Hi, Ihr... 😉 Als IT-affirmer Hobby-Nutzer habe ich ein grosses Interesse an möglichst umfangreicher Sicherheit. Deshalb habe ich mein Heimnetz ein wenig erweitert: **Hausanschluss Swisscom Internet-Box 3 Synology RT2600ac im Bridge-Modus Heimnetz und WLAN** Auf der IB3 ist unter den Firewall-Einstellungen "strikt" aktiviert. _"Alle eingehenden Verbindungen werden blockiert. Davon ausgenommen ist eine Gruppe von Standardprotokollen."_ Ich gehe deshalb davon aus, dass 1. die Swisscom als mein Provider bereits umfangreiche Schutzmassnahmen installiert hat, bevor sie Datenpakete an mich weiterleitet. 2. die IB3 eventuell durchgeschlüpfte Risiken dann blockiert. **Warum aber meldet mir die RT2600ac täglich ca. 300 "Angriffe", die als "hoch gefährlich" kategorisiert sind?** Für die Threat Prevention wird der "ET Pro Rule-Set" von Proofpoint genutzt. Gemeldet werden "Web application attacks", "Potential Corporate Privacy Violation", "A Network Trojan was Detected".. und vieles mehr, das geblockt wird. Ohne den zusätzlichen Router hätte ich davon gar nichts bemerkt. Leider kann ich nicht einschätzen, ob es sich dabei um ernstzunehmende Bedrohungen handelt, die Schaden hätten anrichten können. Oder um "Fake-Bedrohungen", die sowieso ohne Konsequenz gewesen wären. Wenn ersteres der Fall ist, dann stellt sich natürlich die Frage, warum diese "Angriffe" von Swisscom und IB3 weitergeleitet werden. Ich würd mich riesig freuen, wenn mich da jemand aufklären könnte!.... 🤔 LG Hendrik

[i]Dieser Beitrag hat keinen Inhalt.[/i]

\- In welche Richtung werden die "Angriffe" und Trojaner detektiert (incoming oder outgoing)? \- Betreffend "Web application attacks": Gibt es dazu in den Logs mehr Details z.B. die Source-IP und Ports? \- Betreffend "Potential Corporate Privacy Violation": Hier könnten allenfalls Service-Protokolle für die TV-Box einen Fehlalarm auslösen (aber auch darüber sollten die Logs mehr Auskunft erteilen -> IP-Adressen, Ports,...) \- Hast du die Fehlermeldungen auch, wenn das Heimnetz (inkl. WLAN) komplett "abgehängt" ist? Die Frage aus folgendem Grund: Ein Bekannter hatte auch suspekte Fehlermeldungen auf der FW. Letztendlich wurden diese von einem Smart-TV ausgelöst welcher in der halben Welt herumkommuniziert hat und von der FW als suspekt eingestuft wurde.

Hi, hed... Die "ausgehenden" Pakete habe ich schon ignoriert... meistens Microsoft-Server, Amazon etc. Zu Deiner letzten Frage: Die eingehenden"Angriffe" kommen auch, wenn alles andere schläft! z.B. Angriff direkt auf den Router von IP 175.158.218.12 um 04:49:30 per "ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style)". TV-Boxen sind beide momentan ausgeschaltet. Trotzdem "Angriff" auf meinen Laptop von IP 2.22.155.19 per "ET POLICY PE EXE or DLL Windows file download HTTP". Und zu den "Web application attacks": Die meisten Angriffe gehen auf's NAS.... z.B. IP 45.90.161.59 per "ET WEB\_SERVER 401TRG Generic Webshell Request - POST with wget in body" Und dann hat's noch massenweise - weniger relevante - Angriffe: * Portscans * Bad traffic * Python requests * Malware downloader LG

@"duffy"#297856 Einfach noch eine Frage ins Blaue hinaus: Hast Du ev. auf der IB3 den DMZ-Modus auf die IP des Syno-Routers aktiviert?

Nein... Hätt ich zwar gern gemacht, die IB3 nur zum "Durchleiten" zu nutzen per WAN-Port. Aber dann funzt Swisscom TV nicht mehr richtig. Also Syno einfach im Bridge-Modus eingerichtet und in der IB3 einzelne Ports an die Syno weitergeleitet.

Und per DMZ-Weiterleitung wäre ja die Firewall der IB3 komplett deaktiviert, soweit ich das verstehe...

@"duffy"#297856 Syno im Bridge Mode heisst ja Du betreibst den Router lediglich als Access Point ohne eigenes Netz. Für einen reinen Access Point sind Portweiterleitungen völlig überflüssig, bzw. Im worst case sogar gefährlich. Die würde ich jetzt mal abschalten, dann filtert die IB3 auch wieder besser…

Hmmm... Missverständnis??? Die Portweiterleitungen habe ich nur in der IB3 eingerichtet! Die Syno hängt wirklich nur zwischen IB3 und Heimnetz und protokolliert den Datenstrom.

@"duffy"#297856 Vielleicht wirklich ein Missverständnis, aber falls Du auf der IB3 eine Portweiterleitung auf auf die IP Adresse des Accesspoints eingerichtet hättest, wäre dies ein Konfigurationsfehler.

Nee, hab ich nicht! Port-Weiterleitungen in der IB3 gehen auf verschiedene Ports der NAS.

> * * * > > @"duffy"#297856 schrieb: > > Nee, hab ich nicht! > > Port-Weiterleitungen in der IB3 gehen auf verschiedene Ports der NAS. > > * * * Habe zwar keine Erfahrungen damit, was Dein Syno Router noch genau protokollieren kann, wenn Du ihn als reinen Access Point konfiguriert hast, aber falls Du einige Ports auf der IB3 für die Diskstation freigegeben hast, darfst Du nicht erstaunt sein, wenn da einiges durchkommt, denn gerade die üblichen Standardports einer Diskstation werden immer wieder mal "beharkt". Der viel sicherere Weg um aus dem Internet auf eine Diskstation zuzugreifen ist eine VPN-Verbindung und die Möglichkeit für einen Open VPN Server gibt es sowohl auf der Diskstation direkt wie auch auf dem Synology Router. Dann brauchst Du wirklich nur noch 1 einzigen Port für den VPN-Server weiterzuleiten und den kannst Du erst noch individuell wählen. Damit wird er dann auch nicht mehr dauernd von irgendwelchen Bots "beharkt".

Firewall und Threat Prevention

Stauldoteiy82

@duffy schrieb:

@Stauldoteiy82

Da gehe ich fast komplett mit Dir mit!

"Sicherheit ist der Feind der Freiheit"... und umgekehrt. Da gilt es immer einen Mittelweg zu finden.

Da habe ich mich unklar ausgedrückt:

Es ist sehr wohl möglich Freiheit und Sicherheit/Datenschutz zu kombinieren wie wir gerade mit den offiziellen Corona Apps sehen konnten. Wenn es denn gewollt ist und genügend Ressourcen zur Verfügung stehen.

Und nicht für alle bedeutet Freiheit dasselbe. Für eine Swisscom Kundin ist es Freiheit sorglos alle möglichen Türen (Ports) offen zu lassen da der Provider regelmässig die potentiellen Gefahren bereits vor der Quartierstrasse abwimmelt.

Für andere ist es Freiheit wenn Sie aus dem Fenster schauen und die Vielfalt im Quartier sehen, Sie können ja die Türen und Fenster schliessen wenn Sie ein höheres Sicherheitsbedürfnis haben.

Leider konnte mir bisher aber keiner beantworten, ob man z.B. diese Mirai-Botnetz-Warnung ernst nehmen muss.

Wenn's ein Fehlalarm ist, um so besser!

Wenn kein Fehlalarm, dann wäre das so, als würde ich ohne Öl fahren, aber die Warnleuchte geht nicht an.

Das Miraibotnetz ist schon sehr lange in Betrieb und wird immer wieder etwas angepasst, siehe Startpage.com oder eine andere Suchmaschine Deines vertrauens, dadurch kann Dir niemand sagen wie Ernst Du es nehmen musst.

Ich fahre kein Auto, deshalb weiss ich nicht ob es dies gibt, doch gehen wir einmal von einem "Heizung funktioniert nicht"-Lämpchen aus.

Wenn dieses im Sommer leuchtet und Du gar keine Heizubg hast kannst Du es vermutlich ignorieren oder sogar von der restlichen Elektonik trennen (die entsprechenden Ports in der IB öffnen).

Wenn Du eine Heizung hast, es jedoch warm ist kannst Du das Lämpchen ignorieren aber bereits Vorbereitungen treffen für wenn es kühler wird.

Wenn nun jedoch die Heizung Deines Autos mit der Kühlung zusammenhängt und Du der Bofrost Mann bist, gerade am Beginn Deiner Tour, dann ist dies eine Warnung welche Du extrem ernst nehmen solltest.

Damit nun Dein Provider das Risiko von Datenverkehr abschätzen kann müssten sehr viele Informationen über Deine interne IT gesammelt werden. (Ironischerweise würde das sammeln dieser Informationen dann bei Deiner TP wieder Warnungen (sic!) auslösen. )

Stauldoteiy82

Um konkret auf eine Eindeutigere Meldung der TP einzugehen:

Bei der MS17-010 Meldung geht es um einen "Angriff" welcher eine bekannte Lücke in einer alten Version des SMB Protokolls nutzt um "remote code" auszuführen.

Die Informationen von Microsoft dazu und welche Systeme betroffen sind:

https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

Eigentlich könntest Du nun sagen: Mein Storage läuft nicht unter Windows, somit kann ich dies getrost ignorieren.

Wenn dort jedoch das alte SMB Protokoll ungepatcht benutzt wird, so kann diese Lücke ausgenutzt werden, aber zurzeit gemäss unserem Kenntnissstand kein remote code ausgeführt werden.

Nun ist es jedoch möglich, dass dieselbe Lücke später von Sicherheitsforschern (oder bereits jetzt von crackern welche andere Motive verfolgen) genutzt wird um auf Deiner Diskstation remote code auszuführen, z.B. solcher welcher alle Deine Daten verschlüsselt und Dir eine Textdatei mit einem Erpressungstext und einer Cryptowährungsadresse hinterlegt.

Deshalb ist es auch wichtig bekannte Lücken auf Systemen für welche es keinen gefährlichen Exploit gibt Zeitnah zu schliessen.

OK, ein Backofen ist kein Storage und Du hast vermutlich keine wochtigen Daten ohne externes Backup(Kochbuch mit den Lieblingsrezepten) darauf.

Doch vielleicht benutzt dieser SMB um neue Rezepte von irgendwo nachzuladen.

Werner

Solange jemand sorglos den Port 80 direkt an seinen Backofen weiterleitet und dann denkt irgendein Provider überwacht jetzt deshalb die vom Kunden bewusst herbeigeführte Sicherheitslücke auf Mirai, erübrigt sich eigentlich jegliche Grundsatzdiskussion.

Übrigens können und dürfen die Provider gar nicht den ganzen Internet-Traffic inhaltlich überwachen, sonst landet man nämlich hier:

https://de.wikipedia.org/wiki/Deep_Packet_Inspection

duffy

@Werner

IP-TV funtioniert, aber ich bin leider auch auf Festnetz angewiesen und DECT unterstützt die RT nicht.

Auf der IB3 nur DECT und ggf. TV einerseits und allen anderen Datentransfer über die RT laufen zu lassen, so weit bin ich noch nicht gekommen, ist aber in Arbeit.

Und Du hast natürlich völlig recht: Momentan nutze ich die RT allein, um den Datenverkehr besser zu analysieren.

duffy

@KMDD

Deine Einstellung ist es, die völlig an der Realität vorbei geht:

Woher kommen denn die DDoS-Angriffe und Botnetzwerke? Warum sind in letzter Zeit massenweise Spitäler und öffentliche Einrichtungen von Ransomware betroffen?

Es ist tatsächlich ein weltweites Problem!

Und ich denke, dass nur die Spitze des Eisbergs sichtbar ist. Denn alle Beteiligten versuchen natürlich aus Eigeninteresse zu verschleiern, zu verharmlosen und möglichst nichts öffentlich werden zu lassen.

Leider haben die meisten Menschen nicht Deinen finanziellen Background, und können einfach ihre älteren Geräte "in die Mülltonne entsorgen".

D.h. man muss damit leben, dass viele ihre Hardware oder ihren Virenscanner eben nicht auf dem neuesten Stand halten... wenn sie sich überhaupt solches leisten können.

Und dann finde ich den Gedanken durchaus berechtigt, ob da nicht der Provider in die Pflicht genommen werden sollte.

P.S.: Da Du ja anscheinend so auf "Marketing-Bla Bla" abfährst:

Bitte erkläre mir doch erstens, worin genau dieses "Marketing" besteht; Und was daran zweitens schlecht ist.

Auch Deinen Satz "den Syn. auf den Müll werfen, das Gehirn einschalten und schon gibt es keine Probleme" verstehe ich nicht! Es wäre so schön, wenn ich allein durch Einschalten des Gehirns alle Probleme lösen könnte. Leider werden aber viele Probleme von anderen verursacht... Und selbst mit viel Telepathie werde ich da kaum erfolgreich sein...

duffy

@Stauldoteiy82

Das ist cool... 😂🤣

OK, ein Backofen ist kein Storage und Du hast vermutlich keine wochtigen Daten ohne externes Backup(Kochbuch mit den Lieblingsrezepten) darauf.

Doch vielleicht benutzt dieser SMB um neue Rezepte von irgendwo nachzuladen.

Da muss ich gleich nachschauen....

Nicht, dass ich gehackt bin und nur noch vegane Rezepte bekomme.....

Danke für den Tip!!

duffy

Das ist natürlich Unsinn:

die vom Kunden bewusst herbeigeführte Sicherheitslücke auf Mirai

Warum ist das Öffnen von Port 80 eine bewusst herbeigeführte Sicherheitslücke auf Mirai?

Port 80 ist auf Millionen Servern offen und auch nicht Mirai-spezifisch.

Aber kann ich aus Deiner Antwort schliessen, dass Swisscom den Mirai-Code grade NICHT überwacht?

Es geht auch nicht um "inhaltliche" Überwachung! Ich glaube nicht, dass "Deep Packet Inspection" notwendig ist, um einen Mirai-Code zu entdecken.

Schliesslich bin ich mir sicher, dass Swisscom sowieso nicht einfach alles unbesehen durchgehen lässt, sondern ganz bestimmt Filteralgorythmen laufen lässt mit Black- und Whitelists, worüber wir auch nicht informiert sind.

duffy

Hmmm...

Ich warte mal noch die nächsten Tage und eventuellen Beiträge ab und vergleiche....

Aber anhand der Inhalte und insbesondere der Zeitverläufe scheint es wahrscheinlich, dass in diesem Threat der ein oder andere Swisscom-Bot unterwegs ist....

😂🤣

Bin gespannt...

KMDD

Alles was Du beschreibst, geht von Innen nach Aussen. Also irgendein Mensch hat auf seinen PC/Mac irgendetwas installiert, was dann nachlädt. Und da hilft Dir keine Firewall. Leider hast Du das Problem nicht verstanden und wirfst mit ziemlich viel Schwachsinn um Dich. Muss ich jetzt einfach mal so klar sagen.

Und es geht nicht um finanziellen Background, sondern darum, dass Du ja auch nicht mit einem nicht sicheren Auto auf den Strassen fahren darfst und solltest.

Dein Setup ist in wenigen Millisekunden übernommen, wenn Du Dich unvorsichtig verhälst. Ist so, mag Dir nicht gefallen.

duffy

@KMDD

Nope, die Warnungen kamen ausschliesslich von aussen!

Und da Du auf meine letzten Fragen an Dich überhaupt nicht geantwortet hast, gehe ich davon aus, dass Du auch Deine Aussage

Leider hast Du das Problem nicht verstanden und wirfst mit ziemlich viel Schwachsinn um Dich. Muss ich jetzt einfach mal so klar sagen.

nicht begründen oder erklären kannst.

Da Du anscheinden so überhaupt gar nichts Konstruktives beitragen kannst, lass Deine unqualifizierten Beiträge doch bitte woanders ab!

KMDD

Ich schlage vor, dass dieses Thema in den esoterischen Bereich verschoben wird. Damit ist das Thema für mich erledigt.

Werner

Leider ist Dein Backofen, welchen Du nun mit der Weiterleitung des unverschlüsselten Port 80 ganz absichtlich direkt aus dem Internet zugreifbar gemacht hast, tatsächlich eines der bevorzugten Angriffsziele des Computerwurms "Mirai"

Dazu als Erklärung noch ein kurzer Auszug aus Wikipedia:

"Mirai nutzt die Tatsache aus, dass immer mehr Alltagsgegenstände wie Router, CCTV-Überwachungssysteme, Digital Video Recorder oder Fernseher mit dem Internetverbunden sind (IdD – Internet der Dinge). Die Software scannt das Netz nach Sicherheitslücken bei solchen Geräten mit werkseitig aufgespielter Betriebssoftwareund versucht dann, Schadcode auf diese aufzuspielen."

Das Mirai-Problem liegt also ursächlich nicht beim angegriffenen Spital oder bei den Internet-Providern als reine Kommunikationsübermittler, sondern bei Millionen von unvorsichtigen Usern, welche ihre Haushaltgeräte, wie z.B. Deinen Backofen, ganz freiwillig den kriminellen Betreiber von Bot-Netzen und im Regelfall ohne es überhaupt zu bemerken als Sklaven zur Verfügung stellen.

duffy

@Werner

Jups... Und genau das ist doch meine Fragestellung:

In meinem Heimnetz habe ich diverse Geräte (mystrom, Miele-Backofen, Viessman-Gastherme, Sonos, ip-Kamera etc.), die alle potentiell angreifbar sind.

Und ich als Nutzer habe absolut gar keinen Zugriff auf eventuelle Schwachstellen.

Ich kann gar nicht sehen, ob sich dort irgendein Schadcode einbaut.

Und deshalb bin ich abhängig von vorrangigen Schutzmechanismen.

Swisscom als Provider und die IB3 scheinen das nicht komplett zu leisten, oder?

duffy

@KMDD: Der erste Swisscom-Bot, der aussteigt!

Okay, ich fasse für mich zusammen:

Ich werde keine ehrlichen Antworten bekommen zum Thema "Schadcode"...
Ich kann mich auch in Zukunft nicht auf einen umfassenden Schutz durch den Provider verlassen.
Ich muss auf allen Ebenen (Router, PC etc.) selber für ausreichenden Schutz sorgen.
Swisscom und IB3 bieten keinen ausreichenden Schutz gegen Malware

Nächste spannende Frage: Ist der Provider haftrechtlich verantwortlich für übermittelten Schadcode?

hed

@duffy

Wenn es Schwachstellen in den IB gäbe, wäre das längst in den Medien.

duffy

@hed

Hmm... meinst Du?

Vielleicht ist meine Paranoia ja unberechtigt....

Aber ein kleines Beispiel:

Vor einigen Jahren hatte ich einen Hostingvertrag bei 1&1 (Deutschland).

Um meine Datenbank zu verwalten habe ich das Script "phpmyadmin" hochgeladen.....

Und damit hatte ich plötzlich Zugriff auf ALLE Datenbanken ALLER Kunden von 1&1.

\=> Anruf bei 1&1: Sicherheitsleck

Das Leck wurde sofort geschlossen, ohne ein "Dankeschön" an mich... oder, dass es eine Mitteilung an Presse oder betroffene User gegeben hätte... Eine Kopie der Datenbanken habe ich noch..

D.h. ich denke, dass es massenweise Sicherheitslecks gibt, die aber verschwiegen werden... Aus nachvollziehbaren Gründen.

Ich werde jedenfalls meine "Lecks" weiter dokumentieren und ggf. dem Beobachter zur Verfügung stellen.

duffy

Scheiss auf all den Blödsinn... Nur das Glück zählt.... 😎

Werner

duffy

Bevor ich mich ebenfalls aus diesem Thread verabschiede, noch 2 ganz einfache Tipps wie Du sofort und ohne grossen Aufwand die Sicherheit Deiner IoT-Geräte in Deinem LAN massiv erhöhen kannst:

- verzichte ab sofort bewusst auf jegliche Portweiterleitung mit der Zieladresse eines Deiner IoT-Geräte

- unterbinde auf der Internetbox zusätzlich die Möglichkeit des Routers zur vermutlich bei Dir noch eingeschalteten automatischen Portweiterleitung. Das sieht dann so aus:

duffy

Dieser Beitrag hat keinen Inhalt.

Werner

@duffy

Bisher hat in diesem Thread noch kein einziger Swisscom-Mitarbeiter irgendein Wort geschrieben.

Du diffamierst also lediglich andere Swisscom Kunden, welche sich persönlich Zeit dafür genommen haben um auf Deine Fragen möglichst konkrete Antworten zu finden,

Was soll das für einen Sinn ergeben?

« Previous page Next page »