Hi, Ihr... 😉 Als IT-affirmer Hobby-Nutzer habe ich ein grosses Interesse an möglichst umfangreicher Sicherheit. Deshalb habe ich mein Heimnetz ein wenig erweitert: **Hausanschluss Swisscom Internet-Box 3 Synology RT2600ac im Bridge-Modus Heimnetz und WLAN** Auf der IB3 ist unter den Firewall-Einstellungen "strikt" aktiviert. _"Alle eingehenden Verbindungen werden blockiert. Davon ausgenommen ist eine Gruppe von Standardprotokollen."_ Ich gehe deshalb davon aus, dass 1. die Swisscom als mein Provider bereits umfangreiche Schutzmassnahmen installiert hat, bevor sie Datenpakete an mich weiterleitet. 2. die IB3 eventuell durchgeschlüpfte Risiken dann blockiert. **Warum aber meldet mir die RT2600ac täglich ca. 300 "Angriffe", die als "hoch gefährlich" kategorisiert sind?** Für die Threat Prevention wird der "ET Pro Rule-Set" von Proofpoint genutzt. Gemeldet werden "Web application attacks", "Potential Corporate Privacy Violation", "A Network Trojan was Detected".. und vieles mehr, das geblockt wird. Ohne den zusätzlichen Router hätte ich davon gar nichts bemerkt. Leider kann ich nicht einschätzen, ob es sich dabei um ernstzunehmende Bedrohungen handelt, die Schaden hätten anrichten können. Oder um "Fake-Bedrohungen", die sowieso ohne Konsequenz gewesen wären. Wenn ersteres der Fall ist, dann stellt sich natürlich die Frage, warum diese "Angriffe" von Swisscom und IB3 weitergeleitet werden. Ich würd mich riesig freuen, wenn mich da jemand aufklären könnte!.... 🤔 LG Hendrik

[i]Dieser Beitrag hat keinen Inhalt.[/i]

\- In welche Richtung werden die "Angriffe" und Trojaner detektiert (incoming oder outgoing)? \- Betreffend "Web application attacks": Gibt es dazu in den Logs mehr Details z.B. die Source-IP und Ports? \- Betreffend "Potential Corporate Privacy Violation": Hier könnten allenfalls Service-Protokolle für die TV-Box einen Fehlalarm auslösen (aber auch darüber sollten die Logs mehr Auskunft erteilen -> IP-Adressen, Ports,...) \- Hast du die Fehlermeldungen auch, wenn das Heimnetz (inkl. WLAN) komplett "abgehängt" ist? Die Frage aus folgendem Grund: Ein Bekannter hatte auch suspekte Fehlermeldungen auf der FW. Letztendlich wurden diese von einem Smart-TV ausgelöst welcher in der halben Welt herumkommuniziert hat und von der FW als suspekt eingestuft wurde.

Hi, hed... Die "ausgehenden" Pakete habe ich schon ignoriert... meistens Microsoft-Server, Amazon etc. Zu Deiner letzten Frage: Die eingehenden"Angriffe" kommen auch, wenn alles andere schläft! z.B. Angriff direkt auf den Router von IP 175.158.218.12 um 04:49:30 per "ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style)". TV-Boxen sind beide momentan ausgeschaltet. Trotzdem "Angriff" auf meinen Laptop von IP 2.22.155.19 per "ET POLICY PE EXE or DLL Windows file download HTTP". Und zu den "Web application attacks": Die meisten Angriffe gehen auf's NAS.... z.B. IP 45.90.161.59 per "ET WEB\_SERVER 401TRG Generic Webshell Request - POST with wget in body" Und dann hat's noch massenweise - weniger relevante - Angriffe: * Portscans * Bad traffic * Python requests * Malware downloader LG

@"duffy"#297856 Einfach noch eine Frage ins Blaue hinaus: Hast Du ev. auf der IB3 den DMZ-Modus auf die IP des Syno-Routers aktiviert?

Firewall und Threat Prevention

duffy

Nein…

Hätt ich zwar gern gemacht, die IB3 nur zum “Durchleiten” zu nutzen per WAN-Port.

Aber dann funzt Swisscom TV nicht mehr richtig.

Also Syno einfach im Bridge-Modus eingerichtet und in der IB3 einzelne Ports an die Syno weitergeleitet.

duffy

Und per DMZ-Weiterleitung wäre ja die Firewall der IB3 komplett deaktiviert, soweit ich das verstehe…

Werner

@duffy

Syno im Bridge Mode heisst ja Du betreibst den Router lediglich als Access Point ohne eigenes Netz.

Für einen reinen Access Point sind Portweiterleitungen völlig überflüssig, bzw. Im worst case sogar gefährlich.

Die würde ich jetzt mal abschalten, dann filtert die IB3 auch wieder besser…

duffy

Hmmm… Missverständnis???

Die Portweiterleitungen habe ich nur in der IB3 eingerichtet!

Die Syno hängt wirklich nur zwischen IB3 und Heimnetz und protokolliert den Datenstrom.

Werner

@duffy

Vielleicht wirklich ein Missverständnis, aber falls Du auf der IB3 eine Portweiterleitung auf auf die IP Adresse des Accesspoints eingerichtet hättest, wäre dies ein Konfigurationsfehler.

duffy

Nee, hab ich nicht!

Port-Weiterleitungen in der IB3 gehen auf verschiedene Ports der NAS.

Werner

@duffy schrieb:

Nee, hab ich nicht!

Port-Weiterleitungen in der IB3 gehen auf verschiedene Ports der NAS.

Habe zwar keine Erfahrungen damit, was Dein Syno Router noch genau protokollieren kann, wenn Du ihn als reinen Access Point konfiguriert hast, aber falls Du einige Ports auf der IB3 für die Diskstation freigegeben hast, darfst Du nicht erstaunt sein, wenn da einiges durchkommt, denn gerade die üblichen Standardports einer Diskstation werden immer wieder mal “beharkt”.

Der viel sicherere Weg um aus dem Internet auf eine Diskstation zuzugreifen ist eine VPN-Verbindung und die Möglichkeit für einen Open VPN Server gibt es sowohl auf der Diskstation direkt wie auch auf dem Synology Router.

Dann brauchst Du wirklich nur noch 1 einzigen Port für den VPN-Server weiterzuleiten und den kannst Du erst noch individuell wählen.

Damit wird er dann auch nicht mehr dauernd von irgendwelchen Bots “beharkt”.

duffy

Hey, Werner… 🙂

Das klingt gut!

Ich hatte mal auf der DS ein VPN eingerichtet… und konnte dann von “draussen” nicht mehr drauf zugreifen… wahrscheinlich was falsch gemacht!

Kannst Du da weiterhelfen??

Sowohl auf Router als auch auf Diskstation kann ich VPNs einrichten.

Was und wie macht Sinn?

duffy

Und trotzdem bleibt die Frage:

Warum lassen Swisscom als Provider und die IB3 so viele “Angriffe” durch?

hed

@duffy schrieb:

Und trotzdem bleibt die Frage:

Warum lassen Swisscom als Provider und die IB3 so viele “Angriffe” durch?

@duffy

Wie schon von @Werner vermutet, lässt die IB das wegen der eingerichteten Portweiterleitung durch.

Anyway, betreibe doch mal die IB für 1-2 Stunden quasi mit Factory-Konfig und beobachte was so noch durchkommt. Bei täglich 300 “Angriffen” wirst du das ja sehr schnell sehen.

duffy

hed

IB3-Port-Regeln:

Selbst diese Port-Weiterleitungen müssten doch durch die IB3-Firewall geschützt sein, oder?

Macht doch keinen Sinn, dass die Firewall bei Port-Weiterleitungen ausgeschaltet ist, oder?

Werner

duffy schrieb:

IB3-Port-Regeln:

Selbst diese Port-Weiterleitungen müssten doch durch die IB3-Firewall geschützt sein, oder?

Macht doch keinen Sinn, dass die Firewall bei Port-Weiterleitungen ausgeschaltet ist, oder?

Du hast wirklich bewusst 13 Löcher in die Firewall der IB3 gebohrt und wunderst Dich dann das da etwas durchkommt?

Was soll denn die IB3 da anderes machen als Deinem expliziten Befehl zu folgen selbst nichts zu machen, sondern die entsprechenden Requests aus dem Internet direkt an die Syno-Geräte weiterzuleiten?

Zur Fragestellung, wie man Synology Diskstations und auch Synology Router sicherheitsbewusst für Zugriffe aus dem Internet konfiguriert, gibt es einige lehrreiche Grundlagenvideos von iDomiX:

https://idomix.de/

Auch die Zusammenhänge der Sicherheitsaspekte und die Benutzung von VPN Zugängen finde ich da recht gut erklärt.

Die 13 von Dir aktuell angebrachten Bohrlöcher in der Security Deines Netzes passen übrigens überhaupt nicht zu Deinem im Eingangsbeitrag dieses Threads formulierten Ziel, die Sicherheit eigentlich erhöhen zu wollen…

Meine grundsätzliche Empfehlung an Dich wäre: Schalte vorneweg ein kleines Grundlagenstudium ein, bevor Du den eigentlich als Standardweg gut gesicherten Pfad eines Providerrouters wie der IB3 tatsächlich verlässt.

Nach den Grundlagen, wäre dann m.E. die Umsetzung einer VPN-Installation angesagt, entweder mittels Open VPN Server oder Wireguard, welches gerade stark im Kommen ist.

Und als letzte Frage bliebe dann noch die Architekturfrage: Betrieb direkt im Swisscom-Provider-LAN oder eigenes kaskadiertes und ev. noch zusätzlich “gehärtetes” unabhängiges Heimnetz?

Tux0ne

duffy schrieb:

IB3-Port-Regeln:

Selbst diese Port-Weiterleitungen müssten doch durch die IB3-Firewall geschützt sein, oder?

Macht doch keinen Sinn, dass die Firewall bei Port-Weiterleitungen ausgeschaltet ist, oder?

Wenn du Portweiterleitungen machst, wir im gleichen Zug eine Firewall Regel erstell die eben Zugriff auf diesen Port von WAN zu LAN erlaubt.

Eigentlich müsstest du diese Regel dann eigentlich auch in der Internet Box finden, ausgenommen sie haben wieder mal etwas unkonventionelles programmiert und blenden das im WUI aus.

Also kannst du nicht reklamieren wenn du viele Zugriffe erhältst. Wenn du ein IDS am Laufen hast und da alles aktiviert ist, bekommst du natürlich viele Meldungen. Auch viele false/positive die man dann am Anfang deaktivieren musst. Aber wenn die ganze Welt zugreifen kann ist es klar das das IDS spamt. Gut wäre es wenn es dann auch gleich blockt sonst bringt es ja nichts 😄

Nur so wenige Ports wie nötig öffnen
Falls möglich Services nur via VPN zugänglich machen
Bei Applikationen wie einem Webserver Mail. ZB. eine Firewall mit Filterlisten einsetzen um die bekannten Bots nicht durchzulassen. Allenfalls GEO IP Block usw.

hed

Probieren geht über studieren und diskutieren.

Wie gesagt, alle Regeln entfernen, LAN “isolieren” und für 1-2h beobachten, wer oder was dann immer noch durchkommt.

P.S.

Nach dem Entfernen aller Regeln würde ich noch die IB neu booten um ganz sicher zu gehen.

hed

Trotz dieser durchaus plausiblen Erklärungen wäre der Versuch interessant, alle Regeln zu löschen und so den Gegenbeweis anzutreten, dass die IB3 dann tatsächlich “wasserdicht” ist und alle vermeintlichen “Angriffe” nur auf Grund der vielen Regeln entstanden sind.

duffy

Versuch läuft:

Alle Weiterleitungen deaktiviert…

Ergebnis heute Abend.. 🤪

Und “Danke” für den Link!

Tech41

Hab mir das durchgelesen, um es zu vereinfachen und das eigentliche Ziel, die Sicherheit zu erhöhen zu erreichen, kann ich ebenfalls zum OpenVPN raten, nutze dieses schon länger auch in sicherheitsrelevanten Bereichen (Corporate Security) und hab bislang nur positive Erfahrungen gemacht, auch hinsichtlich Usern ohne IT Affinität die ihre Maschinen zum erledigen der täglichen Task nutzen und kein Hintergrundwissen haben (wollen)

https://openvpn.net

hed

Die Sicherheit zu erhöhen ist ein Ziel, daneben ist es aber auch von grossem Interesse zu erfahren, ob die IB im Grundzustand (d.h. so wie sie von 98% der Kunden verwendet wird) tatsächlich so “dicht” ist wie Swisscom angegeben wird. Ich gehe davon aus, dass sie es ist, dennoch kann der Test von @duffy nicht schaden. Vertrauen ist gut, Kontrolle ist besser.

duffy

Okay, ich denke, ich kann den Test nach 5 Stunden abbrechen:

IB alle Ports geschlossen, keine Weiterleitungen, Firewall auf “strikt”.

Trotzdem lässt die IB folgende eingehende Pakete durch.

ET POLICY PE EXE or DLL Windows file download HTTP
ET WEB_SERVER 401TRG Generic Webshell Request - POST with wget in body
ET EXPLOIT Jboss RCE (CVE-2017-12149)
ET CINS Active Threat Intelligence Poor Reputation IP group 83
ET INFO Generic IOT Downloader Malware in POST (Inbound)
ET INFO User-Agent (python-requests) Inbound to Webserver

Wie gesagt, ich kann absolut nicht einschätzen, ob das unsinnige Meldungen sind, oder ob das Sorge machen sollte.

Aber lieben Dank an Alle für Ihre Meinungen und Hilfestellungen.

Dann werd ich mich mal mit VPN beschäftigen…. 😁

Schönes Wochenende…

hed

@duffy

Danke für die Info. Aus meiner Sicht ist es zwingend notwendig, dass ein Crack von Swisscom das zusammen mit dir weiter im Detail untersucht ob es sich um eine fehlerhafte Anzeige der FW, einen Fehler der IB oder um erklärbare Meldungen handelt.

Pagina successiva »