Firewall und Threat Prevention

duffy

Hi, Ihr... 😉

Als IT-affirmer Hobby-Nutzer habe ich ein grosses Interesse an möglichst umfangreicher Sicherheit.

Deshalb habe ich mein Heimnetz ein wenig erweitert:

Hausanschluss <-> Swisscom Internet-Box 3 <-> Synology RT2600ac im Bridge-Modus<-> Heimnetz und WLAN

Auf der IB3 ist unter den Firewall-Einstellungen "strikt" aktiviert.

"Alle eingehenden Verbindungen werden blockiert. Davon ausgenommen ist eine Gruppe von Standardprotokollen."

Ich gehe deshalb davon aus, dass

die Swisscom als mein Provider bereits umfangreiche Schutzmassnahmen installiert hat, bevor sie Datenpakete an mich weiterleitet.
die IB3 eventuell durchgeschlüpfte Risiken dann blockiert.

Warum aber meldet mir die RT2600ac täglich ca. 300 "Angriffe", die als "hoch gefährlich" kategorisiert sind?

Für die Threat Prevention wird der "ET Pro Rule-Set" von Proofpoint genutzt.

Gemeldet werden

"Web application attacks", "Potential Corporate Privacy Violation", "A Network Trojan was Detected".. und vieles mehr, das geblockt wird.

Ohne den zusätzlichen Router hätte ich davon gar nichts bemerkt.

Leider kann ich nicht einschätzen, ob es sich dabei um ernstzunehmende Bedrohungen handelt, die Schaden hätten anrichten können. Oder um "Fake-Bedrohungen", die sowieso ohne Konsequenz gewesen wären.

Wenn ersteres der Fall ist, dann stellt sich natürlich die Frage, warum diese "Angriffe" von Swisscom und IB3 weitergeleitet werden.

Ich würd mich riesig freuen, wenn mich da jemand aufklären könnte!.... 🤔

LG Hendrik

hed

- In welche Richtung werden die "Angriffe" und Trojaner detektiert (incoming oder outgoing)?

- Betreffend "Web application attacks": Gibt es dazu in den Logs mehr Details z.B. die Source-IP und Ports?

- Betreffend "Potential Corporate Privacy Violation": Hier könnten allenfalls Service-Protokolle für die TV-Box einen Fehlalarm auslösen (aber auch darüber sollten die Logs mehr Auskunft erteilen -> IP-Adressen, Ports,...)

- Hast du die Fehlermeldungen auch, wenn das Heimnetz (inkl. WLAN) komplett "abgehängt" ist?

Die Frage aus folgendem Grund: Ein Bekannter hatte auch suspekte Fehlermeldungen auf der FW. Letztendlich wurden diese von einem Smart-TV ausgelöst welcher in der halben Welt herumkommuniziert hat und von der FW als suspekt eingestuft wurde.

duffy

Hi, hed...

Die "ausgehenden" Pakete habe ich schon ignoriert... meistens Microsoft-Server, Amazon etc.

Zu Deiner letzten Frage:

Die eingehenden"Angriffe" kommen auch, wenn alles andere schläft!

z.B. Angriff direkt auf den Router von IP 175.158.218.12 um 04:49:30 per "ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style)".

TV-Boxen sind beide momentan ausgeschaltet.

Trotzdem "Angriff" auf meinen Laptop von IP 2.22.155.19 per "ET POLICY PE EXE or DLL Windows file download HTTP".

Und zu den "Web application attacks":

Die meisten Angriffe gehen auf's NAS....

z.B. IP 45.90.161.59 per "ET WEB_SERVER 401TRG Generic Webshell Request - POST with wget in body"

Und dann hat's noch massenweise - weniger relevante - Angriffe:

Portscans
Bad traffic
Python requests
Malware downloader

Werner

@duffy

Einfach noch eine Frage ins Blaue hinaus:

Hast Du ev. auf der IB3 den DMZ-Modus auf die IP des Syno-Routers aktiviert?

duffy

Nein...

Hätt ich zwar gern gemacht, die IB3 nur zum "Durchleiten" zu nutzen per WAN-Port.

Aber dann funzt Swisscom TV nicht mehr richtig.

Also Syno einfach im Bridge-Modus eingerichtet und in der IB3 einzelne Ports an die Syno weitergeleitet.

duffy

Und per DMZ-Weiterleitung wäre ja die Firewall der IB3 komplett deaktiviert, soweit ich das verstehe...

Werner

@duffy

Syno im Bridge Mode heisst ja Du betreibst den Router lediglich als Access Point ohne eigenes Netz.

Für einen reinen Access Point sind Portweiterleitungen völlig überflüssig, bzw. Im worst case sogar gefährlich.

Die würde ich jetzt mal abschalten, dann filtert die IB3 auch wieder besser…

duffy

Hmmm... Missverständnis???

Die Portweiterleitungen habe ich nur in der IB3 eingerichtet!

Die Syno hängt wirklich nur zwischen IB3 und Heimnetz und protokolliert den Datenstrom.

Werner

@duffy

Vielleicht wirklich ein Missverständnis, aber falls Du auf der IB3 eine Portweiterleitung auf auf die IP Adresse des Accesspoints eingerichtet hättest, wäre dies ein Konfigurationsfehler.

duffy

Nee, hab ich nicht!

Port-Weiterleitungen in der IB3 gehen auf verschiedene Ports der NAS.

Werner

@duffy schrieb:

Nee, hab ich nicht!

Port-Weiterleitungen in der IB3 gehen auf verschiedene Ports der NAS.

Habe zwar keine Erfahrungen damit, was Dein Syno Router noch genau protokollieren kann, wenn Du ihn als reinen Access Point konfiguriert hast, aber falls Du einige Ports auf der IB3 für die Diskstation freigegeben hast, darfst Du nicht erstaunt sein, wenn da einiges durchkommt, denn gerade die üblichen Standardports einer Diskstation werden immer wieder mal "beharkt".

Der viel sicherere Weg um aus dem Internet auf eine Diskstation zuzugreifen ist eine VPN-Verbindung und die Möglichkeit für einen Open VPN Server gibt es sowohl auf der Diskstation direkt wie auch auf dem Synology Router.

Dann brauchst Du wirklich nur noch 1 einzigen Port für den VPN-Server weiterzuleiten und den kannst Du erst noch individuell wählen.

Damit wird er dann auch nicht mehr dauernd von irgendwelchen Bots "beharkt".

duffy

Hey, Werner... 🙂

Das klingt gut!

Ich hatte mal auf der DS ein VPN eingerichtet... und konnte dann von "draussen" nicht mehr drauf zugreifen... wahrscheinlich was falsch gemacht!

Kannst Du da weiterhelfen??

Sowohl auf Router als auch auf Diskstation kann ich VPNs einrichten.

Was und wie macht Sinn?

duffy

Und trotzdem bleibt die Frage:

Warum lassen Swisscom als Provider und die IB3 so viele "Angriffe" durch?

hed

@duffy schrieb:

Und trotzdem bleibt die Frage:

Warum lassen Swisscom als Provider und die IB3 so viele "Angriffe" durch?

@duffy

Wie schon von @Werner vermutet, lässt die IB das wegen der eingerichteten Portweiterleitung durch.

Anyway, betreibe doch mal die IB für 1-2 Stunden quasi mit Factory-Konfig und beobachte was so noch durchkommt. Bei täglich 300 "Angriffen" wirst du das ja sehr schnell sehen.

duffy

hed

IB3-Port-Regeln:

Selbst diese Port-Weiterleitungen müssten doch durch die IB3-Firewall geschützt sein, oder?

Macht doch keinen Sinn, dass die Firewall bei Port-Weiterleitungen ausgeschaltet ist, oder?

Werner

duffy schrieb:

IB3-Port-Regeln:

Selbst diese Port-Weiterleitungen müssten doch durch die IB3-Firewall geschützt sein, oder?

Macht doch keinen Sinn, dass die Firewall bei Port-Weiterleitungen ausgeschaltet ist, oder?

Du hast wirklich bewusst 13 Löcher in die Firewall der IB3 gebohrt und wunderst Dich dann das da etwas durchkommt?

Was soll denn die IB3 da anderes machen als Deinem expliziten Befehl zu folgen selbst nichts zu machen, sondern die entsprechenden Requests aus dem Internet direkt an die Syno-Geräte weiterzuleiten?

Zur Fragestellung, wie man Synology Diskstations und auch Synology Router sicherheitsbewusst für Zugriffe aus dem Internet konfiguriert, gibt es einige lehrreiche Grundlagenvideos von iDomiX:

https://idomix.de/

Auch die Zusammenhänge der Sicherheitsaspekte und die Benutzung von VPN Zugängen finde ich da recht gut erklärt.

Die 13 von Dir aktuell angebrachten Bohrlöcher in der Security Deines Netzes passen übrigens überhaupt nicht zu Deinem im Eingangsbeitrag dieses Threads formulierten Ziel, die Sicherheit eigentlich erhöhen zu wollen…

Meine grundsätzliche Empfehlung an Dich wäre: Schalte vorneweg ein kleines Grundlagenstudium ein, bevor Du den eigentlich als Standardweg gut gesicherten Pfad eines Providerrouters wie der IB3 tatsächlich verlässt.

Nach den Grundlagen, wäre dann m.E. die Umsetzung einer VPN-Installation angesagt, entweder mittels Open VPN Server oder Wireguard, welches gerade stark im Kommen ist.

Und als letzte Frage bliebe dann noch die Architekturfrage: Betrieb direkt im Swisscom-Provider-LAN oder eigenes kaskadiertes und ev. noch zusätzlich "gehärtetes" unabhängiges Heimnetz?

Tux0ne

duffy schrieb:

IB3-Port-Regeln:

Selbst diese Port-Weiterleitungen müssten doch durch die IB3-Firewall geschützt sein, oder?

Macht doch keinen Sinn, dass die Firewall bei Port-Weiterleitungen ausgeschaltet ist, oder?

Wenn du Portweiterleitungen machst, wir im gleichen Zug eine Firewall Regel erstell die eben Zugriff auf diesen Port von WAN zu LAN erlaubt.

Eigentlich müsstest du diese Regel dann eigentlich auch in der Internet Box finden, ausgenommen sie haben wieder mal etwas unkonventionelles programmiert und blenden das im WUI aus.

Also kannst du nicht reklamieren wenn du viele Zugriffe erhältst. Wenn du ein IDS am Laufen hast und da alles aktiviert ist, bekommst du natürlich viele Meldungen. Auch viele false/positive die man dann am Anfang deaktivieren musst. Aber wenn die ganze Welt zugreifen kann ist es klar das das IDS spamt. Gut wäre es wenn es dann auch gleich blockt sonst bringt es ja nichts 😄

Nur so wenige Ports wie nötig öffnen
Falls möglich Services nur via VPN zugänglich machen
Bei Applikationen wie einem Webserver Mail. ZB. eine Firewall mit Filterlisten einsetzen um die bekannten Bots nicht durchzulassen. Allenfalls GEO IP Block usw.

hed

Probieren geht über studieren und diskutieren.

Wie gesagt, alle Regeln entfernen, LAN "isolieren" und für 1-2h beobachten, wer oder was dann immer noch durchkommt.

P.S.

Nach dem Entfernen aller Regeln würde ich noch die IB neu booten um ganz sicher zu gehen.

hed

Trotz dieser durchaus plausiblen Erklärungen wäre der Versuch interessant, alle Regeln zu löschen und so den Gegenbeweis anzutreten, dass die IB3 dann tatsächlich "wasserdicht" ist und alle vermeintlichen "Angriffe" nur auf Grund der vielen Regeln entstanden sind.

duffy

Versuch läuft:

Alle Weiterleitungen deaktiviert...

Ergebnis heute Abend.. 🤪

Und "Danke" für den Link!

Pagina successiva »