Angriffe auf internet-box.ch/DynDNS Adressen

Solche Versuche gibt es immer wieder und sind wohl auch nicht verhinderbar...

Wenn ich das Log neiner Firewall anschaue habe ich oft fehlerhafte anmeldeversuche.

Erste Massname: ein sicheres Passwort setzen

Ja die gibts immer wieder, habe das ca 1-2 mal pro Jahr pro Anschluss, aber sie häufen sich in letzter Zeit um ein vielfaches. Verhinderbar wären sie durch IP-Blockings. 

Ein sicheres Passwort allein reicht heute leider nicht mehr, da empfehle ich doch etwas mehr für die Sicherheit zu tun 🙂

Gegen solche Scanns kann man nichts machen ohne den Dienst eines Kunden zu beeinträchtigen. Die IP-Adressen werden gegelmässig gewechselt. Oft sind Bot-Netze am Werk. Irgendwann hat man das Internet ausgesperrt.

btw. wird das mit IPv6 schlimmer.

---

@BiduF  schrieb:

Wir verzeichnen bei unseren Kunden-Servern aktuell erhöhte Login-Versuche auf dem WebGUI aus einem russischen IP-Range 92.37.142.x-92.37.143.x 

 

Gemeinsam haben die Kunden, dass der Swisscom-DynDNS auf der Internetbox verwendet wird. Es scheint, dass jemand die internet-box.ch Domains durchprobiert.

Gibt es eine Security-Stelle bei Swisscom um das zu melden? Kann man IP's aus Russland grundsätzlich blockieren? 

Hotline war mit meiner Anfrage leider (wiedereinmal) überfordert.

---

weil die hotline mitarbeiter ja auch ausgebildete spezialisten in sachen IT-sicherheit sind

wenn du mit jemandem von der security abteilung sprechen willst, wäre es wahrscheinlich ratsamer in worblaufen bei der haupt-telefonzentrale des swisscom gebäudes anzurufen.

@marcus 

Wie du meinem Beschrieb entnehmen kannst, ist hier kein Botnetz am Werk. Aber auch gegen Botnetze gibt es Abwehr-Möglichkeiten. 

@ Doc Hast Du die Nummer von dort, wäre ein Versuch Wert 

Grundsätzlich erwarte ich von der Hotline, dass sie mich mit jemandem weiterverbinden oder den Case weitergeben und nicht mich einfach mit Achselzucken abwinken. Dass dort keine Fachkräfte sitzen ist mir klar... 

---

@BiduF  schrieb:

Ein sicheres Passwort allein reicht heute leider nicht mehr, da empfehle ich doch etwas mehr für die Sicherheit zu tun 🙂

---

Firewall ist das Stichwort. Die noch richtig konfigurieren 😉

---

@marcus  schrieb:

[...] btw. wird das mit IPv6 schlimmer.

---

Was führt dich zu dieser Annahme?

---

@PowerMac  schrieb:

---

@marcus  schrieb:

[...] btw. wird das mit IPv6 schlimmer.

---

Was führt dich zu dieser Annahme?

---

OT: Mehr IP-Adressen, mehr Möglichkeiten diese zu wechsen. (Fast) jeder kann sich momentan riesige Blöcke reservieren. Dadurch kann man durch Hops die wahre Adresse leichter verschleiern.  Wenn man was böses machen will, wartet man selten auf eine Antwort. 🙂

Eigentlich ebenso einfach kann auch (fast) jeder diese riesigen Blöcke auf der Firewall sperren. Einfach das Netz mit einer ausreichend grossen Netmask blockieren. Manche Firewallsysteme erledigen das automatisch bei Feststellen verdächtiger Aktivitäten und löschen die Sperre nach einer konfigurierbaren Zeit auch wieder.

Zum anderen werden die regelmässigen Adresswechsel ja nicht nur von den Bad Guys praktiziert, sondern von praktisch jedem "braven" Endgerät (Stichwort Privacy Extensions, RFC4941). Dadurch sinkt die Entdeckbarkeit und Verwundbarkeit durch Ping- und Portscans auf ein Minimum.

Wieder On-Topic: @BiduF du äusserst die Vermutung, dass jemand die *.internet-box.ch-Domains durchprobiert. Dies deshalb, weil du das Problem nur bei Kunden festgestellt hast, die den DDNS-Service der Swisscom verwenden. Das würde also auch bedeuten dass es andere Kunden gibt, deren Firewall zwar solche Portscans anzeigen würde, aber kein DDNS verwenden und wahrscheinlich darum keine Portscans abkriegen, korrekt?

Wenn das so wäre, müsste der Verdacht aufkommen ob wohl irgendwo eine Kopie der internet-box.ch-Zone rausgeleakt ist. Zumindest aktuell laufen die DNS-Server dieser Zone zwar aus anderen Gründen nicht ganz rund, mit der Sicherheit sehe ich aber keinen Zusammenhang.

Die andere, weitaus einfachere Erklärung wäre, dass die Angreifer einfach einen plumpen Portscan über den ganzen Client-Access-Range von Swisscom machen.