ComputerBase Menü
Aktuelles

Abuse Mail sinnvoll ? | Logauswertungen

DFFVB

DFFVB

Commodore
Registriert
Dez. 2015
Beiträge
4.939
Hallo zusammen,

mein Asus RT-AC88U hat ja dieses schnieke AIProtection von TrendMicro, das zeigt mir jetzt immer an, wenn versucht hat, welche Sachen auszuführen... meist nichts besonderes (EXPLOIT remote Command Execution via Shell Script / Netcore Router Backdoor Access) einmal allerdings auch ein Asus spezifischer Angriff, auf die vorherige Firmware Version... Normalerweise ist der "Angriff" max zwei Mal... ein Hans Wurst aus Holland taucht jetzt aber ca 20 Mal auf (der Router scheint kein Fail2Ban zu können)... Lohnt sich da eine abuse mail zu schreiben? Eher nicht oder?

Als nächstes würde ich gerne die Logs auswerten, weil mir der Inhalt aber wenig sagt:

Gibt es Programme die einem Logs auswerten? Und taugen die was? Hab nach kurzem Suchen das hier gefunden:

https://www.manageengine.com/products/eventlog/download-free.html
 
Zuletzt bearbeitet:
Du brauchst dringend noch ne zweite Firewall! Der Hans Wurst aus Holland (wie du das nennst) hackt dich sonst!
Was meinst du bringt diese AIProtection und ein extra Programm, welches dir Logs automatisch auswertet? Sicherheit?
Hast du Angst dich hackt einer? Die Asus Dinger sind der reinste Marketing-Gag.
Alles was zu dem Router im Netz steht ist total lächerlich. "3-Fach Sicherung" das ich nicht lache xD
"Gaming-Beschleuniger" war aber das schönste. Mein Beileid.
Ein Freund von mir hackt sich gerne in die Dinger rein, hast ja dann vollen Zugriff auf alles.
Ich kenne btw genug Hacks, da steht hinterher gar nix in irgendeinem Log. Drei mal darfst raten warum. Wenn eine Schwachstelle deiner AI nicht bekannt, dann kannst auch nix dagegen machen. Damit kannst du nur Bimbo-Sachen abwehren, die jeder andere Scan auch erkennt. Einzig nützliche Funktion ist die "Kindersicherung" und die Überwachung des internen Netzwerkverkehrs. Dafür braucht man aber keinen Gaming-Router.
Ich wäre schon hellhörig geworden, wenn ein Hersteller "vollständige Sicherheit" verspricht.
 
Gibt jede Menge Tools zum Logs auswerten. Sind aber oft nicht einfach zu bedienen. Abuse Mail bringt i.d.R. wenig, kann man aber mit so einem Tool automatisieren. Ich würde spontan Splunk empfehlen denn das gibt es auch kostenlos für geringe Datenmengen und ist seit ein paar Jahren extrem gehyped - wenn du dich damit auskennst bringt das deiner Karriere auch was :) Gibt auch eine kostenlose Onlineschulung mit Zertifikat bei denen.

Ansonsten wäre SIEM dein Zauberwort, z.b. OSSIM ist Open-Source und kostenlos als Community Edition verfügbar.
 
Also ich würde den Spiess umdrehen.... wenn Asus dir vollste Sicherheit anpreist.... wende dich direkt an den Asus Support und konfrontiere diese mit dem hanswurst.
kriegst du nur Blabla als Antwort oder gar nichts, verlange das Geld zurück, direkt bei Asus deines Landes: Grund: werbeversprechen nicht gehalten.
 
Zuletzt bearbeitet:
Naja.. streng genommen wird es doch eingehalten, im Log steht ja nur der Versuch ;)
Aber diese ganzen AI/Cloud Versprechen sind ja nix anderes als die ganzen automatisierten Versuche aus dem Internet im Log aufzuzeigen, die ganzen anderen Router zeigen einem diese nur nicht ;)

Eine Infektion über drive-by-download oder sonstiger Malware direkt auf einem deiner Clients wird kaum ein Router für zuhause mitbekommen außer dieser hat stets tagesaktuelle Signaturen oder Verhaltensmuster und macht vollständig eine DPI (Deep Packet Inspection). Die etwas besseren Viren/Malware/Trojaner nutzen inzwischen auch TLS, da hilft DPI nur, wenn der Router auch Proxy spielt und SSL/TLS Interception und das bringt eventuell einen minimalen Sicherheitsgewinn, dafür opferst du eine saubere Transportverschlüsselung und im Zweifelsfall vertraue ich der sauberen TLS-Implementierung einer Bank o.ä. eher als nem Pseudo-Security-Router für zuhause.

Log-Server, zweite Firewall oder gar ein SIEM ist Kanonen auf Spatzen für zuhause, da gibt es viel viel viel bessere Maßnahmen und Basics die man zuerst implementieren sollte und die einem viel mehr bringen:
  • Regelmäßige brauchbare Backups, die nicht 24x7 am PC erreichbar sind oder ohne Auth bzw von jedem Anwender beschreibbar sind
  • nicht ständig als Admin arbeiten sondern im Regelfall als unprivilegierter Nutzer
  • UAC voll aufgedreht um Systemänderungen mitzubekommen
  • keine Dienste ins Internet anbieten, wenn man nicht weiß, was man da tut (Trennung des restlichen LANs, Hardening & Absicherung)
  • regelmäßig alles (BIOS/UEFI, Treiber, OS, alle genutzten/installierten Anwendungen) aktualisieren
  • keine Downloads aus nicht vertrauenswürdigen Quellen verwenden

edit: Kannst ja dem holländischen Provider ne Abusemail schreiben, ich sag mal innerhalb Europas und ggf. der USA kann das schon etwas bringen...
 
Zuletzt bearbeitet:
Danke erstmal fürs Feedback und die Rückmeldung! Ich gehe mal davon aus (hoffentlich) noch nicht gehackt worden zu sein, zeigt es ja erstmal nur an.... Hab nun mal zwei Abuse Mails geschrieben (eine andere IP tauchte auch relativ häufig auf - Digital Ocean). Schauen wir mal.

Mir ist natürlich klar, dass der Asus Router hier keine echte Security leisten kann (steht übrigens TrendMicro dahinter, das funktioniert überwiegend über Listen, und das "Two-Way IPS" ist mE auch eher ein Log einer normalen FW Tätigkeit). Beim Standardrouter vom ISP sieht man da halt nur nichts ;-) Hab den Router eigtl. nur gekauft, weil er gerade günstig war (220 EUr statt 280 EUR und ich ihn mal gegen den Ubiquiti LR testen wollte).

@smart: Ich zocke eh nicht, daher brauch ich das nicht, allerdings ist WLAN im 5 Ghz bereich nun deutlich stärker.

@Falc140: Danke für die Tipps, werde mir beide mal anschauen! Für die Karriere wirds mir aber vermutlich wenig bringen - bin Jurist ;-)

@snaxilian: Auch Dir Danke fürs Feedback. An DPI und eigener MITM (squid) hab ich auch schon gedacht... aber ja pfSense / Sophos, dazu braucht man ja auch wieder eine ganze Menge Know-How, mein Tag hat auch nur 24 Stunden... Zumal TLS Interception jetzt auch nicht das gelbe vom Ei ist... die restlichen Tipps befolge ich bis auf den Admin / unprivilegierten Nutzer schon fleißig, (ergänzend noch Zwei Faktor für überall wo möglich). Du hast ja auch mal den EdgeRouter angesprochen, aber ich fürchte der ist für HomeUser auch erstmal konfigurationsintensiv.... Daher nun wieder auf nen DAU Router...

Theoretisch sollte der ja auch dicht sein... ich frag mich nur, wenn mal bspw. einen OpenVPN Server auf dem Pi hat, dann ist der ja theoretisch auch für jedermann erreichbar und damit ein Risiko, daher sichert man den am besten so ab: https://www.codelitt.com/blog/my-first-10-minutes-on-a-server-primer-for-securing-ubuntu/

 
Für einen Juristen kennst du dich aber eh schon gut aus. Das Problem ist, wie du schon sagst, man braucht viel Fachwissen und Zeit diese Dinge zu betreiben und auszuwerten.
So wie ich das sehe, läuft ja schon ein IDS auf deinem Router (daher die Log Meldungen). Zumindest habe ich das so verstanden. Normalerweise produziert Snort / Suricata diese Art von Log Entries, die man dann eben hinterher automatisiert auswertet.

Wir reden ja hier von deinem Heimnetzwerk (1+ Computer, 1+ Mobile Geräte wie Handy) welche über den Asus Router ins Internet kommunizieren. Warum man hier einen Sicherheitsgewinn hätte wenn man TLS aufbricht kann ich nicht nachvollziehen. Du solltest ja wissen mit welchen Diensten du kommunizierst. Interessant wäre es eher zu sehen wohin kommunziert wird von dem du nichts weisst - da wären Netflows interessant zu haben (vielleicht kann der Router so etwas exportieren und das kann man wieder auswerten, z.B. in diesem SIEM).

Aber ja, für eine Privatperson ist das alles nichts. Die Tipps von snaxilian reichen für jeden zu Hause eigentlich aus.
 
Danke - die Thematik interessiert mich auch, leider sitzt unsere IT im Rheinland, daher fällt der Austausch da schwer ;-)

Die Holländer haben geantwortet, und gemeint dass hätten sich einige beschwert, der Server sei offline... Bin ich mal gespannt was die Logs heute Abend sagen...

TLS Interception dachte ich mal früher sei hilfreich, um eben Malware die verschlüsselt nach Hause telefoniert auf die Schliche zu kommen, aber ja hab dann auch gemerkt, dass das nicht die beste Idee ist, zumal ich glaube, mit TLS 1.3 wird das auch gar nicht mehr so trivial sein...

Danke auf jeden Fall!

Update: Scheint tatsächlich was gebracht zu haben... keine weiteren "Angriffe" mehr aus Holland, bleibt noch DigitalOcean...
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz