Angriffe von Extern auf FB

Anonym34897 · ‎22.07.2018

Hallo zusammen,

heute habe ich wieder einmal die "Ereignisse" unter "System" in meiner Fritz-Box angeschaut und musste feststellen, dass von Extern (nicht WLan) versucht wurde auf die Benutzeroberfläche der FB zu gelangen. Dies ist aber nicht gelungen, da man einen User (ftpuser) benutzt hat, der inaktiv ist und auch nicht vom Internet zugreifen kann. Ebenfalls wurde ein falsches Passwort benutzt. Die IP-Adressen der Angreifer sind im System aufgelistet und lauten: 46.17.42.213, 46.17.42.180 und 79.142.70.44 (mehrfach). Kann ich mich gegen diese Angriffe schützen oder kann UM diese IPs sperren? Ist noch jemand betroffen?

Gruß Heiko

Gelöschter User · ‎22.07.2018

Nimm mal dein Haus/Wohnung.

Es ist einfach nicht möglich zu verhindern, dass ein Fremder bis zu deiner Tür kommt und versucht, deine Tür mit einem beliebigen Schlüssel zu öffnen. Deshalb hat ja jeder ein eigenes Schloss an der Tür.

Abhängig vom Firmwarestand der Fritzbox gibt es schon einige Möglichkeiten, weniger Angriffe zuzulassen. (Ich habe eine eigene 6490 mit FW 6.87. Was in der noch verbreiteten 6.50 geht, weiss ich nicht):

- unter Internet/Freigababen/Fritzbox-Dienste kannst du FTP komplett deaktiveren,, wenn du es nicht selbst benötigst.

- unter Internet/Filter/Listen kannst du den Stealth-Mode aktivieren. Das erschwert das Finden deiner Fritzbox von außen.

- unter System/Fritzbox-Benutzer kannst du unbeschadet den FTPuser entfernen. Das erzeugt aber beim Angriff nur eine andere Fehlermeldung.

Torsten · ‎22.07.2018

Das sind leider mittlerweile standardisierte Angriffsversuche, die auf alle Fritzboxen versucht werden. Da laufen ständige Portscans von Botnetzen, um möglichst viele Boxen zu erkennen. Entweder du schaltest den FTP-Server ab oder nutzt nur noch ein VPN dafür.

rv112 · ‎22.07.2018

Lass mal eine vernünftige IDS Firewall mitlaufen und Du wirst erschrecken wie viele Angriffe tatsächlich auflaufen.

Ich blocke sämtliche Länder außer Deutschland generell, da ist man schon mal einen Großteil der Angriffe los. Den Rest übernimmt Suricata.

Anonym34897 · ‎22.07.2018

Danke für die Infos.

- FTP war von Anfang an deaktiviert

- Stealth ist seit dem ersten Angriff aktiv

- ftpuser war deaktiviert und ist jetzt gelöscht.

- mit der Firewall muss ich testen

Schönes Wochenende.

Anstößigen Inhalt melden · ‎25.07.2018

hm, eine vlan hardware firewall wäre wohl ideal , gerade wenn server laufen, tun sich ja aus aller welt

leute an dein schloss wagen ...

in dieser dann zb bereits korrekte filterlisten / regeln anlegen, auch ländersperren möglich oder

hammering modus (kunde kommt bis zu deinem schloss und hämmert permanent)

- normal sollte man die tür öffnen und ihm honeypot drüberleeren 😉 -

rv112 · ‎25.07.2018

Naja VLAN ist ja eigentlich Standard wenn man nicht mit mehreren Netzen arbeiten möchte. Wirklich helfen kann es aber bei Angriffen auch nicht. Da können nur IDS Firewalls etwas bewerkstelligen. Ich setze hierfür Suricata und pfBlocker mit GeoIP ein. Was da aufläuft ist erschreckend.

Interessanterweise laufen auf der Unitymedia Leitung deutlich mehr Angriffsversuche als auf der Telekomleitung.

Anstößigen Inhalt melden · ‎25.07.2018

und wie trägst du dort zb update server adressen ein, von microsoft oder ausländischen dingen ?

du hast vorhin geschrieben, diese länderblockade ... (das internet wird eh verrückt,möchte garnicht wissen wieviele prozent heute VPN nutzen) jeder router alles um jede route 🙂

ich hab mich mal ein wenig in mikrotik eingelesen , cisco, aber die sind meistens nicht anfängerfreundlich und man sollte ohnehin ne menge hintergrundwissen für solch eine konfiguration mitbringen.

was kostet deine lösung zb. hardwaretechnisch. ich
bin privatanwender und wenn ich mir jetzt dieses suricata,
pfsense/blocker oder konsorten als hardware zulege, welche hardware
empfiehlst du hier ?

reden wir hier von ca 100 anschaffungskosten oder eher 400 aufwärts ?=

danke

rv112 · ‎25.07.2018

Was meinst Du mit Updateserveradressen? Ich kann von meinem Netz aus jede IP in jedem Land erreichen. Nur fremde Länder können von sich aus nicht auf meinen Anschluss zugreifen.

Die Anschaffungskosten sind in meinem Fall überschaubar. Meine Hardware für die pfSense ist ein Mini PC mit i5 CPU und 4 Intel NIC's. Man kann dafür auch einfach einen PC nehmen. Ich habe mir einen Quotom besorgt da der ein passiv gekühltes Metallgehäuse hat samt Anschluss für eine serielle Konsole. Davor natürlich ein vernünftiges Kabelmodem, dahinter einen Switch.

pfSense und Suricata sind Opensource und kostenlos.

VPN realisiere ich via IPsec um von unterwegs auf mein Smart Home und Überwachungskameras zuzugreifen. Da ich auch einfache chinesische Kameras im Einsatz habe, sind die natürlich Outbound komplett geblockt und versuchen verzweifelt IP Adressen in Hong Kong und Shenzen zu erreichen.

Anstößigen Inhalt melden · ‎25.07.2018

ok, und die 4 intel NICS (kein SFP òder`?) sind normale LAN Anschlüsse GIGABIT?

könnte ich ein inten nuc oder ein selfmade itx machen zb J5005 Asrock ,4GB Ram, 128SSD ?reicht das schon aus ? (nur onboard vga) der würde nur 10-20 watt brauchen

ja das mit den cams kenn ich mit dem onvif 🙂 -auch hierfür wäre ein NAS mit surveillance station tip top .. aber da entsteht natürlich auch traffic, upload download, der separiert werden sollte von anderem oder ?