noch recht gut... normalerweise sollte das eher so im Bereich von Sekunden sein ;).

Das macht die Sache nun ja wirklich nicht besser, sondern eher nur schlimmer. ๐Ÿ˜”

Was ist also deine Idee? Der Provider kann hier nix machen -> da ja u.a. SSH völlig legitimer Traffic ist (genau wie alles andere auch). Würde der Provider zB. ausgehend filtern (unter der Hoffnung das es den überhaupt in jedem Land interessieren würde) wäre das immernoch problematisch, ich habe zB. durch Ansible oft gewollt eine vielzahl von SSH-Verbindungen zu verschiedenen Servern offen. Wäre jetzt irgendwie blöd wenn der Provider sagt "aber du hast mehr als 5 Verbindungen auf - das könnte nen Angriff sein, ich block das mal weg" - grade lange threads können da durchaus mal auf 20+ systemen gleichzeitig laufen -> völlig gewollt und legitim.

Mir ist schon klar, dass das Problem alles andere als einfach zu lösen ist. Aber nur deshalb nichts zu machen, möchte ich auch nicht wirklich, vor allem da ich sehr deutlich sehe, dass es von Tag zu Tag immer schlimmer wird.

Mit welchem Effekt rechnest du?

Dass wenn man es richtig macht, die aus dem Internet kommende Gefahren, für alle Bürger und Unternehmen und Behörden unseres Landes, deutlichst gesenkt wird und zwar ohne, dass dabei auch aktiv der Inhalt mitbelauscht wird!

Und ja, ich bin mir 100% sicher, dass das so möglich ist, denn über 90% der Übeltäter die an deinem Anschluss herumkratzen, kenne ich auch und dass ohne jemals deinen Datenverkehr aktiv mitbelauscht zu haben, weil es schlichtweg dieselben sind, die auch am meinem und oder den Anschlüssen unserer Kunden sich austoben. ๐Ÿ˜‰

Daher, mit einer gewissen Monitoring-Infrastruktur (Stichwort Honeypots) so wie es z.B. die Telekom übrigens bereits betreibt, kann man durchaus schon sehr genau sehen, wer definitiv böse ist und genau die sollten nur noch aktiv gesperrt werden, zumindest eine Zeitlang, sprich so ähnlich wie es schon heute im Bereich der Mails mit dem Blacklisting gang und gäbe ist und schon wären alle wieder um einiges sicherer.

Gruss Alex
kreuzberger
kreuzberger May 28, 2024 at 09:01:48 (UTC)
Goto Top
@all

..wie ich schon erwähnte: es ist für die Meisten kaum zu sehen/zu bemerken, was da von aussen anklopft. Die meisten Firewall s haben wie anders hier die Sophos keine Möglichkeit parat, dieses Schnüffeln ausführlich zu protokollieren. Somit können eben die meisten das gar nicht einschätzen, bewerten, kommentieren.

Daher ist so ein Hinweis wie der von @MysticFoxDE immer wieder sinnvoll, um sich der wahren Situation bewusst zu sein.

Wie viele z. b. nutzen am Kabel-TV Anschluss von Vodafone die 08/15-Modem-Box, die zwar eine firewall hat, welche man aber nur mit einem X an- oder ausschalten kann, das wars schon mit der Security.
Und nu?

Kreuzberger
MysticFoxDE
MysticFoxDE May 28, 2024 updated at 09:04:17 (UTC)
Goto Top
Moin @commodity,

Dass es so schnell geht, hätte ich ehrlich gesagt, nun auch nicht wirklich erwartet.
Ich bin ehrlich verwirrt, so etwas von einem gestandenen Forumsmitglied zu lesen.

kleiner Tipp, wenn du meine Aussagen auch so liest wie ich sie gemeint habe und nicht so wie du sie sehen möchtest, dann wird das mit der Verwirrung auch deutlich besser. ๐Ÿ˜‰

Denn ich habe mit keiner Silbe gesagt, dass mir diese Gefahr, so noch nie bewusst war, sondern wollte damit nur darauf Hinweisen, dass man heutzutage innerhalb von nur ein paar Minuten und laut der Aussage von @maretz, sind es manchmal gar nur Sekunden, schon aktiv angegriffen wird sobald man etwas ans Internet anstöppselt!

Das ist doch das erste, was man erlebt und jeder wissen muss, der einen Server/Dienst am Netz betreibt. Auch in diesem Forum kein seltenes Thema.

Übrigens, in keinem dieser Beiträge wird aktiv darauf hingewiesen, dass ein Angriff stand heute bereits schon Sekunden/Minuten nach Dienst-Veröffentlichung erfolgt!
Sprich, die Beiträge sind zwar inhaltlich auch interessant, haben aber nicht wirklich etwas mit meiner oberen Aussage/Warnung direkt zu tun.

Gruss Alex
MysticFoxDE
MysticFoxDE May 28, 2024 updated at 09:10:40 (UTC)
Goto Top
Moin @kreuzberger,

..wie ich schon erwähnte: es ist für die Meisten kaum zu sehen/zu bemerken, was da von aussen anklopft. Die meisten Firewall s haben wie anders hier die Sophos keine Möglichkeit parat, dieses Schnüffeln ausführlich zu protokollieren. Somit können eben die meisten das gar nicht einschätzen, bewerten, kommentieren.

herzlichen Dank für diese kurze aber sehr treffende Einschätzung/Klarstellung.

Daher ist so ein Hinweis wie der von @MysticFoxDE immer wieder sinnvoll, um sich der wahren Situation bewusst zu sein.

Und auch für diese, sehr unterstützenden Worte.

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer May 28, 2024 at 09:42:58 (UTC)
Goto Top
Moin

Ein lustiges Experiment ist es immer. ein veraltetes OS( windows vor Versin 10 oder Server 2019, Linux/BSD nach Ablauf des Supportzeitraums, etc. )mit dem nackten Arsch ins Internet zu hängen. Die Windows-Kisten sind I.d.R. Recht schnell aufgebrochen, je älter, desto schneller. Bei den Linuxen dauert es I.d.R. deutlich länger. wenn überhaupt. MacOS habe ich noch nicht probiert, aber das wird irgendwo dazwischen liegen, im Gegensatz zu diversen Bass-Varianten, die kaum "aufgemacht" werden.

ljs
kreuzberger
kreuzberger May 28, 2024 at 09:59:01 (UTC)
Goto Top
Lochkartenstanzer
Lochkartenstanzer May 28, 2024 at 10:01:58 (UTC)
Goto Top

Es macht mehr Spaß, damit selbst zu spielen. face-smile

Insbesondere lernt man dabei, womit die Kisten übernommen werden. Als IT-Berater/Security-Admin bekommt man so besseres Verständnis der aktuellen Angriffsmethoden.

lks
kreuzberger
kreuzberger May 28, 2024 at 10:16:11 (UTC)
Goto Top
@Lochkartenstanzer

ich benutze durchaus immer wieder mal uralte Systeme wegen isso. Warum soll ich denn einen alten MacPro mit Xeons bewaffnet wegschmeissen, mur will da kein aktuelles System mehr drauf geht bzw. da (in dem Gebrauchsfall gerade jetzt für einen Bekannten) ein altes aber geiles FireWire Audio Interface dran soll, was es dann auch tut was es soll.
Auch die alten Trommelscanner gehen eben nur per SCSI am uralt-Mac. Wer bringt mir einen entsprechend guten Scanner für moderne Macs?
Ich klemme dem dann halt das GateWay ab, und der Rechner kann um lokalen Netz prima benutzt werden.

Kreuzberger
Lochkartenstanzer
Lochkartenstanzer May 28, 2024 updated at 10:33:56 (UTC)
Goto Top
Zitat von @kreuzberger:

@Lochkartenstanzer

ich benutze durchaus immer wieder mal uralte Systeme wegen isso. Warum soll ich denn einen alten MacPro mit Xeons bewaffnet wegschmeissen, mur will da kein aktuelles System mehr drauf geht bzw. da (in dem Gebrauchsfall gerade jetzt für einen Bekannten) ein altes aber geiles FireWire Audio Interface dran soll, was es dann auch tut was es soll.

Naja, die Dinger sind ja zu gut zum wegwerfen. Und solange man die nicht ins internet oder ans allgemeine LAN läßt, passiert da auch nicht viel.

Auch die alten Trommelscanner gehen eben nur per SCSI am uralt-Mac. Wer bringt mir einen entsprechend guten Scanner für moderne Macs?

Linotype-Hell? Da werden Erinnerungen von vor 30Jahren bei mir wach. face-smile

Ich klemme dem dann halt das GateWay ab, und der Rechner kann um lokalen Netz prima benutzt werden.

Aufpassen, am besten ein eigens Netz verpassen. Auch wenn es unwahrscheinlich ist, so kann doch durch die anderen Systeme im Netz als "Sprungbrett" die Kiste übernommen werden.

lks
kreuzberger
kreuzberger May 28, 2024 at 10:41:22 (UTC)
Goto Top
@Lochkartenstanzer

Linotype-Hell? Da werden Erinnerungen von vor 30Jahren bei mir wach.

Ich hab damals mehrere S3900 gequält. Jetzt hab ich nur noch kleine Tischgeräte von einem nicht mehr existenten deutschen Hersteller.

Aufpassen, am besten ein eigens Netz verpassen. Auch wenn es unwahrscheinlich ist, so kann doch durch die anderen Systeme im Netz als "Sprungbrett" die Kiste übernommen werden.

Eher unwahrscheinlich. Die Dinger dienen eben nur noch zum Ansteuern von Audio-Interfaces / Scannern zum Digitalisieren.

Kreuzberger
commodity
commodity May 28, 2024 updated at 10:42:40 (UTC)
Goto Top
Denn ich habe mit keiner Silbe gesagt, dass mir diese Gefahr, so noch nie bewusst war
nicht?
Dass es so schnell geht, hätte ich ehrlich gesagt, nun auch nicht wirklich erwartet.
oder doch?

dass man heutzutage innerhalb von nur ein paar Minuten ... schon aktiv angegriffen wird sobald man etwas ans Internet anstöppselt!
Das war schon vor 15 Jahren so (und vielleicht vorher). Ich finde es ok, das auch mal aufzufrischen, aber da so ein Drama draus zu machen, dass sich alle fürchten müssen und der Staat handeln u.ä.?
Da komme ich nicht mit face-smile

Viele Grüße, commodity
Lochkartenstanzer
Lochkartenstanzer May 28, 2024 at 10:50:27 (UTC)
Goto Top
Zitat von @commodity:

dass man heutzutage innerhalb von nur ein paar Minuten ... schon aktiv angegriffen wird sobald man etwas ans Internet anstöppselt!
Das war schon vor 15 Jahren so (und vielleicht vorher). Ich finde es ok, das auch mal aufzufrischen, aber da so ein Drama draus zu machen, dass sich alle fürchten müssen und der Staat handeln u.ä.?

Naja, sich die Gefahr immer wieder bewußt zu machen ist nicht verkehrt. Aber dann "aufgeregt durch die Gegend zu rennen wie eine Schar kopfloser Hühner" dagegen schon.

Man sollte druchaus immer mal wieder schauen, ob die Angriffsvektoren sich verändern und ggf. die Abwehrmaßnahmen angepaßt werden müssen. Das sollt eman aber mit einem besonnen kopf tun und sich vor allem nicht in Aktionismus verrennen, damit man irgendetwas gemacht hat, sondern schauen, ob die Maßnahmen überhaupt geeignet sind und vor allem auch, außer mehr Aufwand auch wirklich besseren Schutz bieten..

lks
commodity
commodity May 28, 2024 at 10:52:13 (UTC)
Goto Top
Naja, sich die Gefahr immer wieder bewußt zu machen ist nicht verkehrt. Aber dann "aufgeregt durch die Gegend zu rennen wie eine Schar kopfloser Hühner" dagegen schon.
genau das meinte ich face-smile

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE May 28, 2024 at 12:58:43 (UTC)
Goto Top
Moin @commodity,

Denn ich habe mit keiner Silbe gesagt, dass mir diese Gefahr, so noch nie bewusst war
nicht?
Dass es so schnell geht, hätte ich ehrlich gesagt, nun auch nicht wirklich erwartet.
oder doch?

ähm, zwischen "dass es so schnell geht" und "dass es überhaupt geht" liegt glaube ich ein kleiner Unterschied und bei dem was du bereits über meine tägliche Arbeit alles weisst, finde ich diese ganzen Anspielungen so langsam etwas kindisch. ๐Ÿ˜”

Das war schon vor 15 Jahren so (und vielleicht vorher).

Wenn du die Dinge heute nicht siehst, obwohl diese aktuell um Faktoren schlimmer sind wie damals, dann erzähle mir bitte nichts von vor 15 Jahren, danke.

und der Staat handeln u.ä.?
Da komme ich nicht mit face-smile

Weil dir schlichtweg das Ausmass des Problems, momentan nicht mal ansatzweise bewusst ist, so wie übrigens und leider den meisten Bürgern in Deutschland.

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer May 28, 2024 updated at 13:04:54 (UTC)
Goto Top
Zitat von @MysticFoxDE:


Weil dir schlichtweg das Ausmass des Problems, momentan nicht mal ansatzweise bewusst ist, so wie übrigens und leider den meisten Bürgern in Deutschland.


Manchmal ist Unwissenheit auch Segen. face-smile

lks:

PS: Ein lokaler Provider (BBV Rhein-neckar/BBV Neckar-Odenwald) schützt seine Kunden momentan besonders gut - Es geht gar kein Internet mehr. Nachdem PPPOE-Anfragen nciht beantwortet werden, nehmen ich mal an, daß Radius down ist (oder gar die ganzen Server). Mal sehen, was ich morgen den Kunden erzählen kann, sofern ich es überhaupt noch erfahre.
MysticFoxDE
MysticFoxDE May 28, 2024 updated at 14:22:05 (UTC)
Goto Top
Moin @Lochkartenstanzer,

Manchmal ist Unwissenheit auch Segen. face-smile

ja, zum Beispiel dann, wenn eine Katastrophe bereits schon so weit vorgeschritten ist, dass weitere Details darüber, lediglich nur noch zu einer unnötigen Massenpanik führen würden, jedoch nichts an dem Schicksal selbst ändern würden.
Als so schlimm, würde ich die jetzige Lage jedoch auch nicht einschätzen ... zumindest aktuell noch nicht. ๐Ÿคช

PS: Ein lokaler Provider (BBV Rhein-neckar/BBV Neckar-Odenwald) schützt seine Kunden momentan besonders gut - Es geht gar kein Internet mehr.

๐Ÿ‘๐Ÿ‘๐Ÿ‘ ๐Ÿ˜‚๐Ÿคฃ๐Ÿ˜‚๐Ÿคฃ

Gruss Alex
MysticFoxDE
MysticFoxDE May 28, 2024 at 14:20:43 (UTC)
Goto Top
Moin @Lochkartenstanzer,

Naja, sich die Gefahr immer wieder bewußt zu machen ist nicht verkehrt.

und genau das möchte ich primär ja auch.

Man sollte druchaus immer mal wieder schauen, ob die Angriffsvektoren sich verändern und ggf. die Abwehrmaßnahmen angepaßt werden müssen.

Genau so ist das, doch wenn man nichts sehen kann, weil z.B. die meisten FW's/NGFW's/SGW's per default nicht die entsprechenden Informationen liefern oder es überhaupt nicht können, dann kann man darauf auch schlecht reagieren. ๐Ÿ˜”

Gruss Alex
MysticFoxDE
MysticFoxDE May 28, 2024 at 15:31:12 (UTC)
Goto Top
Moin Zusammen,

folgend eine Warnung von CISCO/TALOS ...

https://blog.talosintelligence.com/large-scale-brute-force-activity-targ ...

... die +- auf dasselbe Problem hinweist, sprich, das sich die Lage aktuell deutlich verschlechtert hat.

"Cisco Talos is actively monitoring a global increase in brute-force attacks against a variety of targets, including Virtual Private Network (VPN) services, web application authentication interfaces and SSH services since at least March 18, 2024. "
๐Ÿ˜”

Daher, wenn man genauer hinschaut, dann merkt man schon auch, dass sich die Dinge aktuell nicht wirklich zum Guten entwickeln.

Gruss Alex
commodity
commodity May 28, 2024 updated at 21:00:13 (UTC)
Goto Top
finde ich diese ganzen Anspielungen so langsam etwas kindisch.
Ich spiele auf nichts an, ich habe nur Deine eigenen Worte zitiert.
Deine Überraschung verstehe ich überhaupt nicht. IMO ist das grundsätzliche "Problem" für jeden Admin eine Alltäglichkeit, die selbstverständlich immer zu beachten ist. Vielleicht hast Du Dich einfach nur unpräzise ausgedrückt.

Zum "Problem" (ein letztes Mal hoffentlich).
Wir sind uns (spätestens jetzt) offenbar einig, dass es Portscanner und (meist damit im Zusammenhang stehende) Bruteforce-Angriffe schon sehr lange gibt. Wir sind uns auch einig, dass diese zugenommen haben. Das ist doch schon mal was. Nicht einig sind wir uns bei der Beurteilung der Konsequenzen des "Problems".

IMO ist es (bis zur Grenze DDoS) völlig egal, ob es mehr oder weniger viele Scans und/oder Bruteforce-Angriffe gibt, denn die Gefahr, gehackt zu werden wächst beim BruteForce auf "normal" geschützte Systeme nur theoretisch mit der Zahl der Angriffe. "Normal" ist für mich, dass nur sichere, d.h. gepatchte Dienste ins Netz gestellt werden, diese mit sicheren Passwörtern versehen sind und nach Möglichkeit und Anspruch mit weiteren Schutzmaßnahmen (2FA, Fail2Ban u.ä.).

Ist das der Fall können 1 Mio. Russen und 10 Mio. Chinesen gleichzeitig hacken. Sie werden den Dienst nicht knacken. Vorher bricht das angegriffene Netz zusammen bzw. Fail2Ban hat sie ausgesperrt.
Omi Trudes Netz hingegen hat gar keine Ports offen, also jucken sie die Portscans nicht und zu Bruteforcen ist da auch nichts. Bei Papa Erwin ist das schon gefährlicher, wenn der seine Fotowebsite auf der Synology für die Außenwelt hostet. Aber das ist seine Sache. Auch er kann von dem Problem wissen. Wenn man einen Server betreiben möchte, stößt man sehr schnell auf die Thematik.
Eine Gefahr sind hier sicher die Klickibunti-Angebote, zB von Fritzbox, Synology & Co., die einen zum Dienstangebot verleiten, weil es ja so schön einfach ist, und vielleicht kein Anlass besteht, sich weiter schlau zu machen. Das ist aber Eigenverantwortung, sobald das signifikant wird, wird auch Papa Erwin sensibler. Letztlich betrifft das aber auch nur Privatleute.

Zusammengefasst: Die Scans und Bruteforces sind überhaupt nicht geeignet, normal geschützte (insbesondere Unternehmens-)Ziele erfolgreich anzugreifen und die Zahl der Versuche ist nicht relevant. Ist der Dienst ungenügend geschützt, ist die Wahrscheinlichkeit, dass er gehackt wird, schon per se riesig. Gibt es mehr Angriffe, tummeln sich am Ende vielleicht gleich mehrere Angreifer im Netz. Das hat aber für den Datenverlust keine Relevanz.
Anders herum: Wir haben unsere Systeme ohnehin zu schützen, gleich, ob 10 oder 10000 Angriffe pro Minute/Stunde gefahren werden. Ich kann ja wohl nicht sagen, ach den und den Port schütze ich jetzt mal nicht so streng, da laufen ja eh nicht so viele Angriffe drauf.

Statt also einen "Aufreger" aus im Ergebnis für unsere Arbeit faktisch irrelevanten Angriffen zu machen, kann man die Erhöhung der Angriffsintensität unter einem anderen Blickwinkel viel dramatischer (zugleich relevanter) thematisieren: Tatsächlich wird deren Zunahme mittlerweile zunehmend als hybride Kriegsführung interpretiert, mithin, wir werden vielleicht schon längst als Staat angegriffen, ohne dass klassische Waffen im Spiel sind. Das finde ich bedrohlich. Gehört IMO aber nicht in dieses Forum, jedenfalls nicht an diese Stelle.

Unter diesem Aspekt wäre sicher auch der Staat in der Pflicht. Dennoch wissen wir aus vielfältigen Beispielen leider, dass die Politik hierzulande sehr lange Zeit den Neuland-Gedanken gepflegt hat und sowohl das Bewusstsein, als auch die Verteidigungslinie für eine angemessene Abwehr kaum genügen. Wir sind hier gefangen in einer Situation aus zig Jahren Ignoranz der Vorgängerregierungen und der faktischen Handlungsunfähigkeit der aktuellen Regierung. Wohl sein.

Zurück zur Technik face-smile
weil z.B. die meisten FW's/NGFW's/SGW's per default nicht die entsprechenden Informationen liefern oder es überhaupt nicht können
Wohl dem, der ein kleines, preiswertes Mikrotik-Gerät sein Eigen nennt face-smile
Dort kannst Du die Scans direkt auf der Oberfläche sehen, fein nach Datenmenge und Paketen getrennt. Und oder Dir für jede erdenkliche Situation Mail/SMS/Messenger-Infos vom Router schicken lassen. Ganz meine Meinung: Transparenz ist im Netzwerk mehr als die halbe Miete.
IMO kannst Du doch aber auch auf Deinen Sophos (und allen anderen) das Live-Log aktivieren und das ein Wenig filtern. Das ist vielleicht nicht ganz so schön, aber sollte dem Zweck "Scanner-TV" auch genügen. Wird ja wohl keine Dauerbeschäftigung werden. Zu tun ist ja genug.

Viele Grüße, commodity
maretz
maretz May 29, 2024 at 10:49:26 (UTC)
Goto Top
Moin,

ich würde noch eine Sache anmerken.. Die ganzen Scans usw. - sehe ich ebenfalls als ziemlich egal. Das ist eben für mich das ganz normale hintergrundrauschen was jeder Admin mit Grundkenntnissen locker abfangen muss. Ansonsten muss ich nämlich auch Spam-Mails als "Angriff" werfen (und die sind sogar noch höher als die Portscans) - wenn mal wieder DPD, Post,... die Tracking-Infos schickt und der Link auf irgendwas zeigt.... Bei dieser Art von Angriffen sollte keiner hier noch nen feuchtes Auge bekommen - und ich persönlich mache mir nich mal die Mühe da genauer zu gucken... Wenns mal so als "Beifang" auffällt wird der Bereich mit gesperrt und fertig...

Anders sieht es bei _gezielten_ Angriffen aus. Und da wird eben keiner mit der Dampframme auf den Server gehen (ok, ausser DDoS), da schützen auch technische Maßnamen nur begrenzt und abhängig davon wieviel Aufwand derjenige wirklich investiert (gegen 2FA per SMS gabs schon Leute die sich einfach mit ner Ausrede ne extra-SIM für die Nummer geholt haben, liegengelassene Telefone,...). Oder der "Klassiker" - man ruft das "Opfer" einfach an und sagt das mal als Admin grad mal wieder die 2FA testen will - ich bin mir sicher genug werden einen das locker ermöglichen. DAS sind die Dinge wo ich mir sorgen machen würde - und nich ob irgendwelche Kiddys da irgendwelche Ports abscannen um vor den Kumpels den dicken zu machen was die doch für geile Hacker sind... Für die gibt es dankenswerterweise genug "offene" Büchsen - und da ist es wie bei nem gewöhnlichen Hauseinbruch auch -> die Alarmanlage schützt nicht - aber solange mein Nachbar alle Fenster/Türen in seinem Urlaub offen lässt ist die Chance erheblich geringer das es bei mir jemand ernst meint ;)
MysticFoxDE
MysticFoxDE May 29, 2024 at 17:53:55 (UTC)
Goto Top
Moin @commodity,

Deine Überraschung verstehe ich überhaupt nicht. IMO ist das grundsätzliche "Problem" für jeden Admin eine Alltäglichkeit, die selbstverständlich immer zu beachten ist.

du hast das immer noch nicht verstanden, dass eben genau das was ich anspreche, für die meisten Admins und erst recht für die normalen User nicht sichtbar ist, weil es entweder per Default nicht dargestellt wird, oder, vor allem bei den ganzen 0815 Provider-Routern, ohne weitere und meist etwas komplexe Zusatzaktionen, überhaupt nicht sichtbar ist. Daher lass bitte insbesondere deine Sprüche mit, alltäglich und selbstverständlich und so, den genau das ist es eben nicht!

Vielleicht hast Du Dich einfach nur unpräzise ausgedrückt.

Nein, ich habe genau das gesagt was ich sagen wollte.
Ausserdem habe ich heute im Lauf des Tages mehrere Admins gefragt, wie lange es den Ihrer Meinung nach dauern würde, bis ein im Internet neu veröffentlichter Dienst angegriffen wird und keiner davon lag auch nur annähernd bei den ~3 Minuten die ich selber genannt habe. Es war übrigens sogar ein Admin von einem DAX-Konzern darunter.

Zum "Problem" (ein letztes Mal hoffentlich).
Wir sind uns (spätestens jetzt) offenbar einig, dass es Portscanner und (meist damit im Zusammenhang stehende) Bruteforce-Angriffe schon sehr lange gibt.

Und wo hast du bitte herausgelesen, dass ich behauptet hätte, dass Portscanner und Bruteforce-Angriffe, grundsätzlich etwas Neues wären? ๐Ÿคจ
Denn alleine schon meine Überschrift, besagt bei genau hinsehen … „Steigende“ … nicht wirklich etwas anderes.
Und damit wir uns an diesem Punkt auch nicht wieder missverstehen, wenn einem, vor allem einem IT-Security-Admin, Dinge wie Portscanner und Bruteforce-Angriffe und deren Grundsätzliche funktionsweise stand heute nicht wirklich bekannt sind, dann ist das kein richtiger IT-Security-Admin!

Wir sind uns auch einig, dass diese zugenommen haben. Das ist doch schon mal was.

Halleluja …

Nicht einig sind wir uns bei der Beurteilung der Konsequenzen des "Problems".

… OK, leider doch noch nicht … aber ich gebe die Hoffnung auch nicht auf … hab‘s wahrscheinlich nur nicht ausreichend genug erklärt. ๐Ÿ™ƒ

IMO ist es (bis zur Grenze DDoS) völlig egal, ob es mehr oder weniger viele Scans und/oder Bruteforce-Angriffe gibt

Ganz sicher nicht, den jeder Angriff oder auch Portscann, schrubbt etwas an deinen Ressourcen, die dann eventuell für andere Zwecke nicht mehr (ausreichend) zur Verfügung stehen.
Und natürlich ist der Scann selber nicht wirklich gefährlich, sondern höchstens störend/hinderlich, aber, die Daten die bei diesen Scanns gesammelt werden, sind in den Falschen Händen sehr wohl sehr gefährlich. Weil damit, z.B. beim Entdecken eines neuen 0-Days, die entsprechenden Geräte viel schneller und viel gezielter angegriffen werden können. ๐Ÿ˜”

denn die Gefahr, gehackt zu werden wächst beim BruteForce auf "normal" geschützte Systeme nur theoretisch mit der Zahl der Angriffe.

Beim Brute-Force schon, es ist jedoch leider bei weitem nicht die einzige Angriffsmethode, denn bei einem 0-Day, benötigt der Angreifer im schlimmsten Fall nur einen einzigen Schuss oder wenn er sich z.B. das Passwort vorher woanders erschlichen hat.
Ja, gegen das erstere hilft auch 2FA, aber gegen die 0-Days, kann man, wenn überhaupt, nur mit GEO-Filter, Tor-Filter & Co arbeiten und spätestens hier, bist du mit normalen Routern schon weitestgehend raus, weil die das nicht wirklich (gut) können.

"Normal" ist für mich, dass nur sichere, d.h. gepatchte Dienste ins Netz gestellt werden, diese mit sicheren Passwörtern versehen sind und nach Möglichkeit und Anspruch mit weiteren Schutzmaßnahmen (2FA, Fail2Ban u.ä.).

Ähm, ja, das wäre tatsächlich sehr schön, wenn das was du da alles nennst, alltäglich, sprich normal wäre. Aber, da in unserem Land so gut wie jeder Bürger einen Internetanschluss hat, wodurch er automatisch zu einem potentiellen Opfer wird und insbesondere wegen der Tatsache, dass der absolute Grossteil davon, so gut wie überhaupt keine Ahnung von IT-Security hat, ist dein „normal“, so leider überhaupt nicht möglich, alleine schon deswegen, weil selbst gestandene ITler, das nicht wirklich immer so auf die Reihe bekommen.

Ist das der Fall können 1 Mio. Russen und 10 Mio. Chinesen gleichzeitig hacken. Sie werden den Dienst nicht knacken. Vorher bricht das angegriffene Netz zusammen bzw. Fail2Ban hat sie ausgesperrt.

Und genau hier liegst du komplett falsch!
Denn würden tatsächlich 1 Mio. Russen und 10 Mio. Chinesen auf die Idee kommen dich zu hacken und würden sie ihren Angriff auch noch untereinander Synchronisieren, dann könnten sie, vorausgesetzt dein Fail2Ban läuft mit Default-Parametern, den entsprechenden Dienst mit 91.666,66 Angriffen/Sekunde bombardieren, ohne dass das Fail2Ban auch nur einen Zugriff blockt oder irgendwie aufblinkt. ๐Ÿ˜”
Und nein, das ist keine Theorie, sondern genau das was die Angreifer schon seit Jahren treiben um solche Schutzmassnahmen wie Fail2Ban zu überlisten und dafür benötigt es auch keine 1 Mio. Russen und 10 Mio. Chinesen, sondern nur den Zugriff auf ausreichend IP’s, die man sich nach und nach z.B. durch gekaperte Systeme besorgt hat und oder mit gestohlenen Kreditkartendaten, einfach bei einem der grossen Cloud-Anbieter dazu mietet und oder gleich deren Systeme hackt.

Sprich, mit dem Fail2Ban alleine, kannst du höchstens irgendwelche 0815 Skript-Kiddies in Schach halten, was ja auch etwas bringt, aber ganz sicher keine professionellen Hackerorganisationen, die zum Teil durch Staaten/Regierungen gefördert und oder von diesen betrieben werden.

Omi Trudes Netz hingegen hat gar keine Ports offen, also jucken sie die Portscans nicht und zu Bruteforcen ist da auch nichts.

Na ja, das kommt ganz auf die Kinder und Enkel an, die auch oft an Omas und oder Oppas Fritze herumfummeln.

Bei Papa Erwin ist das schon gefährlicher, wenn der seine Fotowebsite auf der Synology für die Außenwelt hostet. Aber das ist seine Sache. Auch er kann von dem Problem wissen. Wenn man einen Server betreiben möchte, stößt man sehr schnell auf die Thematik.

Sorry, aber diese ganzen Anspielungen, dass sich doch bitte jeder IT-Nutzer, sprich, so gut wie jeder Bürger, neben vielen anderen Dingen seines Lebens, auch noch ausreichend in der IT-Security, einem der kompliziertesten IT-Fachbereiche, auskennen muss und zwar ohne jemals dafür anständig ausgebildet worden zu sein, finde ich ehrlich gesagt nicht wirklich realitätsnahe, sondern eher das Gegenteil.

Eine Gefahr sind hier sicher die Klickibunti-Angebote, zB von Fritzbox, Synology & Co., die einen zum Dienstangebot verleiten, weil es ja so schön einfach ist, und vielleicht kein Anlass besteht, sich weiter schlau zu machen. Das ist aber Eigenverantwortung, sobald das signifikant wird, wird auch Papa Erwin sensibler. Letztlich betrifft das aber auch nur Privatleute.

Ja es betrifft auch Privatleute, sprich 100% unserer deutschen Bürger!
<Sarkasmus>
Aber ja, was solls, die kommen bestimmt auch ohne entsprechendes Fachwissen und Jahre lange Erfahrung, irgendwie über die Runden. Hat ja bisher auch schon 1A funktioniert.
</Sarkasmus>


Zusammengefasst: Die Scans und Bruteforces sind überhaupt nicht geeignet, normal geschützte (insbesondere Unternehmens-)Ziele erfolgreich anzugreifen und die Zahl der Versuche ist nicht relevant. Ist der Dienst ungenügend geschützt, ist die Wahrscheinlichkeit, dass er gehackt wird, schon per se riesig.

Wenn sich die entsprechenden Scanns und auch Bruteforce-Angriffe nicht wirklich lohnen würden, dann würde es diese in diesem Umfang auch nicht wirklich geben und dann würden auch Firmen wie CISCO/TALOS, auch keine Warnmeldungen diesbezüglich veröffentlichen.

Anders herum: Wir haben unsere Systeme ohnehin zu schützen, gleich, ob 10 oder 10000 Angriffe pro Minute/Stunde gefahren werden. Ich kann ja wohl nicht sagen, ach den und den Port schütze ich jetzt mal nicht so streng, da laufen ja eh nicht so viele Angriffe drauf.

Theoretisch schon, aber wie genau willst du über 80 Millionen Internetanschlüsse, dezentral jedoch anständig schützen, wenn die meisten derer Besitzer, nicht wirklich etwas über IT-Security verstehen und es auch nicht wirklich verstehen müssen, weil es schlichtweg keine ITler sind? ๐Ÿคจ

Tatsächlich wird deren Zunahme mittlerweile zunehmend als hybride Kriegsführung interpretiert, mithin, wir werden vielleicht schon längst als Staat angegriffen, ohne dass klassische Waffen im Spiel sind. Das finde ich bedrohlich.

๐Ÿ‘๐Ÿ‘๐Ÿ‘ … sehr gut … jetzt bekommen wir die Kurve so langsam in die richtige Richtung! ๐Ÿ˜Œ


Gehört IMO aber nicht in dieses Forum, jedenfalls nicht an diese Stelle.

Aha und warum nicht, respektive, an welche Stelle gehört dieses Thema dann?

Ausserdem, ist es ja nicht so, dass BIS/BMI/BND/BKA nicht schon längst offen darüber sprechen und auch aktiv davor warnen würden.

https://www.bmvg.de/de/themen/sicherheitspolitik/hybride-bedrohungen/was ...

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-S ...


Unter diesem Aspekt wäre sicher auch der Staat in der Pflicht.

๐Ÿ‘๐Ÿ‘๐Ÿ‘, jetzt geht es definitiv in die richtige Richtung. ๐Ÿ˜

Dennoch wissen wir aus vielfältigen Beispielen leider, dass die Politik hierzulande sehr lange Zeit den Neuland-Gedanken gepflegt hat und sowohl das Bewusstsein, als auch die Verteidigungslinie für eine angemessene Abwehr kaum genügen. Wir sind hier gefangen in einer Situation aus zig Jahren Ignoranz der Vorgängerregierungen und der faktischen Handlungsunfähigkeit der aktuellen Regierung. Wohl sein.

Ja, die Lage ist schlichtweg Schei..se!
Wenn wir jedoch jetzt nicht aufwachen und stattdessen, die Digitalisierung in dieser Art und weise weiter vorantreiben wie bisher, dann dauert es meiner Ansicht nach nicht mehr wirklich lange, bis der ganz grosse Knall kommt. ๐Ÿ˜”

Und ja, wir haben meiner Ansicht nach auch noch die Chance, das Ruder diesbezüglich noch zum Positiven herumzureissen, aber dafür müssen wir jetzt endlich aufwachen und am besten ganz schnell eine ganze Menge Dinge erledigen.

Dort kannst Du die Scans direkt auf der Oberfläche sehen, fein nach Datenmenge und Paketen getrennt. Und oder Dir für jede erdenkliche Situation Mail/SMS/Messenger-Infos vom Router schicken lassen. Ganz meine Meinung: Transparenz ist im Netzwerk mehr als die halbe Miete.

Wenn das so ist, dann kannst du ja gerne mal eine Anleitung darüber schreiben, wie man das auf den Mikrotik-Gerätchen macht, würde sicherlich einige sehr interessieren/erfreuen. ๐Ÿ˜‰

IMO kannst Du doch aber auch auf Deinen Sophos (und allen anderen) das Live-Log aktivieren und das ein Wenig filtern.

Steigende Scan- und Angriffsintensitรคt auf Internetanschlรผsse seitens Russland
๐Ÿ˜‰๐Ÿ™ƒ

Beste Grüsse aus dem Schwabenland
Alex
11020714020
11020714020 May 29, 2024 at 19:54:36 (UTC)
Goto Top
Nur mal so nebenbei, derzeit laufen größere Angriffe auf IT-Dienstleister und andere exponierte Ziele über Confluence- (oder Confluence-Plugins) und Jira-Systeme, auch über Atlassian-Produkte, die bisher unbekannte Angriffs-Vektoren nutzen bzw. Zero-Day-Schwachstellen ausnutzen.


Na ja, was ich damit sagen möchte: Ein vernünftiges 24/7-Monitoring und passende Analyse-Systeme und ein funktionierendes SOC sollte man zumindest nicht so rundweg in Abrede stellen.

Könnte ja sein, dass sowas durchaus auch mal einen größeren Schaden verhindert, gelle face-wink
commodity
commodity May 29, 2024, updated at May 30, 2024 at 10:24:45 (UTC)
Goto Top
Hallo Alex,
du hast das immer noch nicht verstanden, dass eben genau das ... für die meisten Admins und erst recht für die normalen User nicht sichtbar ist,
Man muss nichts sehen, was man weiß und kein Einfallstor bietet.
Ich behaupte mal (ohne es aus eigener Anschauung zu wissen), dass zuständige Netzwerkadmins das im Blick haben. Die hat aber natürlich nicht jeder.
Die Admins, die Du da angesprochen hast, waren dann mit Sicherheit keine Netzwerkadmins. Sicher nicht einmal netzwerkaffin. Das ist nun wirklich Netzwerker- und Serveradmin-Grundwissen. Wer sich aber mit ganz anderen Dingen befasst, muss das natürlich auch nicht wissen. Wieder mal ein Beispiel für die große weite Admin-Welt. Solche Kollegen werden dann sicher auch keine Zuständigkeit für Dienste im Internet haben.
Ganz sicher nicht, den jeder Angriff oder auch Portscann, schrubbt etwas an deinen Ressourcen
lahm. Dann miss das mal.
... aber, die Daten die bei diesen Scanns gesammelt werden, sind in den Falschen Händen sehr wohl sehr gefährlich.
noch lahmer. Für die Datenerfassung brauche ich ja nicht viele Scans, da reicht auch ein einziger Chinese, der das in die Datenbank einspielt.
... bei einem 0-Day, benötigt der Angreifer im schlimmsten Fall nur einen einzigen Schuss oder wenn er sich z.B. das Passwort vorher woanders erschlichen hat.
Ja, das hat aber nichts mit dem Threadthema zu tun. Außerdem weißt Du ja wohl, wie man das korrekt absichert face-smile
... so gut wie jeder Bürger einen Internetanschluss hat, wodurch er automatisch zu einem potentiellen Opfer wird
Sorry, der Bürger ist mir völlig egal. Wer als Bürger einen Dienst ins Netz stellt und sich nicht schützt, ist nicht mein Problem. Wir sind hier nicht bei computerbase oder einherzfuerbuerger, sondern bei administrator.de
Ein Admin, der ins Netz gestellte Dienste nicht schützt, hat seinen Beruf verfehlt.
Ist das der Fall können 1 Mio. Russen und 10 Mio. Chinesen gleichzeitig hacken. Sie werden den Dienst nicht knacken.
Und genau hier liegst du komplett falsch!
Au Weia!
Denn würden ... sie ihren Angriff auch noch untereinander Synchronisieren, dann könnten sie, vorausgesetzt dein Fail2Ban läuft mit Default-Parametern, den entsprechenden Dienst mit 91.666,66 Angriffen/Sekunde bombardieren, ohne dass das Fail2Ban auch nur einen Zugriff blockt oder irgendwie aufblinkt. ๐Ÿ˜”
Uiuiui!
...
Und?
Sie brauchen

a) viel mehr Angriffe - ich habe mal ChatGPT zu einem aktuellen ED25519-SSH-Key befragt. Dafür gibt es 3.23×10^607 Milliarden Kombinationen.
Schon für ein Passwort mit 20 Zeichen beträgt (wieder ChatGPT: ) die Anzahl der möglichen Kombinationen (bei Verwendung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) etwa 2.90×10^30 Milliarden.

Fail2ban packt beim 3. oder 5. Versuch zu. Wieviele Millionen Rechner/IP-Adressen/wasauchimmer brauchen wir jetzt, damit jeder nur 3 Versuche hat?

b) bräche mein Netz zusammen.
c) wäre es ein Leichtes, das bei Bedarf mit einem IDS oder einem simplen Warnmechanismus abzufangen. Der Bedarf ist nur gar nicht da (s.o.)
Und nein, das ist keine Theorie, sondern genau das was die Angreifer schon seit Jahren treiben um solche Schutzmassnahmen wie Fail2Ban zu überlisten und dafür benötigt es auch keine 1 Mio. Russen und 10 Mio. Chinesen, sondern nur den Zugriff auf ausreichend IP’s, die man sich nach und nach z.B. durch gekaperte Systeme besorgt hat und oder mit gestohlenen Kreditkartendaten, einfach bei einem der grossen Cloud-Anbieter dazu mietet und oder gleich deren Systeme hackt.
Ich hab den Satz, den Du Dir da selbst hübsch zusammengereimt hast, mal in seiner vollen Pracht stehen gelassen. Lass ihn vielleicht im Lichte der oben zu a) genannten Zahlen noch mal auf Dich wirken.
Sprich, mit dem Fail2Ban alleine, kannst du höchstens irgendwelche 0815 Skript-Kiddies in Schach halten,
Wenn Du das sagst...
Wenn sich die entsprechenden Scanns und auch Bruteforce-Angriffe nicht wirklich lohnen würden, dann würde es diese in diesem Umfang auch nicht wirklich geben ...
Wenn Du mal die Antworten auf Dein Lamento gelesen hättest, hättest Du oben schon gelesen, dass und warum sie sich lohnen. Aber sicher nicht gegen Dienste, die in einigermaßen qualifizierten Händen liegen.
... hybride Kriegsführung
Gehört IMO aber nicht in dieses Forum, jedenfalls nicht an diese Stelle.
Aha und warum nicht, respektive, an welche Stelle gehört dieses Thema dann?
Du hast Deinen Thread in den Forenbereich Firewall/Sicherheit eingestellt, nicht in den Bereich Politik (gibt's hier nicht) oder Sonstiges (gibt's hier, heißt glaube ich anders).
... dauert es meiner Ansicht nach nicht mehr wirklich lange, bis der ganz grosse Knall kommt. ๐Ÿ˜”
Aber sicher nicht wegen "gesteigerter" Portscans face-wink
Im Übrigen ist es ein Privileg des Alters, zu jammern und zu klagen. Dafür bist Du sicher noch zu jung face-big-smile
Der Kollege @Lochkartenstanzer hat oben schon was kluges zum Thema Weltsicht in diesem Kontext gesagt.
Und ja, wir haben meiner Ansicht nach auch noch die Chance, das Ruder diesbezüglich noch zum Positiven herumzureissen, aber dafür müssen wir jetzt endlich aufwachen und am besten ganz schnell eine ganze Menge Dinge erledigen.
Und dafür müssen wir hier kilometerlange Threads über netzwerktechnische Selbstverständlichkeiten vollschreiben?
Steht oben schon, auch von @Lochkartenstanzer:
selbst machen.

... Dort kannst Du die Scans direkt auf der Oberfläche sehen, fein nach Datenmenge und Paketen getrennt. ...
Wenn das so ist, dann kannst du ja gerne mal eine Anleitung darüber schreiben, wie man das auf den Mikrotik-Gerätchen macht, würde sicherlich einige sehr interessieren/erfreuen. ๐Ÿ˜‰
Sicherlich nicht.
Das ist nun wirklich ein bisschen unter Niveau für ein Administrator-Forum face-smile. Wer Router OS nur ein winziges bisschen kennt, weiß, dass die Paket- und Bytezahlen neben jeder Regel live angezeigt werden. Also einfach eine Regel ins RAW der Firewall, die die auf die gewünschten Ports prüft und fertig. Sieht dann so aus (rechts die Zahlen in Bytes und Packets):

screenshot 2024-05-29 221551

Und wenn Du das auf der Sophos kannst (wo es nicht ganz so transparent, aber immerhin möglich ist), warum sollten es andere dort nicht auch können.

Also, wo ist jetzt noch gleich das Problem?

Viele Grüße, commodity
maretz
maretz May 30, 2024 at 05:27:32 (UTC)
Goto Top
Nur mal so nebenbei:
---qoute---
Es war übrigens sogar ein Admin von einem DAX-Konzern darunter.
---/qoute---
Und was genau hat diese Information für einen Aussagewert? Je grösser das Unternehmen umso blinder werden auch die Leute weil eben der "Admin" da ggf. eben nur noch 1-2 Aufgaben hat während der im KMU eben auf alles gucken muss... Der DAX-Admin guckt halt ob seine 3-5 Server / Dienste / whatever sicher sind (oder wieviel auch immer der hat) - und wenn zB. seine Server sicher sind ist es dem idR. völlig egal was auf den Arbeitsplätzen is -> das is ne andere Abteilung...

Was ich lustig finde ist die Rufe nach dem Staat. Wenn der Staat hier eingreifen würde wäre es schon fraglich was mit "Netzneutral" gemeint ist. Oder welcher Eingriff ist hier denn genau gemeint der eben nicht auch zur Zensur führen würde? Was passiert zB. wenn der Angriff aus nem Bot-Netz stattfindet und von mir aus sogar auf nen Honeypot geht -> soll die IP gesperrt werden? Nur blöd wenns dann irgendein aktuell russisches Staatsmedium is, da liegt dann schon gleich mal nahe das Zensiert wurde. Und nebenbei könnte man so natürlich auch schön leicht zensieren INDEM man eben sagt "aber von dem IP-Range oder von der IP kam nen Angriff, war uns ja gar nich bewusst das da noch was anderes läuft"... Sorry, für mich klingt das so wie die Forderung nach mehr Polizei weil man selbst nicht in der Lage ist seine Haustür zuzumachen...
MysticFoxDE
MysticFoxDE May 30, 2024 at 06:44:01 (UTC)
Goto Top
Moin @commodity,

Man muss nichts sehen, was man weiß und kein Einfallstor bietet.

also hast du es leider immer noch nicht verstanden.

Ich behaupte mal (ohne es aus eigener Anschauung zu wissen), dass zuständige Netzwerkadmins das im Blick haben. Die hat aber natürlich nicht jeder.

Ach commodity, wach endlich mal aus deinem Wunschtraum auf und dann merkst du auch ganz schnell, dass viele KMU-Admins, sich noch nicht mal ausreichend mit VLAN’s auskennen.

Die Admins, die Du da angesprochen hast, waren dann mit Sicherheit keine Netzwerkadmins. Sicher nicht einmal netzwerkaffin. Das ist nun wirklich Netzwerker- und Serveradmin-Grundwissen.
Wer sich aber mit ganz anderen Dingen befasst, muss das natürlich auch nicht wissen. Wieder mal ein Beispiel für die große weite Admin-Welt. Solche Kollegen werden dann sicher auch keine Zuständigkeit für Dienste im Internet haben.

Du solltest meiner Meinung nach, deine Überheblichkeit etwas zurückschrauben, denn damit schadest du momentan nur dir selber, vor allem, weil du das Problem was ich ansprechen möchte, selber noch nicht wirklich verstanden hast …

noch lahmer. Für die Datenerfassung brauche ich ja nicht viele Scans, da reicht auch ein einziger Chinese, der das in die Datenbank einspielt.

… was du übrigens mit diesem Kommentar, auch eindeutig beweist. ๐Ÿ˜”

... bei einem 0-Day, benötigt der Angreifer im schlimmsten Fall nur einen einzigen Schuss oder wenn er sich z.B. das Passwort vorher woanders erschlichen hat.
Ja, das hat aber nichts mit dem Threadthema zu tun.

Das ist deine Meinung und der Rest, sprich die anderen, können ja zum glück ihre eigene Meinung darüber bilden.
Und übrigens, worüber/worauf ich in meinem Beitrag sprechen/hinweisen möchte, entscheide vorrangig ich und nicht du. ๐Ÿ˜‰

Außerdem weißt Du ja wohl, wie man das korrekt absichert face-smile

Zu ~ 95% ja und die anderen 4,9%, muss ich ständig neu dazulernen und der Rest bleibt Risiko.
Und das Dazulernen mache ich mitunter auch dadurch, dass ich mir den Datenverkehr ansehe, den du hier die ganze Zeit für uninteressant/unwichtig/ungefährlich darstellst. Ausserdem habe ich schon diverseste Incidents im KMU-Bereich betreut und habe dadurch auch schon mehr als genug in den letzten Jahren sehen müssen.

Sorry, der Bürger ist mir völlig egal.

Mir aber ganz sicher nicht und ich hoffe auch inständig, dass ich mit dieser Ansicht, hier nicht alleine bin!

Wer als Bürger einen Dienst ins Netz stellt und sich nicht schützt, ist nicht mein Problem. Wir sind hier nicht bei computerbase oder einherzfuerbuerger, sondern bei administrator.de

Ähm, du entscheidest hier aber ganz sicher und so wie es aussieht auch zum Glück, nicht darüber was und vor allem von wem hier etwas gepostet wird, solange es nicht gegen die Regeln verstösst.
Und die Regeln hier, bestimmt glaube ich noch nach wie vor der @Frank.

Ausserdem hättest du bei der Anmeldung, vielleicht auch mal die folgende Combobox aufklappen sollen.
administrator.de usergruppen 01
+
administrator.de usergruppen 02
๐Ÿ˜‰

Au Weia!
Uiuiui!

Wie gesagt, es wird langsam zu kindisch!

Und?
Sie brauchen

a) viel mehr Angriffe - ich habe mal ChatGPT zu einem aktuellen ED25519-SSH-Key befragt. Dafür gibt es 3.23×10^607 Milliarden Kombinationen.
Schon für ein Passwort mit 20 Zeichen beträgt (wieder ChatGPT: ) die Anzahl der möglichen Kombinationen (bei Verwendung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) etwa 2.90×10^30 Milliarden.

๐Ÿ˜ฎ … ähm, nur damit ich und auch die anderen das auch richtig verstanden haben.
Du hast also ChatGPT gefragt, wie lange es dauern würde ein 20stelliges, mit einem „SSH-ED25519“ Algorithmus verschlüsseltes Passwort mit Brot-Force zu hacken und es hat dir ganz sicher das was du geschrieben hast geantwortet?

๐Ÿ™‚๐Ÿ™ƒ๐Ÿ™‚๐Ÿ™ƒ … ๐Ÿ˜‚๐Ÿคฃ๐Ÿ˜‚๐Ÿคฃ … Moment … ich muss mal kurz in den Wald, einen Schrei loslassen, denn die Nachbarn und meine beiden Hausdrachen schlafen noch.

… โฑ๏ธ …

So, bin wieder da.

Jetzt mache mir bitte einen Gefallen, stelle ChatGPT die gleiche Frage wie vorher.
Ja, dann bekommst du wahrscheinlich auch dieselbe Antwort.
Aber, danach stellst du „ChatGPT“ dann bitte noch die folgende Frage …

„Wie kommst du überhaupt darauf, dass man ein 20 Zeichen langes Passwort, mit einem „SSH-ED25519“ Algorithmus verschlüsseln kann, wenn dieser Algorithmus ausschliesslich nur zum Signieren und nicht zum Verschlüsseln gedacht ist?“

Und danach würde dir ein kleiner Spazierganz durch den Wald, glaube ich auch ganz guttun. ๐Ÿ˜‰

Fail2ban packt beim 3. oder 5. Versuch zu. Wieviele Millionen Rechner/IP-Adressen/wasauchimmer brauchen wir jetzt, damit jeder nur 3 Versuche hat?

b) bräche mein Netz zusammen.
c) wäre es ein Leichtes, das bei Bedarf mit einem IDS oder einem simplen Warnmechanismus abzufangen. Der Bedarf ist nur gar nicht da (s.o.)

Übrigens, Brot-Force bedeutet nicht nur, dass man Stumpf von A-Z durchtestet, sondern gilt auch dann, wenn man mit Listen z.B. gängigster oder gestohlener Passwörter, arbeitet.

Ich hab den Satz, den Du Dir da selbst hübsch zusammengereimt hast, mal in seiner vollen Pracht stehen gelassen. Lass ihn vielleicht im Lichte der oben zu a) genannten Zahlen noch mal auf Dich wirken.

Du meinst wegen der Aussage von ChatGPT …
bing ai ssh-ed25519
… ๐Ÿ˜‰

Sprich, mit dem Fail2Ban alleine, kannst du höchstens irgendwelche 0815 Skript-Kiddies in Schach halten,
Wenn Du das sagst...

Ich kann es dir sogar, dank duzenden von Logs, auch gerne sehr einfach beweisen.

Du hast Deinen Thread in den Forenbereich Firewall/Sicherheit eingestellt, nicht in den Bereich Politik (gibt's hier nicht) oder Sonstiges (gibt's hier, heißt glaube ich anders).

Wenn @Frank meint, dass ich diesen Beitrag falsch getagt habe, dann wird er sich schon bei mir melden.

Aber sicher nicht wegen "gesteigerter" Portscans face-wink

Du hast den Zusammenhang der Portscans mit den Angriffen, glaube ich immer noch nicht wirklich verstanden. ๐Ÿ˜”

Im Übrigen ist es ein Privileg des Alters, zu jammern und zu klagen. Dafür bist Du sicher noch zu jung face-big-smile

Mein Fell ist auch schon so gut wie komplett grau. ๐Ÿคช


Wenn das so ist, dann kannst du ja gerne mal eine Anleitung darüber schreiben, wie man das auf den Mikrotik-Gerätchen macht, würde sicherlich einige sehr interessieren/erfreuen. ๐Ÿ˜‰
Sicherlich nicht.
Das ist nun wirklich ein bisschen unter Niveau für ein Administrator-Forum face-smile.
Wer Router OS nur ein winziges bisschen kennt, weiß, dass die Paket- und Bytezahlen neben jeder Regel live angezeigt werden. Also einfach eine Regel ins RAW der Firewall, die die auf die gewünschten Ports prüft und fertig. Sieht dann so aus (rechts die Zahlen in Bytes und Packets):

screenshot 2024-05-29 221551

Ähm, sorry aber das ist beim Monitoring einer FW eher das absolut unterste Level und ja, diese Counter werden auch bei einer Sophos XGS je Regel angezeigt. Die nutze ich aber eher für einen sehr groben Lagecheck, jedoch ganz sicher nicht für eine genauere Angriffsanalyse.

Und wenn Du das auf der Sophos kannst (wo es nicht ganz so transparent, aber immerhin möglich ist)

Bitte was, auf einer Sophos XGS ist also das Monitoring nicht ganz so einfach und transparent möglich wie auf einem Mikrotik Gerättle … ja ist gut, träum ruhig weiter.

warum sollten es andere dort nicht auch können.

Können kann es theoretisch jede(r), zumindest mit einer Sophos XGS, er/sie muss sich halt etwas mit der entsprechenden Materie beschäftigen und dann es dann auch wirklich machen.

Also, wo ist jetzt noch gleich das Problem?

Momentan glaube ich noch beim Verstehen und dann wahrscheinlich beim Machen. ๐Ÿ˜”

Gruss Alex
MysticFoxDE
MysticFoxDE May 30, 2024 at 07:19:35 (UTC)
Goto Top
Moin @maretz,

ich würde noch eine Sache anmerken.. Die ganzen Scans usw. - sehe ich ebenfalls als ziemlich egal. Das ist eben für mich das ganz normale hintergrundrauschen was jeder Admin mit Grundkenntnissen locker abfangen muss.

wie schon an @commodity in einem der letzte Posts geschrieben, geht es mir bei den Scans selber nicht darum, dass diese selbst einen Schaden anrichten würden, sprich selcht direkt schadhaft wären.

Mit den Informationen die bei diesen Scans jedoch beschaffen werden, können die entsprechenden Übeltäter, z.B. beim Erscheinen eines neuen 0-Day der z.B. die Cisco ASA's betrifft, diese dann auch viel schneller und effektiver angreifen, weil die dank der durch die Scans gewonnen Daten, die Angreifer so ziemlich genau wissen, an welcher externen IP sich aktuell eine Cisco ASA oder eine Sophos XGS oder ein bestimmter Webservertyp u.s.w., befindet. ๐Ÿ˜”

Anders sieht es bei _gezielten_ Angriffen aus. Und da wird eben keiner mit der Dampframme auf den Server gehen (ok, ausser DDoS), da schützen auch technische Maßnamen nur begrenzt und abhängig davon wieviel Aufwand derjenige wirklich investiert (gegen 2FA per SMS gabs schon Leute die sich einfach mit ner Ausrede ne extra-SIM für die Nummer geholt haben, liegengelassene Telefone,...). Oder der "Klassiker" - man ruft das "Opfer" einfach an und sagt das mal als Admin grad mal wieder die 2FA testen will - ich bin mir sicher genug werden einen das locker ermöglichen. DAS sind die Dinge wo ich mir sorgen machen würde

Ja, das sind definitiv auch Dinge über die man sich durchaus auch Gedanken/Sorgen machen muss,

und nich ob irgendwelche Kiddys da irgendwelche Ports abscannen um vor den Kumpels den dicken zu machen was die doch für geile Hacker sind...

Es sind aber eben keine Cyber-Kiddies die überwiegend die Scans ausführen die ich meine, denn die Cyber-Kiddies scannen meistens mit nur einer IP und zwar der des eigenen WAN Anschlusses. ๐Ÿ™ƒ

Die Scans die ich jedoch meine, werden mit Absicht zum Teil über tausende von IP's verschleiert, um unter anderem nicht so schnell aufzufallen, aber auch um Schutzmassnahmen wie Fail2Ban zu umgehen. ๐Ÿ˜”

Gruss Alex
kreuzberger
kreuzberger May 30, 2024 at 07:21:35 (UTC)
Goto Top
Also, ich hab ja so gar keine Ahnung von Security in der IT. Absolut Null. Ich kann mich nur dunkel erinnern wie ich vor gefühlt 300 Millionen Jahren in meiner IT Ausbildung am ersten Tag die Aufgabe hatte, meinen Computer-Account einzurichten . . . mit Benutzername . . . und Passwort!!!!!
Das war also meine allererste Aufgabe, und schon hatte ich mit IT Security zu tun.

Vergleichbar mit dem was @MysticFoxDE hier erklärt ist das natürlich nicht. Denn Ahnung von etwas zu haben oder eben nicht ist ein riesen Unterschied. Überhaupt ist es inzwischen (seit meiner Ausbildung) kaum bis gar nicht mehr möglich, von allem in der IT Ahnung zu haben. Ich will sagen: Es ist unmöglich.
Dennoch aber wird vom Feld-Wald-und-Wiesen-Admin (bin icke!) alles abverlangt, was man in der IT so alles Wissen muss. Der Einzelkämpfer eben, der als Universalgenie nebenher noch Jurist (DSGVO, Betriebsverfassungsgesetz, GmbH-Gesetz . . . ), Arbeitsschutz, BSI, Sozialpädagoge für heulende Sekretärinnen, und was nicht alles zudem wissen muss.
Wenn ich mir aus meiner Lebenserfahrung in der Arbeitswelt der IT so manch einen Super-Windows-Netzwerk-Guru anschaue scheitern diese oft genug beim elementaren: Beim netten, freundlichen und hilfsbereiten Umgang mit Kolleginnen und Kollegen, mit Menschen.

Jede(r) hier darf sich Admin nennen. Ob studiert mit drei Doktortiteln, oder als Quereinsteiger im Goethe-Gymnasium weil er als Physiklehrer schon mal einen Vobis-Heim-PC hatte und deshalb weiß wo der Einschaltknopf ist.
Ich dachte dieses Forum ist für alle, die was wissen wollen, und nicht dazu da, sich vorführen zu lassen.

Kreuzberger
kreuzberger
kreuzberger May 30, 2024 at 07:38:38 (UTC)
Goto Top
commodity
commodity May 30, 2024 updated at 11:42:46 (UTC)
Goto Top
Hallo Alex,
ich gehe mal nicht auf den unsachlichen Teil ein und auch nicht auf alles bereits zuvor mehrfach gedoppelte.
also hast du es leider immer noch nicht verstanden.
nein
๐Ÿ˜ฎ … ähm, nur damit ich und auch die anderen das auch richtig verstanden haben.
Du hast also ChatGPT gefragt, wie lange es dauern würde ein 20stelliges, mit einem „SSH-ED25519“ Algorithmus verschlüsseltes Passwort mit Brot-Force zu hacken und es hat dir ganz sicher das was du geschrieben hast geantwortet?
Nein, da hast Du was falsch verstanden. Das sind zwei Paar Schuhe.
Deshalb ist oben auch ein Absatz dazwischen. Und die Security beschrieben. ChatGPT hat nur für mich gerechnet.
Die Berechnungen bezogen sich auf zwei Fälle:
Variante a) SSH-Key:
SSH-Key Erstellung mit ED25519 (aktueller Standard): https://www.heise.de/tipps-tricks/SSH-Key-erstellen-so-geht-s-4400280.ht ...
Variante b) 20-Stelliges Passwort (bei Verwendung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen)
kann jeder selbst.
„Wie kommst du überhaupt darauf, dass man ein 20 Zeichen langes Passwort, mit einem „SSH-ED25519“ Algorithmus verschlüsseln kann, wenn dieser Algorithmus ausschliesslich nur zum Signieren und nicht zum Verschlüsseln gedacht ist?“
Ich hoffe, damit ist auch dieses Missverständnis geklärt.
Übrigens, Brot-Force bedeutet nicht nur, dass man Stumpf von A-Z durchtestet, sondern gilt auch dann, wenn man mit Listen z.B. gängigster oder gestohlener Passwörter, arbeitet.
Uiui.
Du hast Deinen Thread in den Forenbereich Firewall/Sicherheit eingestellt, nicht in den Bereich Politik (gibt's hier nicht) oder Sonstiges (gibt's hier, heißt glaube ich anders).
Wenn @Frank meint, dass ich diesen Beitrag falsch getagt habe, dann wird er sich schon bei mir melden.
Du hattest gefragt, warum ich Eröterungen zur hybriden Kriegsführung hier unpassend finde. Das hat nichts mit Frank zu tun. Ich finde weiter, in den Bereich Firewall gehört keine Politik. Und Du kannst natürlich machen, was Du magst. Ich habe nur Deine Frage beantwortet.
Ähm, sorry aber das ist beim Monitoring einer FW eher das absolut unterste Level ... ganz sicher nicht für eine genauere Angriffsanalyse.
Du hattest (auch hier) gefragt. Es ging bei Deiner Frage nicht um Angriffsanalyse sondern um Sichtbarkeit.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE May 30, 2024 at 08:59:09 (UTC)
Goto Top
Moin @kreuzberger,


das ist sehr interessant und dürfte wohl auch der Grund sein, warum die Scans und auch Angriffe, in den letzten Tagen etwas (gefühlt im einstelliger Prozentbereich) zurückgegangen sind.

Hab's gerade selber, nach einem Hinweis von einem Kunden der heute wohl keinen Feiertag hat, geschwind noch geprüft. ๐Ÿ™ƒ
Ist zwar nicht viel aber dennoch schon mal sehr gut!

So und jetzt muss i no a weng mauern, was übrigens sehr gut ist, um von diesem ganzen IT-Stress mal anständig runterzukomma. ๐Ÿคช

Gruss Alex
maretz
maretz May 30, 2024 at 18:04:04 (UTC)
Goto Top
Ganz ehrlich - glaubst du wirklich das diese Scans im grossen Stil irgendwelche Vorbereitungen sind? Und natürlich scannen Script-Kiddys nur eine IP - nich etwa das die eben auch irgendwelche vorgefertigten Scripts nutzen würden die eben über Bereiche gehen... Für die hälfte von denen ist es schon schwer genug in der Schule nen Kugelschreiber zu halten - da is die Kommandozeile von nmap u. co noch ganz weit weg...

Stell dir doch einfach mal umgekehrt vor - wie würdest du einen realen Angriff starten? Indem du erstmal fröhlich munter rumscannst und ggf. riskierst das irgendein Fail2Ban oder nen aufmerksamer Admin einfach deine IP (oder deinen Bereich) blockt? Übertragen auf die reale Welt - würde ein Einbrecher der genau weiss wo was zu holen ist wohl erstmal an allen Türen und Fenstern rütteln und Klingeln? Vermutlich nicht, oder? Da wo es auch nur ansatzweise gezielt ist da wird man andere Techniken nutzen - im einfachsten Fall einfach mal die Firma anrufen und sich eben geschickt anstellen so das man nutzbare Infos gewinnt. Glaubst du irgendeine Rezi-Person wird misstrauisch wenn du da anrufst u. zB. sagst du bist Systemhaus "ganzTollundKaputt" und möchtest dich gerne als Partner vorstellen - ob die dir bitte sagen können ob IT bei denen "In-House" oder "Extern" ist und wer denn deine Ansprechperson wäre... Da wird vermutlich kaum jemand misstrauisch und selbst wenn die dann bei der internen IT irgendwann erwähnt das sich da nen Sys-Haus vorstellen wollte und du da ggf. natürlich nicht angerufen hast - so what... Es ist numal einfacher, sicherer und erfolgreicher die Person vorm Rechner erstmal anzugehen als mit irgendwelchen Portscans oder sonstwas loszulegen...

Und wenn ich hier so lese was so die Einwände sind - stimmt, ne Fritzbox usw. erlauben nicht viel Scanmöglichkeiten... Warum auch - es hilft dir wenig wenn du zwar ne Analyse-Möglichkeit hast aber nicht verstehst was da so steht. Auch da auf die reale Welt: Du darfst nen Auto auch dann fahren wenn du keine Ahnung hast wie der Motor funktioniert oder wie der chemische Aufbau vom Benzin ist... Sofern du eben die grundlegenden Regeln kennst kannst du loslegen - ok, du musst halt ne prüfung ablegen, das wirst du aber beim Internet so nicht umsetzen können. Und genauso wie es in einigen Ländern eher ungünstig ist mit der guten BOSS-Jacke, den neuesten iPhone-Superduper und dicken Uhren am Arm rumzulaufen machen eben einige im Internet genau das - die lassen eben Tür und Tor offenstehen (oder klicken auf alles was bunt ist) und schon hast du lustige Bots... Und HIER schließt sich dann die Lücke zu den Script-Kiddys nämlich wieder - diese Bot-Netze werden dann von besagten Kiddys genutzt um da mit viel Radau die Türen abzuklappern...
maretz
maretz May 30, 2024 at 18:06:00 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @kreuzberger,


das ist sehr interessant und dürfte wohl auch der Grund sein, warum die Scans und auch Angriffe, in den letzten Tagen etwas (gefühlt im einstelliger Prozentbereich) zurückgegangen sind.

Hab's gerade selber, nach einem Hinweis von einem Kunden der heute wohl keinen Feiertag hat, geschwind noch geprüft. ๐Ÿ™ƒ
Ist zwar nicht viel aber dennoch schon mal sehr gut!

So und jetzt muss i no a weng mauern, was übrigens sehr gut ist, um von diesem ganzen IT-Stress mal anständig runterzukomma. ๐Ÿคช

Gruss Alex

ja klar - weil (lt. Nachrichten) ca. 100 Server vom Netz gegangen sind? Auch da: Entweder hast du wirklich GLÜCK bei deinen Servern oder das is verglichen zu den normalen Scans einfach nur der Wassertropfen der in die Sonne geschossen wird... 100 Server sind weg? Selbst wenn davon einige Command-Server für Bot-Netze waren ist das eben eher so das nebengeräusch im Grundrauschen...
MysticFoxDE
MysticFoxDE May 30, 2024 at 23:08:50 (UTC)
Goto Top
Moin @maretz,

Ganz ehrlich - glaubst du wirklich das diese Scans im grossen Stil irgendwelche Vorbereitungen sind?

na klar, denn ohne eine anständige Vorbereitung, ziehen eigentlich nur Amateure direkt in den Kamp. ๐Ÿ˜‰

Und natürlich scannen Script-Kiddys nur eine IP - nich etwa das die eben auch irgendwelche vorgefertigten Scripts nutzen würden die eben über Bereiche gehen... Für die hälfte von denen ist es schon schwer genug in der Schule nen Kugelschreiber zu halten - da is die Kommandozeile von nmap u. co noch ganz weit weg...

Du hast mich glaube ich missverstanden, die Script-Kiddys scannen nicht ständig nur eine Ziel-IP, sondern scannen hin und wieder mit ein und derselben Quell-IP. Unterschätzen darf man diese Gattung jedoch trotzdem nicht, denn trotz dessen, dass viele von denen noch keinen Kugelschreiber halten können, sind viele von denen mit der Tastatur schon besser unterwegs, als so mancher Profi-ITler.

Stell dir doch einfach mal umgekehrt vor - wie würdest du einen realen Angriff starten?

Na ja, nachdem ich nun schon jahrelang zugesehen habe, ist die Antwort darauf relativ einfach.

Man scannt im Vorfeld die Zielumgebung und erstellt somit eine möglichst genaue „Landkarte“ mit Zusatzinformationen über die entsprechenden Endgeräte oder Dienste, die aktuell hinter den entsprechenden IP’s stecken. Und sobald man dann eine Möglichkeit gefunden hat, z.B. durch entdecken/entwickeln eines 0-Day’s, greift man ganz schnell und gezielt nur noch die entsprechenden Geräte/Dienste an um so viele wie möglich zu erwischen, bevor das Loch geschlossen wird.

Indem du erstmal fröhlich munter rumscannst und ggf. riskierst das irgendein Fail2Ban oder nen aufmerksamer Admin einfach deine IP (oder deinen Bereich) blockt?

So ähnlich würde es ein Skript-Kiddie machen, aber sicherlich keine hochprofessionalisierten Hacker.
Wie schon zuvor geschrieben, verwenden die professionellen Angreifer, alleine zum Scannen riesige Quell-IP-Bereiche, die zum Teil auch noch quer über den Planeten verteilt sind. Sie scannen auch nicht ständig die gleiche Ziel-IP mit derselben Quell-IP, sondern wechseln nach 5 gescannten Ports einfach die Quell-IP, um z.B. Fail2Ban zu umgehen und auch um nicht zu sehr aufzufallen. ๐Ÿ˜”

Übertragen auf die reale Welt - würde ein Einbrecher der genau weiss wo was zu holen ist wohl erstmal an allen Türen und Fenstern rütteln und Klingeln? Vermutlich nicht, oder?

Wenn ein Einbrecher schon genau weiss wo was zu holen ist, dann muss er vorher die Umgebung beobachtet/gescannt haben. ๐Ÿ˜‰

Da wo es auch nur ansatzweise gezielt ist da wird man andere Techniken nutzen - im einfachsten Fall einfach mal die Firma anrufen und sich eben geschickt anstellen so das man nutzbare Infos gewinnt. Glaubst du irgendeine Rezi-Person wird misstrauisch wenn du da anrufst u. zB. sagst du bist Systemhaus "ganzTollundKaputt" und möchtest dich gerne als Partner vorstellen - ob die dir bitte sagen können ob IT bei denen "In-House" oder "Extern" ist und wer denn deine Ansprechperson wäre... Da wird vermutlich kaum jemand misstrauisch und selbst wenn die dann bei der internen IT irgendwann erwähnt das sich da nen Sys-Haus vorstellen wollte und du da ggf. natürlich nicht angerufen hast - so what... Es ist numal einfacher, sicherer und erfolgreicher die Person vorm Rechner erstmal anzugehen als mit irgendwelchen Portscans oder sonstwas loszulegen...

Ja, auch eine Möglichkeit, mit dieser kannst du jedoch nur einzelne Fische, aber keinen ganzen Schwarm auf einmal fangen.

Und wenn ich hier so lese was so die Einwände sind - stimmt, ne Fritzbox usw. erlauben nicht viel Scanmöglichkeiten... Warum auch - es hilft dir wenig wenn du zwar ne Analyse-Möglichkeit hast aber nicht verstehst was da so steht.

Deshalb habe ich ja auch nur darauf hingewiesen, dass man solche Dinge die ich hier anspreche, mit einem einfachen Router oder der Fritze nicht wirklich sehen kann, was wiederum nicht automatisch bedeutet, dass die Geräte deshalb für den entsprechenden Zielmarkt nicht geeignet sind.

Auch da auf die reale Welt: Du darfst nen Auto auch dann fahren wenn du keine Ahnung hast wie der Motor funktioniert oder wie der chemische Aufbau vom Benzin ist... Sofern du eben die grundlegenden Regeln kennst kannst du loslegen - ok, du musst halt ne prüfung ablegen,

Und du musst dich auch nach der Prüfung an diverseste Regeln halten und wirst dabei auch weiterhin beobachtet, den viele, vor allem Autobahnstrecken in Deutschland und oder der Grossstadtverkehr, sind heute fast komplett Videoüberwacht. Und kontrolliert wird man durch diverseste Blitzer, Abstandsmessungen und Co. auch ständig und trotzdem sterben in Deutschland noch nach wie vor ca. 2800 Menschen bei Straßenverkehrsunfällen. Das ist zwar immer noch viel, im Vergleich zu den 70er Jahren, wo es vergleichsweise viel weniger Autos, aber auch viel weniger Regeln und Kontrollen gab, sind wir jetzt jedoch vergleichsweise sehr gut unterwegs, den damals sind ~20.000 Menschen pro Jahr bei Straßenverkehrsunfällen gestorben. ๐Ÿ˜”

https://www.adac.de/news/bilanz-verkehrstote/

das wirst du aber beim Internet so nicht umsetzen können.

Ja, dafür ist der Zug leider schon längst abgefahren.

Und genauso wie es in einigen Ländern eher ungünstig ist mit der guten BOSS-Jacke, den neuesten iPhone-Superduper und dicken Uhren am Arm rumzulaufen machen eben einige im Internet genau das - die lassen eben Tür und Tor offenstehen (oder klicken auf alles was bunt ist) und schon hast du lustige Bots...

Und was machen die bitte genau falsch, wenn genau das heute überall als der ultimative Livestyle (Smarthome & Co) angepriesen wird, ohne dabei auch seine Gefahren zu benennen. ๐Ÿ˜”

Auf welchem der Produkte, wie z.B. diesem ganzen 0815 NAS-Geraffel, findest du den einen auffälligen Warnhinweis, dass man das Gerät nur mit Vorsicht mit dem Internet verbinden soll, weil es dann innerhalb von ein paar Minuten gehackt werden könnte? ๐Ÿคจ

https://bee.synology.com/de-de/BeeStation

„Bei der Bedienung steht der bequeme Zugriff über Apps und Browser auch von unterwegs im Vordergrund.“
„Zugriff auf all Ihre Fotos, überall“
๐Ÿคข๐Ÿคฎ

Gruss Alex
MysticFoxDE
MysticFoxDE May 30, 2024 at 23:25:30 (UTC)
Goto Top
Moin @maretz,

ja klar - weil (lt. Nachrichten) ca. 100 Server vom Netz gegangen sind? Auch da: Entweder hast du wirklich GLÜCK bei deinen Servern oder das is verglichen zu den normalen Scans einfach nur der Wassertropfen der in die Sonne geschossen wird... 100 Server sind weg? Selbst wenn davon einige Command-Server für Bot-Netze waren ist das eben eher so das nebengeräusch im Grundrauschen...

https://www.heise.de/news/Groesstes-Botnetz-der-Geschichte-911-S5-Verdae ...

"Das laut FBI "wahrscheinlich größte Botnetz der Geschichte" soll Windows-Computer hinter 19 Millionen IP-Adressen infiziert und für VPN-Dienste unter verschiedenen Markennamen missbraucht haben."

... und das mit gerade mal ...

"Laut US-Behörden infizierte W. Windows-Computer in fast 200 Staaten und kontrollierte sie mit rund 150 über die Welt verteilten Kontrollservern."

... 150 C&C-Servern. ๐Ÿ˜”

Gruss Alex
commodity
commodity May 31, 2024 updated at 06:17:05 (UTC)
Goto Top
Ist das also Deine Besorgnis?
Man scannt im Vorfeld die Zielumgebung und erstellt somit eine möglichst genaue „Landkarte“ mit Zusatzinformationen über die entsprechenden Endgeräte oder Dienste, die aktuell hinter den entsprechenden IP’s stecken. Und sobald man dann eine Möglichkeit gefunden hat, z.B. durch entdecken/entwickeln eines 0-Day’s, greift man ganz schnell und gezielt nur noch die entsprechenden Geräte/Dienste an um so viele wie möglich zu erwischen, bevor das Loch geschlossen wird.
Deinen Eingangspost verstehe ich (anders) so, dass die einen scannen und andere dann mit diesen Daten die Angriffe fahren:
Die einen „kartographieren“/“katalogisieren“ mit sehr ausgeklügelten Scannverfahren und auch ordentlich HW-Power dahinter, die entsprechenden Internetanschlüsse, respektive die darüber erreichbaren Dienste und die anderen versuchen dann, mal mehr mal weniger gezielt, die erreichbaren Dienste anzugreifen.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE May 31, 2024 updated at 07:59:08 (UTC)
Goto Top
Moin @commodity,

Ist das also Deine Besorgnis?
Man scannt im Vorfeld die Zielumgebung und erstellt somit eine möglichst genaue „Landkarte“ mit Zusatzinformationen über die entsprechenden Endgeräte oder Dienste, die aktuell hinter den entsprechenden IP’s stecken. Und sobald man dann eine Möglichkeit gefunden hat, z.B. durch entdecken/entwickeln eines 0-Day’s, greift man ganz schnell und gezielt nur noch die entsprechenden Geräte/Dienste an um so viele wie möglich zu erwischen, bevor das Loch geschlossen wird.

ja, auch.

Deinen Eingangspost verstehe ich (anders) so, dass die einen scannen und andere dann mit diesen Daten die Angriffe fahren:

Na ja, wo ist den nun bitte der Unterschied, ob nun der Scannende und der Angreifende ein und dieselbe Person/Organisation sind, oder ob es sich dabei um getrennte Person/Organisation handelt, die sich die entsprechenden Daten gegenseitig zuspielen/verkaufen? Den das Ergebnis, respektive der Schaden, ist in beiden Fällen für deren Opfer ja +- derselbe.

Es sind übrigens schon beide Varianten zugenüge beobachtet worden, respektive, wenn man die Angriffskette komplett betrachtet, dann kommen sogar noch einige "Teilgewerke" mit dazu. Die die z.B. auf die Infiltration nach einem erfolgreichen Angriff spezialisiert sind, andere werten wiederum die Daten aus die man bei den entsprechenden Opfern bereits erbeutet hat, die nächsten übernehmen die Erpressung, u.s.w..

Gruss Alex
MysticFoxDE
MysticFoxDE May 31, 2024 updated at 08:03:16 (UTC)
Goto Top
https://www.bleepingcomputer.com/news/security/malware-botnet-bricked-60 ...

"Unfortunately, the researchers could not find the payload used to brick the routers, so they were unable to determine how it was done or for what purpose."

๐Ÿ˜”
commodity
commodity May 31, 2024 at 09:25:36 (UTC)
Goto Top
Na ja, wo ist den nun bitte der Unterschied
Variante 1 (Dein aktueller Post) ist, es wird gescannt und dann gewartet bis man irgendwann eine Möglichkeit zum direkten Angriff hat
Und sobald man dann eine Möglichkeit gefunden hat, z.B. durch entdecken/entwickeln eines 0-Day’s,
Variante 2 (Dein Eingangspost) ist, es wird gescannt und praktisch parallel (aber von (vermeintlich) anderen aus direkt angegriffen wird.
Die einen „kartographieren“/“katalogisieren“ mit sehr ausgeklügelten Scannverfahren und auch ordentlich HW-Power dahinter, die entsprechenden Internetanschlüsse, respektive die darüber erreichbaren Dienste und die anderen versuchen dann, mal mehr mal weniger gezielt, die erreichbaren Dienste anzugreifen.
Für mich ist das ein erheblicher Unterschied. Warum für Dich nicht?

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE Jun 01, 2024 updated at 05:03:45 (UTC)
Goto Top
Moin @commodity,

Na ja, wo ist den nun bitte der Unterschied
Variante 1 (Dein aktueller Post) ist, es wird gescannt und dann gewartet bis man irgendwann eine Möglichkeit zum direkten Angriff hat

ja, das ist eine der Möglichkeiten und so gut wie jeder SGW Hersteller, warnte z.B. auch aktiv in den letzten Monaten, dass deren Geräte aufgrund einer Schwachstelle, gezielt angegriffen werden können und auch werden. ๐Ÿ˜”๐Ÿ˜ญ

Und sobald man dann eine Möglichkeit gefunden hat, z.B. durch entdecken/entwickeln eines 0-Day’s,
Variante 2 (Dein Eingangspost) ist, es wird gescannt und praktisch parallel (aber von (vermeintlich) anderen aus direkt angegriffen wird.

Und das ist lediglich eine andere von vielen weiteren Angriffsmöglichkeiten, die ich ja selbst mit meinem Test erleben durfte.

Die einen „kartographieren“/“katalogisieren“ mit sehr ausgeklügelten Scannverfahren und auch ordentlich HW-Power dahinter, die entsprechenden Internetanschlüsse, respektive die darüber erreichbaren Dienste und die anderen versuchen dann, mal mehr mal weniger gezielt, die erreichbaren Dienste anzugreifen.
Für mich ist das ein erheblicher Unterschied. Warum für Dich nicht?

Weil das Ziel der beiden oberen und auch der anderen Angriffsmöglichkeiten immer dasselbe ist, nämlich dich, mich und die anderen, hops zu nehmen (verschlüsseln/erpressen) oder auch auszuspionieren (siehe VW). ๐Ÿ˜”

Gruss Alex
commodity
commodity Jun 01, 2024 at 11:16:01 (UTC)
Goto Top
Weil das Ziel der beiden oberen und auch der anderen Angriffsmöglichkeiten immer dasselbe ist,
Gerade deswegen ist es von Bedeutung, die Unterschiede herauszuarbeiten und zu berücksichtigen. Mangelnde Genauigkeit ist der Beginn des Security-Problems.

Auch wenn die Angriffsvektoren hier ähnlich aussehen, sind sie doch im Sicherheitskonzept völlig anders zu berücksichtigen. Und gerade für die gefährlichere der beiden Varianten ist die von Dir beklagte Zunahme der Portscans völlig irrelevant. Ebenso hilft gegen sie auch nicht Dein offenbarer Wunsch nach zentraler Intervention.

Der Thread wird leider auch nicht relevanter mit Pauschalitäten wie
Und das ist lediglich eine andere von vielen weiteren Angriffsmöglichkeiten, die ich ja selbst mit meinem Test erleben durfte.
Wir haben ja oben auf bedauernswerte Weise lesen müssen, wie leicht Du etwas missverstehst (ed25519) und was Du dann für eine verbale Show abziehst. Der fachliche Gewinn aus pauschalen Äußerungen über Deine Erlebnisse ist daher <= 0.
Benenne die Angriffsmöglichkeiten konkret(er) und wir können drüber sprechen. Bis dahin fasse ich (ein fast einhelliges Ergebnis) zusammen:

Es hilft daher, mehrere Maßnahmenpaket bereitzuhalten.
(@Lochkartenstanzer) - weiter im Thread noch detaillierter erläutert.
CountryBlock, Tor-Block, Fail2Ban, und Rate-Limit, fertsch.
(@hempel)
das Grundrauschen interessiert uns nicht.
(@Dani) (aber: Monitoring natürlich)
Blocking, Logging und ab und zu Kontrolle
(ich)
das ganz normale hintergrundrauschen was jeder Admin mit Grundkenntnissen locker abfangen muss
(@maretz)
Fail2Ban, ... div. Ländersperren allerdings ohne sperre von CDN/Tor
( nochmal @maretz)
Nicht repräsentativ, aber nach meinem Verständnis aus Sicht sehr renommierter Forenkollegen definitiv kein Grund für Drama. Normale Arbeit für jeden Admin.
Aber schön, dass wir das mal herausgearbeitet haben. face-smile

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE Jun 05, 2024 updated at 06:47:13 (UTC)
Goto Top
Moin @commodity,

Auch wenn die Angriffsvektoren hier ähnlich aussehen, sind sie doch im Sicherheitskonzept völlig anders zu berücksichtigen.

und welchen Angriffsvektor genau, möchtest du im Fall A (Scann + sofortiger Angriff) den anders behandeln als im Fall B (Scann + späterer Angriff) und vor allem wie und warum?

Und gerade für die gefährlichere der beiden Varianten ist die von Dir beklagte Zunahme der Portscans völlig irrelevant.

Aha und warum genau meinst du zu wissen, dass die eine Variante gefährlicher ist als die andere?

Ebenso hilft gegen sie auch nicht Dein offenbarer Wunsch nach zentraler Intervention.

Wenn du das so siehst, dann hast du meiner Ansicht nach, das Kernproblem bisher nicht wirklich verstanden.

Wir haben ja oben auf bedauernswerte Weise lesen müssen, wie leicht Du etwas missverstehst (ed25519) und was Du dann für eine verbale Show abziehst. Der fachliche Gewinn aus pauschalen Äußerungen über Deine Erlebnisse ist daher <= 0.

Commodity, bitte, nicht ich habe mir damit ins Knie geschossen, sondern du, weil du dich hier zum wiederholten Male, schlichtweg am Thema vergriffen hast. Denn nicht ich habe in Verbindung mit einer Brut-Force-Attacke auf ein 20-stelliges Passwort, den SSH-ED25519 Algorithmus ins Spiel gebracht, sondern du.

Und ich habe dir auch vorher schon den Tipp gegeben, dass eine Brut-Force-Attacke nicht wirklich bedeutet, dass man dabei stumpf alle möglichen Kombinationen durchgeht, sondern dass man dabei eher auf Listen von z.B. gängigen und oder gestohlener Passwörter zugreift.

Benenne die Angriffsmöglichkeiten konkret(er) und wir können drüber sprechen.

Bitte was, ich soll dir also die Angriffsmöglichkeiten von tausenden unterschiedlicher Geräte und oder Dienste, die alleine bei uns im Land am Internet dranhängen, hier nun mal geschwind genauer erklären. Ähm ja, der ist echt gut.

Du kannst das Scann- und Angriffsmuster, welchen die Internetanschlüsse die du betreust ausgesetzt sind ja mal selber genauer analysieren, dann siehst du schon selber wie die entsprechenden Geräte/Dienste, ständig malträtiert werden.

Bis dahin fasse ich (ein fast einhelliges Ergebnis) zusammen:

Du darfst hier sehr gerne deine Meinung sagen, die Zusammenfassung von irgendwelchen Ergebnissen, überlasse jedoch bitte mir als TO.

CountryBlock, Tor-Block, Fail2Ban, und Rate-Limit, fertsch.
(@hempel)

Das ist nur ein Teil der möglichen Gegenmassnahmen, daher ist da auch noch lange nichts mit fertsch. ๐Ÿ˜”

das ganz normale hintergrundrauschen was jeder Admin mit Grundkenntnissen locker abfangen muss

Dazu habe ich ja weiter oben schon etwas geschrieben.

Aber schön, dass wir das mal herausgearbeitet haben.

Sei mir bitte nicht böse, aber bisher hast du mit deinen Kommentaren hier eher unnötige Verwirrung geschaffen, jedoch nicht wirklich etwas herausgearbeitet. ๐Ÿ˜”

Wenn du wirklich etwas herausarbeiten möchtest, dann solltest du mal selber das Hintergrundrauschen, was deiner eigenen Aussage nach jeder Admin kennen sollte, mal genauer über einen längeren Zeitraum analysieren und dann solltest du auch selber merken, dass es bei weiten nicht so ungefährlich ist, wie du es momentan gerne selber glauben und auch den anderen glaubhaft machen möchtest.

Daher, nein, wir sind mit diesem Thema noch lange nicht am Ende.

Alleine schon deshalb, weil die Aktion von Europol & Co, die ja schon weiter oben erwähnt wurde und aktuell in den Medien als der bisher grösste Schlag gegen die Cyberkriminalität betitelt wird, leider doch nicht so viel gebracht hat. ๐Ÿ˜”
Denn ein Teil der Anschlüsse unserer Kunden, wird in den letzten Tagen noch aggressiver gescannt und auch angegriffen. ๐Ÿ˜ญ

Gruss Alex
commodity
commodity Jun 05, 2024 at 20:19:22 (UTC)
Goto Top
Hallo Alex,
Denn nicht ich habe in Verbindung mit einer Brut-Force-Attacke auf ein 20-stelliges Passwort, den SSH-ED25519 Algorithmus ins Spiel gebracht, sondern du.
Nein, das habe ich nicht.
Du hast das initial nicht korrekt gelesen (und jemandem, der den Kontext beherrscht wäre das niemals passiert).
Du aber hältst sogar nach nochmaliger Klarstellung an dieser Lesart fest. Dann ist das so.

In einem solchen Fall kann ich dann auch nichts mehr ausrichten.
Vielleicht findet sich ja noch jemand, der Dein geschildertes Drama mit Dir erörtern möchte. Ich bin das nicht.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE Jun 06, 2024 updated at 05:39:52 (UTC)
Goto Top
Moin @commodity,

Du hast das initial nicht korrekt gelesen (und jemandem, der den Kontext beherrscht wäre das niemals passiert).
Du aber hältst sogar nach nochmaliger Klarstellung an dieser Lesart fest. Dann ist das so.

wie schon ein paar Mal geschrieben, knackt heutzutage so gut wie keiner ein Passwort indem er einfach nur stumpf alle Möglichkeiten durchprobiert, denn das dauert schlichtweg viel zu lange! Stattdessen arbeiten die meisten professionellen Hacker eher mit Passwortlisten von entweder sehr oft verwendeten Passwörtern oder welchen die bereits woanders geklaut/ausgespäht wurden. Und ja, alle bekommen sie damit natürlich bei weitem nicht, aber trotzdem ganz schön viele. ๐Ÿ˜”

Ausserdem werden heutzutage viele der veröffentlichten Geräte/Dienste, nicht wirklich über das brechen derer Authentifizierungsverfahren angegriffen, sondern eher durch deren BUG's und oder mit einen 0-Day. ๐Ÿ˜”

Vielleicht findet sich ja noch jemand, der Dein geschildertes Drama mit Dir erörtern möchte. Ich bin das nicht.

Ich fürchte, genau das wird viel schwieriger wie ich das noch zuvor selber gedacht habe. Denn um auch nur ansatzweise über das zu sprechen zu können, auf was ich hier die ganze Zeit aufmerksam machen möchte, muss man die Dinge auch ähnlich sehen können wie ich das aktuell auf den von uns betreuten Sophos XGS sehe.
Aber genau hier liegt ein weiteres, meiner Ansicht nach fast noch gravierendes Problem, denn die meisten Roter/FW's/NGFW's/SGW's, stellen die entsprechenden Informationen überhaupt nicht bereit. ๐Ÿ˜ญ

OK, dass die ganzen (ISP-)Router, die entsprechenden Infos nicht bereitstellen, kann ich ja noch verstehen, weil die für das entsprechende Loggen, schlichtweg nicht die Ressourcen haben. Dass jedoch auch die meisten Enterprise NGFW's und auch SGW's an dieser Ecke fast genauso schlampig sind, hätte ich ehrlich gesagt nicht erwartet. ๐Ÿ˜”

Ich habe gestern einen unserer Kunden erwischt, der sich vor Jahren leider nicht für eine Sophos XGS entschieden hat , sondern für eine Fortigate, die eigentlich ja auch kein schlechtes SGW ist, wir sind jedoch auf Sophos spezialisiert und daher auch das leider.

Na ja, wie auch immer, auf jeden Fall haben wir gestern eine halbe Stunde lang versucht, der Fortigate dieses Kunden dieselben Informationen über deren GUI-Logviewer zu entlocken, die ich auch auf den von uns betreuten Sophos Geräten sehe und sind leider kläglich gescheitert, weil die Fortigate diese so schlichtweg nicht darstellt. ๐Ÿ˜ก
Ich habe im Nachgang dann noch etwas rumgeforscht und anscheinend kann man die entsprechenden Zugriffsversuche bei der Fortigate auch sehen, aber nur über die CLI mit "grep" und "cat", sprich, nicht wirklich für jedermann so einfach zugänglich und vor allem auswertbar. ๐Ÿ˜”

Ich habe dem entsprechenden Admin dann noch auf unserer eigenen XGS gezeigt wovon ich spreche, sprich, das folgende ...
sophos xgs drops
... und er war im Anschluss nicht wirklich darüber erfreut, dass er diese, auch seiner Ansicht nach sehr wichtigen Informationen, auf seiner Fortigate so nicht sehen kann.

Der Screenshot zeigt übrigens die "unerwünschten" Zugriffsversuche des entsprechenden Anschlusses von einem Zeitraum von gerade mal ~20 Sekunden an. Des weiteren sind aktuell ~ !!! 99,9% !!! der von aussen kommenden Verbindungsversuche die gegen diesen Anschluss gegenscheppern definitiv nicht erwünscht und vieles davon sind die von mir angesprochen Scans- und Angriffsversuche!

Und genau das, sieht man stand heute, noch nicht mal auf den meisten Enterprise-SGW's, geschweige den irgendwelchen Routern. ๐Ÿ˜”๐Ÿ˜ญ

Daher bin ich über dein "Querschiessen" zwar schon stellenweise etwas verärgert gewesen, aber ich bin dir deswegen nicht wirklich böse, da du das was ich ansprechen möchte, mit der von dir verwendeten Hardware, so schlichtweg nicht wirklich sehen kannst.

Aber ... von den angesprochenen Enterprise-SGW-Hersteller, die diese wichtigen Infos im Jahr 2024 ihren Admins schlichtweg nicht bereitstellen, bin ich doch sehr enttäuscht. ๐Ÿ˜”

Gruss Alex
commodity
commodity Jun 06, 2024 updated at 06:38:16 (UTC)
Goto Top
da du das was ich ansprechen möchte, mit der von dir verwendeten Hardware, so schlichtweg nicht wirklich sehen kannst.
Du bist manchmal sooo lustig. face-big-smile

Du hast keinerlei Kenntnisse von Router OS (und mir noch nicht einmal zugehört, als wir darüber telefoniert haben), geschweige denn hier im Forum aktiv mitgelesen.
Wenn Du das hättest, wüsstest Du längst, dass das Logging von Router OS locker mit dem der Sophos mithält, allerdings deutlich komfortabler und schneller. face-smile

Es ist wirklich schön, dass Du Deine Hardware für Dich gefunden hast und vor allem auf den neueren Sophos (endlich) überhaupt ein akzeptables Live-Logging vorhanden ist (unter UTM9 war das eine klägliche Veranstaltung) und ich gönne Dir auch Deine Freude über diese Geräte. Die neue Sophos, insbesondere nach Deiner Demonstration - erscheint auch akzeptabel. Das ist es dann aber auch schon. Das, was Du hier als großartige Innovation darstellst, bekommt man als Interessierter auf auf einem Raspi hin.
Einzig, es interessiert niemanden (außer Dir), weil es (für den individuellen Kunden) völlig irrelevant ist.

Das Problem liegt bei allen Schutzmaßnahmen im Regelfall kaum am Gerät, sondern bei der Administration. Und da ist es natürlich schön, wenn man mit dem Gerät vernünftig arbeiten kann. Was das angeht, war Sophos in der Vergangenheit eher schwach, das gilt aber auch für andere UTMs. Vor allem aber wünscht man sich dafür natürlich Betreuer, die weniger ihre Hardware beweihräuchern, sondern eher ihre Kompetenzen ausbauen. Ich habe schon von Kollegen gehört, die arglos die Credentials der Firewall an Clients im Unternehmen eingegeben haben sollen. Da nützt dann auch die beste Hardware nichts.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE Jun 06, 2024 at 07:19:15 (UTC)
Goto Top
Moin @commodity,

Wenn Du das hättest, wüsstest Du längst, dass das Logging von Router OS locker mit dem der Sophos mithält, allerdings deutlich komfortabler und schneller. face-smile

eben nicht und per Default siehst du nicht mal ansatzweise das was ich sehe.
Und komme mir jetzt bitte nicht wieder mit dem ...
portsniffer
... 0815 Portsniffer, für ein paar Well-Known-Ports, den das ist nicht mal ansatzweise ein Vergleich zu dem was ich sehe!
Und per Default ist auf dem Router-OS auch überhaupt kein Portsniffer aktiv.

Es ist wirklich schön, dass Du Deine Hardware für Dich gefunden hast und vor allem auf den neueren Sophos (endlich) überhaupt ein akzeptables Live-Logging vorhanden ist (unter UTM9 war das eine klägliche Veranstaltung) und ich gönne Dir auch Deine Freude über diese Geräte. Die neue Sophos, insbesondere nach Deiner Demonstration - erscheint auch akzeptabel. Das ist es dann aber auch schon.

Ich habe dir bei der damaligen Demonstration, aber nur einen Bruchteil dessen gezeigt, was die XGS alles wirklich kann, auch im Bereich des Logviewers, daher kannst du die Fähigkeiten der XGS auch nicht wirklich bewerten, vor allem weil du auch nicht täglich mit diesen arbeitest.
Wir können aber gerne eine weitere Session machen, bei der du mich auch gerne von der angeblichen „Überlegenheit“ des Router-OS überzeugen kannst. ๐Ÿ˜‰

Das, was Du hier als großartige Innovation darstellst, bekommt man als Interessierter auf auf einem Raspi hin.

Ach ja, wenn das so einfach ist, dann schreibe doch hier bitte eine Anleitung, damit das andere Interessierte auch mal machen können, danke.

Einzig, es interessiert niemanden (außer Dir), weil es (für den individuellen Kunden) völlig irrelevant ist.

Natürlich, daher gehört dieser Beitrag, auch zu den meistgelesenen der letzten paar Wochen. ๐Ÿ™ƒ

Das Problem liegt bei allen Schutzmaßnahmen im Regelfall kaum am Gerät, sondern bei der Administration. Und da ist es natürlich schön, wenn man mit dem Gerät vernünftig arbeiten kann.

Na klar und deswegen vergeht mittlerweile auch so gut wie keine Woche in der nicht irgendeinen kritischer CVE betreffend irgendeinem Enterprise-SGW Hersteller auftaucht. ๐Ÿ˜”

Was das angeht, war Sophos in der Vergangenheit eher schwach, das gilt aber auch für andere UTMs. Vor allem aber wünscht man sich dafür natürlich Betreuer, die weniger ihre Hardware beweihräuchern, sondern eher ihre Kompetenzen ausbauen.

Ja, so ist das sehr oft leider auch. ๐Ÿ˜”
Daher schreibe ich ja auch die ganze Zeit, dass wir dieses Problem dezentral nicht wirklich in den Griff bekommen können, weil wir dafür schlichtweg nicht ausreichend Fachkräfte haben und ganz sicher nicht deshalb, weil ich das überhaupt so gut wie niemandem zumute!

Ich habe schon von Kollegen gehört, die arglos die Credentials der Firewall an Clients im Unternehmen eingegeben haben sollen. Da nützt dann auch die beste Hardware nichts.

Wenn der entsprechende Zugang per 2FA abgesichert ist, muss man sich darüber nicht wirklich so viele Sorgen machen. ๐Ÿ˜‰
Und worüber soll ein Admin die FW/NGFW/SGW den sonst Administrieren, wenn nicht über einen Client. ๐Ÿ™ƒ

Gruss Alex
commodity
commodity Jun 06, 2024 at 07:49:51 (UTC)
Goto Top
Und per Default ist auf dem Router-OS auch überhaupt kein Portsniffer aktiv.
Einmal mehr: Äpfel bestellen, mit Birnen kommen: Portsniffing und Logging sind zwei Paar Schuhe. Bei Router OS und überall.

Warum sprichst Du so gern über Dinge, die Du weder kennst noch verstehst?
Ich verstehe ja, dass nicht jeder Kollege mit Router OS klar kommt (obgleich es vielen gut tun würde) - aber dann muss man auch keinen Unsinn darüber schreiben, sondern kann sich auf das beschränken, was man kennt/versteht - und sich bei Bedarf selbst schlau machen.

Und worüber soll ein Admin die FW/NGFW/SGW den sonst Administrieren, wenn nicht über einen Client.
Differenzieren ist offenbar nicht Deine Sache:
Sicherlich nicht über einen normalen Unternehmensclient. Als externer Admin arbeitet man natürlich ausschließlich über eigene HW oder (wie auch als interner) über einen spezifischen Administrationsclient. Kleines 1x1 oder?
Wer sich bei MA Müller an den Client setzt und dort Admin-Credentials eintippt, sollte mal einen Monat Kloster buchen, um etwas in sich zu gehen.

Alex, so nett es ist, mit Dir zu plaudern (wenn Du nicht gerade wieder einen Deiner emotionalen Ausbrüche hast). Ich verabschiede mich mal, denn ich muss ernsthaft arbeiten. Für so Kinderkram haben wir jetzt wirlich genug Austausch betrieben.

Bis zum nächsten - hoffentlich etwas sinnhafteren - Thread

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE Jun 06, 2024 updated at 09:37:25 (UTC)
Goto Top
Moin @commodity,

Einmal mehr: Äpfel bestellen, mit Birnen kommen: Portsniffing und Logging sind zwei Paar Schuhe. Bei Router OS und überall.

ähm, ich vergleiche lediglich mit dem, was du selber geliefert hast.

Warum sprichst Du so gern über Dinge, die Du weder kennst noch verstehst?

Und auch hier vergreifst du dich gewaltig.
Denn ich kenne Router-OS sehr wohl und jeder andere kann es sich auch sehr einfach zu gemühte führen, indem er sich die aktuelle WinBox herunterlädt, und sich als „demo“ Benutzer, entweder zu „demo.mt.lv“ oder „demo2.mt.lv“ verbindet oder auf die entsprechenden Hosts einfach per Browser draufgehen.

Sprich, ich sehe sehr wohl sehr genau, was du bei Router-OS alles sehen kannst oder auch nicht. ๐Ÿ˜‰

Ich verstehe ja, dass nicht jeder Kollege mit Router OS klar kommt (obgleich es vielen gut tun würde) - aber dann muss man auch keinen Unsinn darüber schreiben, sondern kann sich auf das beschränken, was man kennt/versteht - und sich bei Bedarf selbst schlau machen.

Das habe ich auch und daher höre bitte auf mir zu erzählen, dass das Loging/Reporting von Router-OS einer Sophos XGS sogar überlegen wäre, den das ist eher ein absoluter Kindergarten, weil genau das, beim Router-OS, eben nicht mal ansatzweise der Fall ist!

Und jeder der sich die Sophos GUI und deren Reporting/LOG-Viewer anschauen möchte, kann das jederzeit auch sehr gerne selber machen, indem er einfach bei der folgenden Seite …
https://www.sophos.com/de-de/products/next-gen-firewall
… auf den „Online-Demo“ Button klickt ein paar Daten eingibt und schon kann es losgehen. ๐Ÿ˜‰


Als externer Admin arbeitet man natürlich ausschließlich über eigene HW

Ähm, ganz sicher nicht, vor allem nicht bei grösseren Umgebungen, den insbesondere bei diesen, stöpseln zumindest wir, so gut wie niemals unsere eigene Hardware an, sondern nutzen die, die der Kunde uns stellt und zwar zu seiner aber auch zu unserer Sicherheit. ๐Ÿ˜‰

Und ja, wenn wir per VPN kommen, dann natürlich über die eigene Hardware, aber das ist nochmals eine andere Baustelle.

oder (wie auch als interner) über einen spezifischen Administrationsclient.
Kleines 1x1 oder?

Theoretisch ja, praktisch wirst du das so, vor allem bei den Kleineren, eher kaum finden, leider.

Gruss Alex
MysticFoxDE
MysticFoxDE Jun 06, 2024 updated at 09:51:52 (UTC)
Goto Top
Moin @commodity,

Ich verstehe ja, dass nicht jeder Kollege mit Router OS klar kommt (obgleich es vielen gut tun würde) - aber dann muss man auch keinen Unsinn darüber schreiben, sondern kann sich auf das beschränken, was man kennt/versteht - und sich bei Bedarf selbst schlau machen.

und weiter als oben bereits erwähn möchte ich mich über das Router-OS auch nicht wirklich schlau machen, denn zum einen kann es auch nichts besonderes, was andere professionelle Router und erst recht Enterprise-NGFW's oder gar Enterprise-SGW's nicht auch können. Außerdem kommt es für so gut wie keinen von unseren Kunden wirklich in Frage, weil es schlichtweg genau nichts von SSL/TLS Inspektion versteht. Und ohne dieses Sicherheitsfeature, brauchst du bei den meisten KMU's, erst gar nicht auftauchen und erst recht nicht bei irgend einem Konzern.

Also ja, MikroTik's RouterOS ist auf jeden Fall an vielen Stellen um Welten mächtiger wie das OS einer Fritze, aber mit einem NGFW oder gar SGW, kann es sich, vor allem sicherheitstechnisch, nicht wirklich grossartig anlegen.

Gruss Alex
kreuzberger
kreuzberger Jun 06, 2024 at 10:13:34 (UTC)
Goto Top
@MysticFoxDE

es wird wohl eh schwierig sein, aber ggf kann man ja irgendwo auch mal eine Grenze ziehen zwischen dem, was man gut für zuhause nehmen kann und was die kosten angeht da noch halbwegs finanzieren kann, und dem was man für betriebliche zwecke braucht, wo die Finanzierungskosten nach oben offen sind. Für meine Bude zuhause kaufe ich mir keine Cisco für 100.000 Euro.

Das könnte erst einmal an der stelle ein entscheidender Unterschied sein bei der Diskussion.

Letztlich ist es ggf. auch erst einmal für die Privatanwender interessant, was es denn für zuhause so an Routern gibt, die man bis zum preis von x € noch sinnvoll einsetzen kann, und dennoch ein dafür Höchstmaß an Sicherheit und Erlernbarkeit hat.

Kreuzberger
Lochkartenstanzer
Lochkartenstanzer Jun 06, 2024 at 10:15:36 (UTC)
Goto Top
Moin,

zuerst einmal:

Ich glaube Ihr Jungs habt wichtigeres zu tun, als um des Kaisers bart zu streiten. Ihr dreht euch schon eit ein paar Tagen im Kreis udn seid keinen deut weiter als am Anfang. Ich weiß, daß man wenn man in so eine rDiskussion drin ist es manchmal sehr schwer sein kann irgendeine Aussage des "Kontrahenten" unwidersprochen stehen zu lassen, denn auch ich habe mich hier im Forum manchmal zu unnötigen Diskussionen hinreißen lassen, aber irgendwann sollte der Punkt gekommen sein, indem man die Diskussion läßt und lieber gemeinsam ein Bier trinkt und stattdessen über Fußballl, Sport, Frauen oder sontwas spricht.

Und dann noch zu dem beipiel von Alex:

Zitat von @MysticFoxDE:

Ich habe dem entsprechenden Admin dann noch auf unserer eigenen XGS gezeigt wovon ich spreche, sprich, das folgende ...
sophos xgs drops
... und er war im Anschluss nicht wirklich darüber erfreut, dass er diese, auch seiner Ansicht nach sehr wichtigen Informationen, auf seiner Fortigate so nicht sehen kann.

Der Screenshot zeigt übrigens die "unerwünschten" Zugriffsversuche des entsprechenden Anschlusses von einem Zeitraum von gerade mal ~20 Sekunden an. Des weiteren sind aktuell ~ !!! 99,9% !!! der von aussen kommenden Verbindungsversuche die gegen diesen Anschluss gegenscheppern definitiv nicht erwünscht und vieles davon sind die von mir angesprochen Scans- und Angriffsversuche!

Solange man seine Systeme ordentlich konfiguriert, ist es unerheblich, ob man diese Kleinigkeiten sieht. Das was Du da sieht ist nur ein minimaler Ausschnitt dessen, was ich an manchen Router sehe. ein Dutzend abgelehnte Pakete in 20 Sekunden ist fast gar nichts. Wenn Duemehre hundert scnas pro Sekunde siehst, wirds erst interessant. Außerdem können die wenigsten Admins damit was anfangen, selbst wenn sie es sehen. Sowas ertet man auch nicht per hand aus, sondern automatisiert.

Wenn man also sowas "sehen" will, kauft man sich auch passenden Systeme die das zentral loggen und auswerten können. Aber wie gesagt, reine Portscans sind uninteressant. Wichtiger ist es die ZUgriffsversuche auf Dineste zu sehen und zu protokollieren, wie z.B. im Webserver-Log, insbesondere die eine 400er oder 500er Meldung auslösen. generell sollte man ja Dienste so konnfigurieren, daß sie möglichst wenig Informationen leaken, wie z.B. wecleh Software in welcher Version. Denn mit sowas kann die Datenbank gefüttert werden.

Wenn Due wirklich willst, daß die Admins mehr machen, dann zeig denen nicht banale Portscans, sonder die Weblogs o.ä. wo man genauer sieht, wie z.B. auf Wordpress-Lücken oder auch anderen Web-server-Lücken gescannt wird oder wie die Software-versionen abgefragt werden.

Aber es sollte in diesem Thread schon genug zu dem gesamten Thema gesagt worden sein. Von daher sollte man da nicht weiter immer dasselbe wieder druchkauen.

lks

lks
kreuzberger
kreuzberger Jun 06, 2024 at 10:20:55 (UTC)
Goto Top
denn auch ich habe mich hier im Forum manchmal zu unnötigen Diskussionen hinreißen lassen,

was!?!?!?!?
๐Ÿ˜ฎ
Lochkartenstanzer
Lochkartenstanzer Jun 06, 2024 at 10:23:09 (UTC)
Goto Top
Zitat von @kreuzberger:

@MysticFoxDE

es wird wohl eh schwierig sein, aber ggf kann man ja irgendwo auch mal eine Grenze ziehen zwischen dem, was man gut für zuhause nehmen kann und was die kosten angeht da noch halbwegs finanzieren kann, und dem was man für betriebliche zwecke braucht, wo die Finanzierungskosten nach oben offen sind. Für meine Bude zuhause kaufe ich mir keine Cisco für 100.000 Euro.

Auch Kleinunternehmen oder Handwerker kaufen sich i.d.R. keine Cisco für sechsstellige Beträge, außer in Ausnahmefällen, wenn sie genügend Umsatz haben. Den meisten reicht eine "Fritzbox", bzw. deren Äquivalent von einem "proffessionellen" Hersteller für bis zu dem 10-fachen Preis.

Das könnte erst einmal an der stelle ein entscheidender Unterschied sein bei der Diskussion.

Die Diskussion dreht sich im Kreis. Und es wird soweit ich das sehe, eh nur über die KMUs oder kleiner diskutiert, die eben nicht die Ressourcen haben, sich darum richtig zu kümmern.


Letztlich ist es ggf. auch erst einmal für die Privatanwender interessant, was es denn für zuhause so an Routern gibt, die man bis zum preis von x € noch sinnvoll einsetzen kann, und dennoch ein dafür Höchstmaß an Sicherheit und Erlernbarkeit hat.

Sprich : Fritzboxen und deren Äquivalent. face-smile

lks
Lochkartenstanzer
Lochkartenstanzer Jun 06, 2024 at 10:25:58 (UTC)
Goto Top
Zitat von @kreuzberger:

denn auch ich habe mich hier im Forum manchmal zu unnötigen Diskussionen hinreißen lassen,

was!?!?!?!?
๐Ÿ˜ฎ

Ist schon eine Weile her. face-smile

lks
aqui
aqui Jun 06, 2024 updated at 10:46:18 (UTC)
Goto Top
Für meine Bude zuhause kaufe ich mir keine Cisco für 100.000 Euro.
Muss man bekanntlich auch gar nicht, denn dafür reichen popelige 50 Euronen vom Taschengeldkonto für einen Cisco 896 mit einer vollständigen stateful Firewall an Bord!!
Den Unterschied zu einer FB muss man sicher nicht erklären in einem Admin Forum. Konfig kann man hier ganz einfach abtippen. Gewusst wie...! ๐Ÿ˜‰

Auch Kleinunternehmen oder Handwerker kaufen sich i.d.R. keine Cisco für sechsstellige Beträge
Ist eine ebenso laienhafte und auch unsinnige Aussage die eher von Produkt Unwissen zeugt bzw. denjeingen die diesen Kunden solche Plaste Router verkaufen weil sie sie auch zuhause und bei Oma Grete haben...das Übliche. face-sad Solche einfachen Zweigstellenrouter liegen im Bereich von 500-1k.
MysticFoxDE
MysticFoxDE Jun 06, 2024 updated at 12:14:03 (UTC)
Goto Top
Moin @Lochkartenstanzer,

Ich glaube Ihr Jungs habt wichtigeres zu tun, als um des Kaisers bart zu streiten. Ihr dreht euch schon eit ein paar Tagen im Kreis udn seid keinen deut weiter als am Anfang. Ich weiß, daß man wenn man in so eine rDiskussion drin ist es manchmal sehr schwer sein kann irgendeine Aussage des "Kontrahenten" unwidersprochen stehen zu lassen, denn auch ich habe mich hier im Forum manchmal zu unnötigen Diskussionen hinreißen lassen, aber irgendwann sollte der Punkt gekommen sein, indem man die Diskussion läßt und lieber gemeinsam ein Bier trinkt und stattdessen über Fußballl, Sport, Frauen oder sontwas spricht.


jetzt kommt, ein gegenseitiges Wadenbeisserln ist vor allem unter uns ITlern, so jetzt auch nichts wirklich Ungewöhnliches und dabei fliegen halt hin und wieder auch mal ein paar Haarbüschel bevor wir dann anschliessend in die Kneipe gehen und dort weiter über z.B. hübsche Autos, schnelle Frauen und oder überbezahlte Sportler sprechen. Was auch bestimmt in diesem Fall auch schon geschehen wäre, wenn Commodity’s Haus/Wohnung, sich näher an meiner und oder umgekehrt befinden würde. Wir haben hier in BaWü jedoch das leckerere Bier, daher besser anders herum. ๐Ÿคช

Solange man seine Systeme ordentlich konfiguriert, ist es unerheblich, ob man diese Kleinigkeiten sieht.

Eben nicht, weil wenn du dafür sorgst, dass die entsprechenden Scannversuche komplett in die Leere laufen, auch bei gewollt veröffentlichen Anwendungen/Diensten/Geräten, dann stellst du damit auch ein stückweit sicher, dass diese Anwendungen/Diensten/Geräten, zumindest nicht mehr ganz so schnell/einfach/effektiv angegriffen werden können.

Ich mache am WE mal einen Test und veröffentliche mal einen Dienst über eine IP die in den letzten 10 Jahren noch nie aktiv gewesen ist und dann schauen wir, wie lange es dauert, bis die ersten Scan-Versuche kommen und anschliessen wie lange es dauert, bis der entsprechende Dienst dann angegriffen wird. Und danach mache ich einen weiteren Test mit einer neuen/ungebrauchten IP, bei dem ich den entsprechenden Dienst zwar auch freigebe, dabei aber parallel versuche sämtliche Scann-Versuche, so gut es mir gelingt zu unterbinden. Und ich bin mir jetzt schon sehr sicher, dass bei dem Zweiten Versuch, der Zeitraum bis der erste und auch die weiteren Angreifer kommen, deutlich höher liegen wird und das auch die Angriffsintensität gegen diesen Dienst, in Summe deutlich geringer als beim ersten Test ausfallen wird.

Wenn Duemehre hundert scnas pro Sekunde siehst, wirds erst interessant.

Genau das wirst du aber nicht wirklich sehen, weil bei den meisten, vor allem den schadhaften Scans, die Quell-IP, alle paar Ports geswitcht wird, um wie ich schon vorher geschrieben habe, z.B. entweder Fail2Ban und oder irgendwelche anderen Rate-Limits zu umgehen. ๐Ÿ˜”

Außerdem können die wenigsten Admins damit was anfangen, selbst wenn sie es sehen.

Da gebe ich dir absolut recht und daher glaube ich auch nicht, dass wir die schon jetzige, sehr ernste Bedrohungslage, der die vor allem im Internet hängenden IT-Umgebungen unseres Landes ausgesetzt sind, nach dem Motto „jeder für sich“ noch irgendwie in den Griff bekommen, weil es dafür schlichtweg nicht ausreichen Fachkräfte gibt.

Sowas ertet man auch nicht per hand aus, sondern automatisiert.

Theoretisch ja, aber die automatisierte Auswertung erfordert noch mehr Kompetenz, zumindest für die Inbetriebnahme dieser, wodurch solche Dinge für die meisten eher noch unerschwinglicher werden.

Aber wie gesagt, reine Portscans sind uninteressant.

Nein, uninteressant sind diese bei weitem nicht, aber auch nicht direkt gefährlich, indirekt jedoch schon, weil erst dadurch viele der Angriffe, quasi erst "herausprovoziert" werden. ๐Ÿ˜”

Wichtiger ist es die ZUgriffsversuche auf Dineste zu sehen und zu protokollieren, wie z.B. im Webserver-Log, insbesondere die eine 400er oder 500er Meldung auslösen.

Damit hast du auch vollkommen recht! Den nur die Protokolle und vor allem eines Routers zu überwachen, um nur dadurch die Sicherheit eines darüber veröffentlichten Webservers zu garantieren, ist so als ob man eine Burg mit nur einer von vier Aussenmauern baut. ๐Ÿ™ƒ
Ja, OK, mit drei Aussenmauern würde ein geschlossener/geschützter Bereich theoretisch auch funktionieren, aber eben nicht nur mit einer und vor allem einer lummeligen.

generell sollte man ja Dienste so konnfigurieren, daß sie möglichst wenig Informationen leaken, wie z.B. wecleh Software in welcher Version. Denn mit sowas kann die Datenbank gefüttert werden.

๐Ÿ‘๐Ÿ‘๐Ÿ‘ absolut korrekt!
Leider lässt sich genau das bei vielen Geräten/Diensten/Anwendungen, so nicht wirklich umsetzen. ๐Ÿ˜”

Denn sobald wir z.B. bei einer XGS das User-Portal oder das VPN-Portal veröffentlichen, sieht jeder geübte Angreifer sofort welcher SGW-Typ dahinter steckt. ๐Ÿ˜ญ
Und genau dasselbe Problem, hast du heutzutage auch so gut wie mit allen Webservern und von diesem ganzen Smart-Home Geraffel, will ich erst gar nicht anfangen. ๐Ÿ˜”

wie z.B. auf Wordpress-Lücken oder auch anderen Web-server-Lücken gescannt wird

Beim Wordpress kann ich nicht helfen da ich mich damit nicht gut genug auskenne, für einen IIS kann ich hingegen schon mal was zusammenkratzen.

oder wie die Software-versionen abgefragt werden.

z.B. so …

Power-Shell
$response = Invoke-WebRequest -Uri http://www.heise.de -Method Head
$response
$response.Headers 

… wobei das nur eine von sehr vielen Möglichkeiten ist.

Gruss Alex
commodity
commodity Jun 06, 2024 updated at 12:35:46 (UTC)
Goto Top
Liebe Kollegen,
der Thread war doch an dieser Stelle nun wirklich zuende:
Vielleicht findet sich ja noch jemand, der Dein geschildertes Drama mit Dir erörtern möchte. Ich bin das nicht.
allerspätestens dann aber wirklich hier:
Alex, so nett es ist, mit Dir zu plaudern (wenn Du nicht gerade wieder einen Deiner emotionalen Ausbrüche hast). Ich verabschiede mich mal
Ruhe in Frieden. Auch der TO wird das irgendwann merken.

Viele Grüße, commodity
MysticFoxDE
MysticFoxDE Jun 06, 2024 updated at 12:38:17 (UTC)
Goto Top
Moin @commodity,

der Thread war doch an dieser Stelle nun wirklich zuende:
Vielleicht findet sich ja noch jemand, der Dein geschildertes Drama mit Dir erörtern möchte. Ich bin das nicht.
allerspätestens dann aber wirklich hier:
Alex, so nett es ist, mit Dir zu plaudern (wenn Du nicht gerade wieder einen Deiner emotionalen Ausbrüche hast). Ich verabschiede mich mal
Ruhe in Frieden. Auch der TO wird das irgendwann merken.

wenn er für dich an dieser Stelle zu Ende sein sollte, dann halte dich auch besser selber daran.
Aber anderen solltest du in einem fremden Beitrag, jedoch nicht wirklich vorschreiben wann dieser zu Ende/Abgeschlossen ist, sondern diese Entscheidung eher jedem selbst für sich überlassen!

Gruss Alex
commodity
commodity Jun 06, 2024 at 12:42:11 (UTC)
Goto Top
Auch der TO wird das irgendwann merken.
... (dauert noch)