10
IP Spoofing und TCP SYN Flood im Router-LOG
Hallo, ich betreibe ein kleines Netzwerk. In diesem befindet sich ein OpenVPN-Server (Ubuntu Server) und ein paar Windows Maschinen. Durch Zufall habe ich folgendes entdeckt:
In meinem Router (Netgear KWGR614) habe ich mir das LOG-File genauer angesehen und dabei festgestellt, dass folgendes geloggt wurde:
Im Router ist eine Weiterleitung auf den Port wo OpenVPN lauscht vorhanden. Aus diesem Grund mache ich mir große Sorgen um die Sicherheit meines Netzwerkes und habe den gesamten Server vorsichtshalber bereits remote heruntergefahren.
Im Voraus Vielen Dank!
Mit freundlichen Grüßen
freddy976
Friday,04 Jan 2013 09:28:59 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:00 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:01 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:03 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:08 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:10 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:24 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:25 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:33 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:51 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:29:59 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:44:37 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:44:37 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:44:38 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:44:39 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:47:00 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:51:55 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:57:47 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 09:58:22 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:01:13 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:01:38 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:03:44 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:03:55 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:03:55 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:06:36 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:06:36 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:07:01 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:07:01 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:09:00 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:09:10 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:10:03 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:16:47 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:16:47 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:16:47 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:16:48 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:16:48 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:16:49 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:17:07 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:17:08 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:17:09 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:17:09 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:17:10 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:17:11 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:21:10 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:21:36 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:27:19 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:29:34 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:29:35 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:30:53 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:31:46 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:31:47 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:35:27 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:36:16 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:37:01 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:38:06 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:45:37 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:45:38 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:45:38 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:45:39 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:45:39 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:46:19 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:46:19 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:46:20 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:46:20 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:14 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:15 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:15 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:17 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:17 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:18 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:18 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:20 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:47:21 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:48:16 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:48:16 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:48:49 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:50:32 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:52:18 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:52:18 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:53:38 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:53:39 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:54:15 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:54:18 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:54:28 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:56:56 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:56:57 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:56:57 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:56:59 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:56:59 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:56:59 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:57:00 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:57:02 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:57:02 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:22 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:22 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:23 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:23 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:24 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:25 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:25 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:28 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:29 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:35 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:36 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:49 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 10:59:51 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:00:17 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:00:20 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:09:05 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:09:13 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:14:12 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:14:15 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:15:06 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:17:33 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:17:35 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:17:35 [TCP Stealth FIN Port Scan][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:20:23 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:20:24 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:20:24 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:20:25 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:20:25 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:20:26 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:20:27 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:20:43 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:22:28 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:22:29 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:22:30 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:22:31 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:22:33 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:23:48 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:25:24 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:27:14 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:27:37 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:29:23 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:42:36 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:42:36 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:42:37 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:42:38 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:44:00 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:44:01 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:44:02 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:44:04 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:44:43 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:48:33 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:48:44 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:48:45 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:49:55 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:49:57 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:58:08 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:58:47 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 11:59:15 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:03:47 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:04:33 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:09:46 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:10:23 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:10:39 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:11:19 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:15:15 [IP Spoofing][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:21:54 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 12:30:58 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 13:20:51 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 13:21:00 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 13:21:03 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 13:35:02 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 13:35:07 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 13:35:22 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 13:35:38 [TCP Stealth FIN Port Scan][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 13:49:31 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:08:46 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:13:19 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:25:54 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:26:15 [TCP Stealth FIN Port Scan][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:27:43 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:40:50 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:45:56 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:46:00 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:46:03 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:46:09 [TCP SYN Flood][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:46:15 [TCP Stealth FIN Port Scan][Deny access policy matched, dropping packet]
Friday,04 Jan 2013 14:46:25 [TCP Stealth FIN Port Scan][Deny access policy matched, dropping packet]
Saturday,05 Jan 2013 06:23:58 WAN DisConnected
Saturday,05 Jan 2013 06:24:08 WAN ConnectedIm Router ist eine Weiterleitung auf den Port wo OpenVPN lauscht vorhanden. Aus diesem Grund mache ich mir große Sorgen um die Sicherheit meines Netzwerkes und habe den gesamten Server vorsichtshalber bereits remote heruntergefahren.
Im Voraus Vielen Dank!
Mit freundlichen Grüßen
freddy976
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196506
Url: https://administrator.de/contentid/196506
Printed on: April 26, 2024 at 05:04 o'clock
10 Comments
Latest comment
Hätten es nicht auch 3 Zeilen ! des Logs getan um den Sachverhalt zu schildern hier, als sinnfrei 182 mit gleichem Inhalt zu posten ?? 
Statt dir Sorgen zu machen solltest du einfach mal die Log Info lesen und ruhig und besonnen darauf reagieren und nicht paranoid.
Der Router (auch wenns ein NetGear ist) sagt dir ja das er brav einen Angriff erkannt hat und die entsprechenden Pakete deshalb gelöscht bzw. ins Nirwana geschickt hat.
Wo ist also dein wirkliches Problem ?
Übrigens sind solche Angriffe wie Port Scans, Syn Flooding usw. am WAN Port des Routers täglicher Standard.... Wichtig ist nur das du hier ICMP (Ping) und den remoten Zugang im Router zwingend deaktiviert hast um solchen Hackern eben nicht zu zeigen das hier was antwortet....!!
Ansonsten kannst du dich entspannt zurücklehnen und dem Router, auch wenns NetGear ist, vertrauen.
Abgesehen davon ist es natürlich technisch besser den OVPN Router selber auf dem Router zu betreiben um eben kein Loch in die Router Firewall bohren zu müssen wie das bei dir der Fall ist wenn man den VPN Server hinter der NAT Firewall betreibt.
Vom Stromverbrauch mal ganz abgesehen.... Wie sowas geht kannst du z.B. hier nachlesen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Statt dir Sorgen zu machen solltest du einfach mal die Log Info lesen und ruhig und besonnen darauf reagieren und nicht paranoid.
Der Router (auch wenns ein NetGear ist) sagt dir ja das er brav einen Angriff erkannt hat und die entsprechenden Pakete deshalb gelöscht bzw. ins Nirwana geschickt hat.
Wo ist also dein wirkliches Problem ?
Übrigens sind solche Angriffe wie Port Scans, Syn Flooding usw. am WAN Port des Routers täglicher Standard.... Wichtig ist nur das du hier ICMP (Ping) und den remoten Zugang im Router zwingend deaktiviert hast um solchen Hackern eben nicht zu zeigen das hier was antwortet....!!
Ansonsten kannst du dich entspannt zurücklehnen und dem Router, auch wenns NetGear ist, vertrauen.
Abgesehen davon ist es natürlich technisch besser den OVPN Router selber auf dem Router zu betreiben um eben kein Loch in die Router Firewall bohren zu müssen wie das bei dir der Fall ist wenn man den VPN Server hinter der NAT Firewall betreibt.
Vom Stromverbrauch mal ganz abgesehen.... Wie sowas geht kannst du z.B. hier nachlesen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hallo freddy976,
hört sich nicht toll an aber einfach mal über die Anschaffung einer Firewall nachdenken,
dann kann man sich an dieser via VPN anmelden und kann anschließend auch an den oder die Server ran.
Es wird aber erst gar nichts offen gelassen, wo jemand rein kann.
Meist gehen die Leute aber her und versuchen im Heimbreich eben die Kosten für so ein Gerät zu umgehen und setzten dann einfach einen VPN Server auf um möglichst vielen Leuten Zugriff zu gestatten.
Klar kann man das so auch machen, aber immer wenn vorne am WAN Interface was offen ist, wir oder ist
hinten im LAN Umfeld auch etwas anderes gefährdet.
Das ist aber auch stark Teilnehmer und Verhaltens bedingt, für wie viele und welche Dienste oder
welchen Gebrauch so ein Server eben aufgesetzt wird.
Da aber heutzutage die Angriffe meist automatisiert ablaufen kann man nun auch schlecht sagen
ob ein anderer Clan Deinen Spiele Server kapern will oder die GEMA Deine Musiksammlung gefunden hat.
Das weist Du wohl am besten und daher kann man nur sagen Ports dichtmachen und gut ist.
Denn via SPI und NAT ist es dann ja fast unmöglich rein zu kommen, von einem ungesicherten
WLAN mal ganz zu schweigen.
Viel Glück und Erfolg
Dobby
hört sich nicht toll an aber einfach mal über die Anschaffung einer Firewall nachdenken,
dann kann man sich an dieser via VPN anmelden und kann anschließend auch an den oder die Server ran.
Es wird aber erst gar nichts offen gelassen, wo jemand rein kann.
Meist gehen die Leute aber her und versuchen im Heimbreich eben die Kosten für so ein Gerät zu umgehen und setzten dann einfach einen VPN Server auf um möglichst vielen Leuten Zugriff zu gestatten.
Klar kann man das so auch machen, aber immer wenn vorne am WAN Interface was offen ist, wir oder ist
hinten im LAN Umfeld auch etwas anderes gefährdet.
Das ist aber auch stark Teilnehmer und Verhaltens bedingt, für wie viele und welche Dienste oder
welchen Gebrauch so ein Server eben aufgesetzt wird.
Da aber heutzutage die Angriffe meist automatisiert ablaufen kann man nun auch schlecht sagen
ob ein anderer Clan Deinen Spiele Server kapern will oder die GEMA Deine Musiksammlung gefunden hat.
Das weist Du wohl am besten und daher kann man nur sagen Ports dichtmachen und gut ist.
Denn via SPI und NAT ist es dann ja fast unmöglich rein zu kommen, von einem ungesicherten
WLAN mal ganz zu schweigen.
Viel Glück und Erfolg
Dobby
Hey,
danke für die super schnellen Antworten!
D.h. ich mach sobald ich wieder vor Ort bin (komme wahrscheinlich erst morgen dazu), die Weiterleitung dicht. Mein Server ist ja jetzt erstmal heruntergefahren. ... Stellt die Weiterleitung die aktuell noch vorhanden ist eine Gefahr da? Sollte nicht, da die entsprechende IP ja nicht mehr erreichbar ist. Richtig?
Ping ist nicht möglich und Remote-Interface ist deaktiviert.
@108012 -> Eine weitere Frage... hast du vllt. eine Empfehlung bzgl. einer Firewall, welche ich mir zulegen sollte? (Funktionsumfang?)
Danke im Voraus!
freddy976
danke für die super schnellen Antworten!
D.h. ich mach sobald ich wieder vor Ort bin (komme wahrscheinlich erst morgen dazu), die Weiterleitung dicht. Mein Server ist ja jetzt erstmal heruntergefahren. ... Stellt die Weiterleitung die aktuell noch vorhanden ist eine Gefahr da? Sollte nicht, da die entsprechende IP ja nicht mehr erreichbar ist. Richtig?
Ping ist nicht möglich und Remote-Interface ist deaktiviert.
@108012 -> Eine weitere Frage... hast du vllt. eine Empfehlung bzgl. einer Firewall, welche ich mir zulegen sollte? (Funktionsumfang?)
Danke im Voraus!
freddy976
Zitat von @aqui:
Wichtig ist nur das du hier ICMP (Ping) und den remoten Zugang im Router zwingend deaktiviert hast um solchen Hackern eben nicht zu zeigen
das hier was antwortet....!!
Wichtig ist nur das du hier ICMP (Ping) und den remoten Zugang im Router zwingend deaktiviert hast um solchen Hackern eben nicht zu zeigen
das hier was antwortet....!!
Ähehm... *räusper*
ICMP ist mehr als Ping und sollte nicht pauschal gedroppt werden, weil sonst interessante Effekte mit abbrechenden Uploads und VPN-Verbindungen hast. Und spätestens bei IPv6 kommt noch die MTU Path Discovery (die auf ICMP6 basiert) hinzu - heissa wird das ein Spaß, wenn das gefiltert wird
Wenn du nur ICMP Echo-Requests filtern willst: Das kannst du natürlich gerne tun, ich halte das aber für Snakeoil.
Mir als Hacker wäre es egal ob da etwas pingt oder nicht, ein TCP- und UDP-Portscan und meinetwegen noch ein XMas-Tree-Scan hinterher zeigen mir was offen ist und was nicht. Auch TCP-FIN-Scans (wie im Netgear log aufgezeichnet) sind beliebt. Außerdem reagieren die meisten Routern trotzdem noch auf UDP- oder TCP-Traceroutes und zeigen damit dass sie da sind...
Zum Thema:
Leider verschweigt das Netgear-Log entscheidende Informationen. Auf welchem Interface hat es denn Angriffe erkannt und von welcher IP?
Um IP-Spoofing erkennen zu können muss ein Router sich im selben Netzwerk befinden wie das spoofende System oder zumindest als Border-Router den Traffic weiterleiten (bzw. optimalerweise eben nicht).
Alle anderen Router müssen einfach glauben dass die IP auch wirklich richtig ist - kurzum: Der Netgear kann dir höchstens IP-Spoofing im eigenen Netzwerk anzeigen, alles andere ist schlicht und ergreifend falsch.
So wie ich Netgear kenne heißt das wahrscheinlich: "Ich kenne die IP nicht, sie gehört nicht zu dem Subnet in dem ich mich selbst befinde, das muss gespoofed sein".
Und das wiederum kann mit einem VPN-Server recht leicht passieren: Es muss nur ein Datenpaket an den Router geraten mit dem Absender eines VPN-Clients (wenn sich diese in einem eigenen Subnetz befinden) oder der Router sich einfach daran stört dass zu 10 verschiedenen IP-Adressen nur eine MAC-Adresse gehören soll.
Ohne detaillierte Informationen ist diese Log-Ausgabe grundsätzlich unbrauchbar.
Die anderen Einträge "TCP SYN Flood" und "TCP Stealth FIN Port Scan" gehören zum normalen Grundrauschen im Internet, irgendwelche Bots machen immer ein paar schnelle Portscans über ganze IP-Bereiche - suchen also nicht explizit bei dir nach Lücken.
Was meinst du, wie mein Firewall-Log aussieht?
Auszugsweise:
Jan 5 11:11:53 grob-gw kernel: [7817719.115759] FW4_IN|IN=ppp0 OUT= MAC= SRC=85.181.215.147 DST=85.181.163.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=8105 DF PROTO=TCP SPT=3646 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 5 11:11:56 grob-gw kernel: [7817722.133343] FW4_IN|IN=ppp0 OUT= MAC= SRC=85.181.215.147 DST=85.181.163.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=8110 DF PROTO=TCP SPT=3646 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 5 11:12:02 grob-gw kernel: [7817728.068508] FW4_IN|IN=ppp0 OUT= MAC= SRC=85.181.215.147 DST=85.181.163.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=8124 DF PROTO=TCP SPT=3646 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 5 11:16:13 grob-gw kernel: [7817979.193758] FW4_IN|IN=ppp0 OUT= MAC= SRC=41.196.166.78 DST=85.181.163.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=62965 DF PROTO=TCP SPT=3681 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0
Jan 5 11:31:16 grob-gw kernel: [7818882.087836] FW4_IN|IN=ppp0 OUT= MAC= SRC=173.193.205.198 DST=85.181.163.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=32521 PROTO=TCP SPT=80 DPT=44209 WINDOW=512 RES=0x00 ACK SYN URGP=0
Jan 5 11:35:23 grob-gw kernel: [7819129.104818] FW4_IN|IN=ppp0 OUT= MAC= SRC=58.218.199.250 DST=85.181.163.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 DF PROTO=TCP SPT=12200 DPT=9090 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 5 11:35:24 grob-gw kernel: [7819129.909183] FW4_IN|IN=ppp0 OUT= MAC= SRC=58.218.199.250 DST=85.181.163.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=110 ID=256 DF PROTO=TCP SPT=12200 DPT=7212 WINDOW=8192 RES=0x00 SYN URGP=0
Jan 5 11:47:44 grob-gw kernel: [7819870.065889] FW4_IN|IN=ppp0 OUT= MAC= SRC=212.94.96.131 DST=85.181.163.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=29141 PROTO=TCP SPT=39337 DPT=139 WINDOW=65535 RES=0x00 SYN URGP=0
Jan 5 11:55:02 grob-gw kernel: [7820308.085645] FW6_IN|IN=tun3 OUT= MAC= SRC=2a01:0678:xxxx:xxxx:0000:0000:0000:0013 DST=2a02:0a00:e000:xxxx:xxxx:0000:0000:0001 LEN=845 TC=0 HOPLIMIT=57 FLOWLBL=0 PROTO=UDP SPT=53 DPT=53 LEN=805
Jan 5 11:59:03 grob-gw kernel: [7820549.443782] FW4_IN|IN=ppp0 OUT= MAC= SRC=85.25.143.170 DST=85.181.163.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=51997 DF PROTO=TCP SPT=56940 DPT=51413 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 5 11:59:06 grob-gw kernel: [7820552.440960] FW4_IN|IN=ppp0 OUT= MAC= SRC=85.25.143.170 DST=85.181.163.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=59 ID=51998 DF PROTO=TCP SPT=56940 DPT=51413 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 5 11:59:12 grob-gw kernel: [7820558.441812] FW4_IN|IN=ppp0 OUT= MAC= SRC=85.25.143.170 DST=85.181.163.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=2303 DF PROTO=TCP SPT=35682 DPT=51413 WINDOW=5840 RES=0x00 SYN URGP=0
Jan 5 11:59:15 grob-gw kernel: [7820561.441550] FW4_IN|IN=ppp0 OUT= MAC= SRC=85.25.143.170 DST=85.181.163.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=58 ID=2304 DF PROTO=TCP SPT=35682 DPT=51413 WINDOW=5840 RES=0x00 SYN URGP=0Hier sieht man dann auch, was ich mir unter einem Firewall-Log vorstelle: Ich weiß wenigstens *WOHER* diese angeblichen Angriffe kommen und wo sie hingehen sollten - damit ist dann auch möglich herauszufinden ob es wirklich jemand auf mich abgesehen hat oder nicht.
Mit Verlaub: Das was Netgear da als Protokoll bezeichnet ist zwar Marketingtechnisch bestimmt toll, es fehlen aber einfach die Kerninformationen (Quell-IP, Netzwerkinterface) so dass es damit letztendlich nichtssagend ist.
Hallo freddy976,
bitte. Denn sonst nützt alles andere rein gar nichts ist.
Es bringt Dir nichts, wenn Du eine "echte" Firewall hast und kannst diese nicht richtig einrichten
und ebenso wenig nützt es Dir etwas wenn Du einen tollen Router hast und bei der Konfiguration
machst Du einen sagen wir einmal gravierenden Fehler und das Netz steht offen wie ein Scheunentor.
Also hinsichtlich der Einführung von IPv6 ist es ja auch schon fast wider hinfällig, aber SPI und NAT
Funktionalität sollte das Gerät schon aufweisen, der Rest sollte sich wohl eher an dem orientieren was
Du uns alles bis dato noch nicht mitgeteilt hast.
Denn da gibt es von ca. 30 € vom 100 MBit/s Router mit vorinstalliertem DD-WRT,
bis hin zu mehreren 100 € denke ich einmal für alle etwas, daran soll es nun bestimmt nicht liegen!
Und an geeigneter Router oder Firewall Software erst recht nicht;
pfSense
mOnOwall
ZeroShell
IPCop
IPFire
ClearOS
MikroTik RouterOS
OpenWRT
DD-WRT
FreeWRT
Tomato
li4l & Eisfair
Nur was liegt Dir, wozu hast Du Lust, wie viel darf es denn kosten und wie viel Ahnung hast Du.
Ich denke aber wenn Du Heimanwender bist und das ist ja nun einmal ein Router aus dem Heimbereich
hat er aber auch getan was er sollte und die Verbindung blockiert, so soll es ja nicht sein.
Aber was vorne nicht offen ist (Port) muss hinten nicht zittern (Server), hört sich ja auch irgend wie
blöd an, ist aber nun einmal so. Aber hinsichtlich der VPN Leistung, des zu erwarteten Durchsatzes
und der Teilnehmeranzahl ist das ohne Angaben von Dir irgendwie auch wie Topf schlagen und aus dem Alter
sind wir doch alle raus.
Gruß
Dobby
P.S. Da kann so eine Anleitung von aqui schon eine echte Starthilfe sein um rasch zum Erfolg
zu kommen. Schau Dir das ruhig einmal näher an.
Dobby -> Eine weitere Frage... hast du vllt. eine Empfehlung bzgl. einer Firewall, welche ich mir zulegen sollte? (Funktionsumfang?)
Dafür solltest Du aber erst einmal mit mehr Informationen heraus rücken und zwar so genau wie möglichbitte. Denn sonst nützt alles andere rein gar nichts ist.
Es bringt Dir nichts, wenn Du eine "echte" Firewall hast und kannst diese nicht richtig einrichten
und ebenso wenig nützt es Dir etwas wenn Du einen tollen Router hast und bei der Konfiguration
machst Du einen sagen wir einmal gravierenden Fehler und das Netz steht offen wie ein Scheunentor.
Also hinsichtlich der Einführung von IPv6 ist es ja auch schon fast wider hinfällig, aber SPI und NAT
Funktionalität sollte das Gerät schon aufweisen, der Rest sollte sich wohl eher an dem orientieren was
Du uns alles bis dato noch nicht mitgeteilt hast.
Denn da gibt es von ca. 30 € vom 100 MBit/s Router mit vorinstalliertem DD-WRT,
bis hin zu mehreren 100 € denke ich einmal für alle etwas, daran soll es nun bestimmt nicht liegen!
Und an geeigneter Router oder Firewall Software erst recht nicht;
pfSense
mOnOwall
ZeroShell
IPCop
IPFire
ClearOS
MikroTik RouterOS
OpenWRT
DD-WRT
FreeWRT
Tomato
li4l & Eisfair
Nur was liegt Dir, wozu hast Du Lust, wie viel darf es denn kosten und wie viel Ahnung hast Du.
Ich denke aber wenn Du Heimanwender bist und das ist ja nun einmal ein Router aus dem Heimbereich
hat er aber auch getan was er sollte und die Verbindung blockiert, so soll es ja nicht sein.
Aber was vorne nicht offen ist (Port) muss hinten nicht zittern (Server), hört sich ja auch irgend wie
blöd an, ist aber nun einmal so. Aber hinsichtlich der VPN Leistung, des zu erwarteten Durchsatzes
und der Teilnehmeranzahl ist das ohne Angaben von Dir irgendwie auch wie Topf schlagen und aus dem Alter
sind wir doch alle raus.
Gruß
Dobby
P.S. Da kann so eine Anleitung von aqui schon eine echte Starthilfe sein um rasch zum Erfolg
zu kommen. Schau Dir das ruhig einmal näher an.
.@freddy
Tu uns doch bitte mal den Gefallen und lies dir die Threads hier mal wirklich durch !! Auf alle deine Fragen steht da eine Antwort bzw. mit der Suchfunktion findest du die genannten Tutorials hier im Forum ! Speziell auch was die verwendete Hardware betrifft.
Panisch den Server runterzufahren ist eigentlich vollkommen unsinnig und überreagiert, aber dazu ist oben ja schon alles gesagt.
Wenn du das Port Forwarding im Router richtig konfiguriert hast, dann hast du lediglich den OVPN Standardport UDP 1194 auf den VPN Server geforwardet. Idealerweise hat der noch eine Firewall (iptables) aktiviert und dann kann eigentlich (fast) nichts passieren wenn der Server customized ist.
Die Attacken finden ja auch auf den Router ! statt und eben nicht auf den Server ! Wenn schon Logs dann sollte man sie auch richtig lesen, auch wenn sie eben quasi oberflächlich sind und damit fast nutzlos wie Kollege maxi89 oben schon richtig bemerkt. Na ja kein wirklich Wunder bei einem billigen Consumer Produkt, denn welcher klasssiche User sieht da schon rein.
Wenn du wirklich was fundiertes machen willst besorg die ein ALIX Board, flash dir ein pfSense drauf, aktiviere dein OVPN dort und tausche das gegen die NetGear Gurke und deinen Server.:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dann kannst du auch wieder ruhig schlafen und schonst gleichzeitig noch deine Geldbeutel...! Besser kanns doch nicht sein, oder ?
Tu uns doch bitte mal den Gefallen und lies dir die Threads hier mal wirklich durch !! Auf alle deine Fragen steht da eine Antwort bzw. mit der Suchfunktion findest du die genannten Tutorials hier im Forum ! Speziell auch was die verwendete Hardware betrifft.
Panisch den Server runterzufahren ist eigentlich vollkommen unsinnig und überreagiert, aber dazu ist oben ja schon alles gesagt.
Wenn du das Port Forwarding im Router richtig konfiguriert hast, dann hast du lediglich den OVPN Standardport UDP 1194 auf den VPN Server geforwardet. Idealerweise hat der noch eine Firewall (iptables) aktiviert und dann kann eigentlich (fast) nichts passieren wenn der Server customized ist.
Die Attacken finden ja auch auf den Router ! statt und eben nicht auf den Server ! Wenn schon Logs dann sollte man sie auch richtig lesen, auch wenn sie eben quasi oberflächlich sind und damit fast nutzlos wie Kollege maxi89 oben schon richtig bemerkt. Na ja kein wirklich Wunder bei einem billigen Consumer Produkt, denn welcher klasssiche User sieht da schon rein.
Wenn du wirklich was fundiertes machen willst besorg die ein ALIX Board, flash dir ein pfSense drauf, aktiviere dein OVPN dort und tausche das gegen die NetGear Gurke und deinen Server.:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dann kannst du auch wieder ruhig schlafen und schonst gleichzeitig noch deine Geldbeutel...! Besser kanns doch nicht sein, oder ?
Hey,
vielen Dank für die Antworten.
Ich habe mir die Links angesehen und mir einige Gedanken gemacht.
Es sollen nicht viele User auf das VPN / das Netzwerk zugreifen. (2-3)
Aus allen Antworten und dem was ich gelesen habe, habe ich beschlossen mir baldmöglichst einen Router zu kaufen, auf welchen ich dann DD-WRT flashen und diesen dann als OpenVPN-Server verwenden kann.
Ich denke das ist dann für meinen Verwendungszweck die sicherste und sinnvollste Variante.
Gruß
freddy976
vielen Dank für die Antworten.
Ich habe mir die Links angesehen und mir einige Gedanken gemacht.
Es sollen nicht viele User auf das VPN / das Netzwerk zugreifen. (2-3)
Aus allen Antworten und dem was ich gelesen habe, habe ich beschlossen mir baldmöglichst einen Router zu kaufen, auf welchen ich dann DD-WRT flashen und diesen dann als OpenVPN-Server verwenden kann.
Ich denke das ist dann für meinen Verwendungszweck die sicherste und sinnvollste Variante.
Gruß
freddy976
Hallo freddy976,
ich würde gleich zu einem greifen, der schon mit DD-WRT "geflasht" ausgeliefert wird!
Ein Buffalo Router mit DD-WRT und 100 MBit/s LAN Ports kostet ~30 € und
die Variante mit den GB LAN Ports kostet dann ~90 €
Da sparst Du Dir dann das ganze Suchen nach einem Image, das "Geflashe" und die DD-WRT Gebühren (je nach Modell) schon einmal vorab und kannst gleich loslegen!
Gruß
Dobby
P.S. Wenn es das dann war bitte noch ein Beitrag ist gelöst
ich würde gleich zu einem greifen, der schon mit DD-WRT "geflasht" ausgeliefert wird!
Ein Buffalo Router mit DD-WRT und 100 MBit/s LAN Ports kostet ~30 € und
die Variante mit den GB LAN Ports kostet dann ~90 €
Da sparst Du Dir dann das ganze Suchen nach einem Image, das "Geflashe" und die DD-WRT Gebühren (je nach Modell) schon einmal vorab und kannst gleich loslegen!
Gruß
Dobby
P.S. Wenn es das dann war bitte noch ein Beitrag ist gelöst
Hey,
diesen Router würde ich von einem Bekannten bekommen:
TP-Link WR1043ND
Das mit dem Flashen ist kein Problem.
Woran sehe ich ob Gebühren anfallen würden? Ist das der Fall, wenn eine Aktivierung erforderlich ist? (Laut Router DB:
http://www.dd-wrt.com/site/support/router-database )
Danke und Gruß!
freddy976
diesen Router würde ich von einem Bekannten bekommen:
TP-Link WR1043ND
Das mit dem Flashen ist kein Problem.
Woran sehe ich ob Gebühren anfallen würden? Ist das der Fall, wenn eine Aktivierung erforderlich ist? (Laut Router DB:
http://www.dd-wrt.com/site/support/router-database )
Danke und Gruß!
freddy976
Hallo freddy976,
Gruß
Dobby
Woran sehe ich ob Gebühren anfallen würden? Ist das der Fall, wenn eine Aktivierung erforderlich ist? (Laut Router DB: http://www.dd-wrt.com/site/support/router-database )
Ja genau so ist es, wenn dort steht das keine Aktivierung anfällt musst Du keine Lizenz kaufen!Gruß
Dobby
