hacker verwenden portscanner um an eine IP heranzukommen? was sind portscanner?

[Luk4s-320]

solange keine DMZ eingerichtet ist, keine Ports geforwardet wurden und keine löcher in die interne Firewall gemacht wurden, ist ein Portscan nicht mehr als ein Hintergrundrauschen für den Heimischen benutzer, der einen keine bedenken einjagen sollte.

was hat die firewall des Rechners denn damit zu tun? Das wird doch sowieso von dem Router verworfen, oder verstehe ich hier jetzt was falsch? Oder wird beim Portscann kein Paket an die IP des Routers geschickt. WEnn es kein Paket wäre, was wäre es dann?



ich habe mir den Text auf Wikipedia zu NAT nochmal durchgelesen und habe jetzt abe noch ein paar fragen:

In diesem Beispiel nutzt das private Netz die IP-Adressen 192.168.0.0/24. Zwischen diesem Netz und dem öffentlichen Internet befindet sich ein Source-NAT-Router mit der öffentlichen Adresse 205.0.0.2/32.

Allgemein ist immer dann ein Routing erforderlich, wenn Absender und Empfänger in verschiedenen Netzen liegen. Möchte eine über einen Source-NAT-Router angebundene Station ein Paket an einen Empfänger außerhalb ihres privaten Netzes senden, beispielsweise an einen Telnet-Server irgendwo entfernt im Internet, so funktioniert der Kommunikationsprozess (vereinfacht dargestellt) wie folgt: Zuerst ermittelt die Station den für das gewünschte Ziel nächstgelegenen Router (siehe Routingtabelle), das sei hier der Source-NAT-Router, dann ermittelt die Station per ARP dessen MAC-Adresse und baut ein Paket wie folgt zusammen: Es erhält als Ziel-MAC-Adresse die MAC-Adresse des Source-NAT-Routers, die Ziel-IP-Adresse des Empfängers (hier 170.0.0.1), die Ziel-Portadresse 23 für den Telnet-Server sowie die MAC- und IP-Adresse des Absenders (hier 192.168.0.4) und einen Absenderport (irgendein gerade freier Port, hier 1001) für die gerade anfragende Telnet-Sitzung sowie andere Daten. Der Source-NAT-Router empfängt und verarbeitet das Paket, weil es an seine MAC-Adresse gerichtet ist. Bei der Verarbeitung im Router wird das Paket in abgeänderter Form weitergeleitet: der Router ermittelt anhand der Empfänger-IP-Adresse den nächsten Router, ermittelt per ARP dessen MAC-Adresse und baut das Paket wie folgt um: Es erhält nun abweichend die MAC-Adresse des nächsten Routers, die Ziel-IP-Adresse des Empfängers (170.0.0.1), Ziel-Port 23 sowie die öffentliche MAC- und IP-Adresse des Source-NAT-Routers (205.0.0.2), einen gerade freien Absender-Port aus dem Reservoir des Routers (hier 4806) und den Nutzdaten, die gleich bleiben. Diese Zuordnung der ursprünglichen Absenderadresse und des Ports (192.168.0.4:1001) zum jetzt enthaltenen Adress-Tupel (205.0.0.2:4806) wird im Router solange gespeichert, bis die Telnet-Sitzung abläuft oder beendet wird. Bei NAT wird das Paket auf Schicht 3 (IP) also deutlich verändert.

Bei der Bearbeitung in nachfolgenden IP-Routern wird das Paket lediglich auf Schicht 2 verändert: Der Router ermittelt den nächsten Router, ermittelt per ARP dessen MAC-Adresse und baut das Paket wie folgt um: Es erhält nun abweichend als Ziel-MAC-Adresse die MAC-Adresse des nächsten Routers und die Absender-MAC-Adresse wird gegen die eigene ausgetauscht. Die IP-Adresse des Empfängers (170.0.0.1), Ziel-Port 23 sowie die Absender-IP-Adresse des Source-NAT-Routers (205.0.0.2), dessen Absender-Port 4806 und die Nutzdaten bleiben erhalten. Das bedeutet: Auf Schicht 3 (IP) wird das Paket hier nicht verändert. Dieser Vorgang wiederholt sich, bis ein letzter Router die Zielstation in einem direkt angeschlossenen Netz findet; dann setzt sich das Paket wie folgt zusammen: es erhält als Absender-MAC-Adresse die des letzten Routers, als Ziel die MAC-Adresse der Zielstation, die IP-Adresse des Empfängers (= Zielstation, 170.0.0.1), Ziel-Port 23 sowie die IP-Adresse des Absender-Source-NAT-Routers (205.0.0.2), dessen Absender-Port 4806 und natürlich Nutzdaten.

Nach erfolgreicher Verarbeitung durch den Telnet-Server wird die Rückantwort dann wie folgt zusammengestellt: MAC-Adresse des für den Rückweg zuständigen Routers (wobei Hin- und Rückroute nicht unbedingt identisch sein müssen), die IP-Adresse des anfragenden Source-NAT-Routers (205.0.0.2), die Ziel-Portadresse 4806 sowie die MAC- und IP-Adresse des Telnet-Servers (170.0.0.1) und dessen Absenderport, sowie Antwort-Daten. Nachdem alle Router durchlaufen wurden, wird daraus schließlich im Source-NAT-Router (205.0.0.2): MAC-Adresse und IP-Adresse des anfragenden Rechners (hier 192.168.0.4), und dessen Portadresse 1001 sowie die MAC des Source-NAT-Routers und IP-Adresse des Telnet-Servers (170.0.0.1) und dessen Absenderport, sowie Antwort-Daten. Wird diese Telnet-Sitzung beendet, wird auch Port 1001 wieder freigegeben.

Wenn der Absendeport des Rechners 1001 ist, geht die Antwort vom Server dann auf Port 1001 auch wieder ein?



Ich bin jetzt aber noch etwas unsicher mit dem Verwerfen der Pakete, die nicht angefordert wurden.
Unangeforderte Pakete sollen von einem NAT Router ja verworfen werden, da er ja nicht weiß, welcher Rechner aus seinem privaten Netz diese angefordert hat aber was ist, wenn ein Rechner, der mit einem NAT Router verbunden ist, eine Antwort(Paket) aus dem Internet von einem bestimmten Server über einen beliebigen Port anfordert und in der Zeit ein anderes Paket von irgendwo her über den gleichen Port wie das andere Paket an die IP seines NAT Routers geschickt wird,was nichts mit dem eigentlich erwartetem Paket zu tun hat? Weiß der NAT Router dann auch, dass das Paket nicht angefordert wurde, weil es von einer anderen IP stammt oder lässt er es durch, weil es gerade über den gleichen Port gekommen ist, wie das eigentliche Paket und er somit denkt, dass dies das angeforderte Packet sei?

Ich hoffe, dass dieser Text jetzt so halbwegs verständlich war


Oder auch kurz gesagt: Guckt jeder NAT-Router auch nach, wenn ein Paket an seine IP geschickt wird, ob es auch von der IP(Absender) ist, von der es auch gefordert wurde,bevor das Paket an den jeweiligen Rechner in seinem Netz ankommt, oder reicht auch schon, dass es über den gleichen Port kommt, wie das eigentliche Paket?

 

[Sebbi]

was hat die firewall des Rechners denn damit zu tun? Das wird doch sowieso von dem Router verworfen, oder verstehe ich hier jetzt was falsch?

haste falsch verstanden, denn auch auf nen Router gibts eine Firewall

Wenn der Absendeport des Rechners 1001 ist, geht die Antwort vom Server dann auf Port 1001 auch wieder ein?

ähm ja, die kombination aus IP und Port wird übrigens Socket genannt

http://www.itwissen.info/definition/lexikon/Socket-socket.html

dabei ist es erstmal unerheblich, ob ein NAT dazwischen ist oder nicht

Weiß der NAT Router dann auch, dass das Paket nicht angefordert wurde, weil es von einer anderen IP stammt oder lässt er es durch, weil es gerade über den gleichen Port gekommen ist, wie das eigentliche Paket und er somit denkt, dass dies das angeforderte Packet sei?

Oder auch kurz gesagt: Guckt jeder NAT-Router auch nach, wenn ein Paket an seine IP geschickt wird, ob es auch von der IP(Absender) ist, von der es auch gefordert wurde,bevor das Paket an den jeweiligen Rechner in seinem Netz ankommt, oder reicht auch schon, dass es über den gleichen Port kommt, wie das eigentliche Paket?

Korrekt, der weiß wohin die Anforderung ging, und verwirft alles was nicht dazu passt. Natürlich kann man die IP / MAC auch fälschen, was z.B. bei einer MitM oder DoS Attacke passiert.

 

[Luk4s-320]

haste falsch verstanden, denn auch auf nen Router gibts eine Firewall

aber wozu brauch ich denn 'ne Firewall im Router, wenn durch NAT diese Pakete sowieso verworfen werden?

Ich habe noch ein paar Fragen hierzu:

Nach einem UDP-Scan meines DSL-Routers melden die Dienste scan.sygate.com und www.port-scan.de zahlreiche offene Ports. In der Router-Konfiguration sind keine Port-Freigaben aktiv. Außerdem habe ich die inaktiven, ab Werk vorhandenen alle gelöscht, ohne dadurch eine Verbesserung zu erzielen. Die Option „Änderungen der Sicherheitseinstellungen über UPnP gestatten“ ist ebenfalls nicht aktiv. Wo kommen die offenen Ports her?


Das hat damit zu tun, wie UDP-Portscans ablaufen: Der Scanner schickt ein UDP-Paket an einen Port. Sofern dieser nicht für einen Dienst geöffnet ist, antworten viele Router mit einem Paket „Port unreachable“ im Protokoll ICMP. Wenn er ein solches Paket empfängt, wertet der Scanner den Port als geschlossen.

Wenn an dem Port jedoch ein Dienst hängt, kommt kein solches ICMP-Paket zurück. Ob ein anderes Paket kommt, hängt von dem konkreten Dienst ab. Um unabhängig vom Dienst beliebige Ports scannen zu können, verlassen sich einfache Scanner auf das Port-unreachable-Paket: Bleibt es aus, melden sie den Port als offen.

Jedoch verwerfen viele Router kommentarlos UDP-Pakte, die an geschlossene Ports gehen, und verschicken kein „Port-unreachable“-Paket. Das führt dazu, dass voreilige Scanner dann alle Ports als offen werten.

Um die Scan-Zeit in Grenzen zu halten, probieren Online-Scanner nicht alle Ports durch, sondern nur eine Auswahl an potenziell gefährdeten. Bei einem Router, der unangeforderte Pakete einfach verwirft, erscheinen daher nicht alle UDP-Ports als offen, sondern nur die, die der Scanner geprüft hat.

Heißt das, dass diese Portscanner an jeden Port,der gescannt werden soll, so ein Paket sendet und guckt, ob der Router sagt, dass dieser Port geschlossen ist? Aber dann funktioniert die Sache dann doch mit den Portscannern oder verstehe ich hier was falsch? Na gut, er scannt dann zwar die Ports des Routers,aber.... ah ich bin etwas verwirrt

Aber selbst wenn der Hacker dann die die freien Ports des Routers mit dem Portscanner herausgefunden hätte, könnte der Hacker doch dann eigentlich keine weiteren Pakete an die Rechner, die mit diesem Router verbunden sind, über die freien Ports des Routers schicken, denn der Router würde sie doch sowieso verwerfen , da sie von keinem Rechner in seinem Netz angefordert wurden. Oder wie ist das?

Korrekt, der weiß wohin die Anforderung ging, und verwirft alles was nicht dazu passt. Natürlich kann man die IP / MAC auch fälschen, was z.B. bei einer MitM oder DoS Attacke passiert.

und das hat nichts mit Firewall oder sonstiges zu tun? Die IP, von der die Antwortpakete angefordert werden, wird also bei JEDEM Router, der NAT verwendet, eingespeichert und somit ist es dann auch unmöglich, dass er ein anderes Paket durchlässt, was über den gleichen Port kommt?

ähm ja, die kombination aus IP und Port wird übrigens Socket genannt

http://ww.itwissen.info/definition/...et-socket.html (Virus infiziert)

dabei ist es erstmal unerheblich, ob ein NAT dazwischen ist oder nicht

aber der Router hat ja in dem Beispiel von Wikipedia einen anderen Port verwendet, als der Rechner, der Pakete angefordert hat. Ist das nun so, dass der Router dann über den Port 4806(wie im Beispiel) das Paket zum Server absendet und auch über diesen das Antwortpaket empfängt und dieses Paket dann über den Port 1001 an den Rechner, der das Antwortpaket angefordert hat, weiterschickt?

Ach ja, auf der Seite, die du mir verlinkt hast, ist ein Virus. Zum Glück hat der Web SChutz von Avast den abgeblockt.

 

[Sebbi]

aber wozu brauch ich denn 'ne Firewall im Router, wenn durch NAT diese Pakete sowieso verworfen werden?

um Angriffe auf den Router selbst abzuwehren oder Hackversuche über geforwardete Ports. Denn da hilft NAT nicht.

Heißt das, dass diese Portscanner an jeden Port,der gescannt werden soll, so ein Paket sendet und guckt, ob der Router sagt, dass dieser Port geschlossen ist? Aber dann funktioniert die Sache dann doch mit den Portscannern oder verstehe ich hier was falsch? Na gut, er scannt dann zwar die Ports des Routers,aber.... ah ich bin etwas verwirrt

Aber selbst wenn der Hacker dann die die freien Ports des Routers mit dem Portscanner herausgefunden hätte, könnte der Hacker doch dann eigentlich keine weiteren Pakete an die Rechner, die mit diesem Router verbunden sind, über die freien Ports des Routers schicken, denn der Router würde sie doch sowieso verwerfen , da sie von keinem Rechner in seinem Netz angefordert wurden. Oder wie ist das?

siehe oben, er könnte den Router selbst angreifen und so verändern, das er ohne Probleme auf das Interne Netzwerk zugreifen kann.

und das hat nichts mit Firewall oder sonstiges zu tun? Die IP, von der die Antwortpakete angefordert werden, wird also bei JEDEM Router, der NAT verwendet, eingespeichert und somit ist es dann auch unmöglich, dass er ein anderes Paket durchlässt, was über den gleichen Port kommt?

Wenn es die gleiche IP Port und MAC wie die richtige Antwort hat, wird es von NAT durchgelassen:

http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff

aber der Router hat ja in dem Beispiel von Wikipedia einen anderen Port verwendet, als der Rechner, der Pakete angefordert hat. Ist das nun so, dass der Router dann über den Port 4806(wie im Beispiel) das Paket zum Server absendet und auch über diesen das Antwortpaket empfängt und dieses Paket dann über den Port 1001 an den Rechner, der das Antwortpaket angefordert hat, weiterschickt?

also mal zu ablauf wie das vor sich geht (ab dem Router, denn die interne kommunikation egal ist)

Router 44789 -> Server 80 Auf Port 80 lauscht der Server auf anfragen von entfernten Systemen
Router 44789 <- Server 7485 Server sagt, ab jetzt Läuft unsere Kommunikation auf diesen Port, damit ich weiter ungestört auf den Port 80 auf andere Systeme warten kann
Router 44789 -> Server 7485 Anfrage auf Kontent etc
Router 44789 <-> Server 7485 Datenübertragung
Router 44789 <- Server 7485 Bekanntgabe das die kommunikation beendet ist. (Port wird freigegeben, dann kann dieser wieder für anderen kommunikation genutz werden

Ach ja, auf der Seite, die du mir verlinkt hast, ist ein Virus. Zum Glück hat der Web SChutz von Avast den abgeblockt.

kam nix bei mir und lt. Virustotal.com wo am Websiten scannen kann, ist da auch nichts. Eventuell false positiv oder einer der Adserver verteilt Malware

 

[Luk4s-320]

um Angriffe auf den Router selbst abzuwehren oder Hackversuche über geforwardete Ports. Denn da hilft NAT nicht.

Dass aber auf meinen Router zugegriffen werden kann, sollte normalerweise ausgeschlossen sein, denn bei meinem Router kann man nur aus dem internen Netzwerk auf sein Konfigurationsmenü zugreifen. Oder meinst du noch etwas anderes?


Gibt es denn durch den Portscan noch eine andere Möglichkeit für den Hacker auf meinen Pc zugreifen zu können?


Jetzt aber nochmal etwas zu diesem Mitm: Was gibt denn dem Hacker überhaupt die Möglichkeit den Datenverkehr zwischen mir und einem Server zu manipulieren? Wie kann er den Zugriff auf diese Verbindung kriegen?


Und nein, ich möchte die ganze SAche nicht wissen, damit ich später auch mal sowas machen kann, aber dafür bräuchte ich ja sowieso noch um längen mehr Wissen. Ich möchte das einfach nur wissen, weil mich interessiert, wozu Hacker im Stande sind und weil ich wissen möchte, wann ich mir Sorgen um solche Hackerangriffe machen muss.


Hat der Hacker denn auch durch einen Portscan die Möglichkeit, die Verbindung zwischen mir und einem Server zu manipulieren oder auf meinem Pc zugreifen zu können?
ja, ich weiß wohl, dass ich mit dem Portscan ziemlich nerve, aber ich möchte wissen, ob ich mir um dieses Thema keine Sorgen machen muss.




Wenn ich jetzt Windows installieren würde und danach nur Windowsupdates runterlade und nichts anderes, würde ein Hacker auch eine Möglichkeit haben, diesen Datenverkehr zu manipulieren oder auf meinen Pc zugreifen zu können? Wenn ja, wie würde das gehen?

 

[Sebbi]

Dass aber auf meinen Router zugegriffen werden kann, sollte normalerweise ausgeschlossen sein, denn bei meinem Router kann man nur aus dem internen Netzwerk auf sein Konfigurationsmenü zugreifen. Oder meinst du noch etwas anderes?

Normal nicht. aber scheinbar gibt es doch lücken ... les dir die News hier durch:

https://www.computerbase.de/news/internet/test-zum-nachweis-der-neuen-backdoor-auf-routern.43242/

Gibt es denn durch den Portscan noch eine andere Möglichkeit für den Hacker auf meinen Pc zugreifen zu können?

ein Portscan bleibt ein Portscan, was anderes macht der nicht. Ein Angriff ist dann eine ganz andere Sache.

Jetzt aber nochmal etwas zu diesem Mitm: Was gibt denn dem Hacker überhaupt die Möglichkeit den Datenverkehr zwischen mir und einem Server zu manipulieren?

den Datenverkehr mitzulesen um zugangsdaten auszuspionieren oder im Falle des BKA dir den echten Bundestrojaner unterzujubeln, in dem die den an einen Download anhängen.

Wie kann er den Zugriff auf diese Verbindung kriegen?

Gibt verschiedene Möglichkeiten. z.B. ARP Poiseing etc ... das solltest dir dann aber selbst mal erarbeiten

Ich möchte das einfach nur wissen, weil mich interessiert, wozu Hacker im Stande sind und weil ich wissen möchte, wann ich mir Sorgen um solche Hackerangriffe machen muss.

für dich als Privatperson relativ uninteressant. Router, Firewall und aktuellen Antivirussystem mit IDS bist du zu 99,99999999999999% sicher vor Hackerangriffen

Hat der Hacker denn auch durch einen Portscan die Möglichkeit, die Verbindung zwischen mir und einem Server zu manipulieren oder auf meinem Pc zugreifen zu können?

Durch einen Portscan alleine nicht

Wenn ich jetzt Windows installieren würde und danach nur Windowsupdates runterlade und nichts anderes, würde ein Hacker auch eine Möglichkeit haben, diesen Datenverkehr zu manipulieren

Ja, durch eine MitM, wenn du nen Router nutzt oder wenn du keinen nutzt direkt

oder auf meinen Pc zugreifen zu können?

Ja, ohne Router oder Manipulierter Router

Wenn ja, wie würde das gehen?

wie schon erwähnt MitM oder Manipulierter Router

-----

wie gesagt, möglich ist vieles, aber bei einer Privatperson ist das Risiko eher gering, auch für maniplierte Router.

 

[Luk4s-320]

Normal nicht. aber scheinbar gibt es doch lücken ... les dir die News hier durch:

https://www.computerbase.de/news/internet/test-zum-nachweis-der-neuen-backdoor-auf-routern.43242/

Zum Glück steht mein Router in der Liste von denen, bei denen diese Backdoor nicht aus dem Internet verwendet werden kann.


Wenn jetzt aber in meinem lokalen Netzwerk kein Angreifer ist, mein Router nicht manipuliert wurde, auf meinen Router nicht von einem Angreifer zugegriffen wurde, keine Ports von meinem Router geforwardet wurden, sich auf meinem PC kein Trojaner befindet und der Server, mit dem ich verbunden bin, auch nicht manipuliert oder gehackt wurde, könnte dann ein Hacker immernoch den Datenverkehr manipulieren auf irgendeine Weise?
Wenn ja, was für eine Möglichkeit hätte er denn immernoch?

Könnte er noch die IP und MAC des Servers verwenden und ich würde automatisch mit seinem Pc verbunden werden? Oder müsste er dafür auch den Server manipulieren oder Zugriff auf diesen haben?

Wenn er den Datenverkehr nicht manipulieren könnte, könnte er ihn immernoch ausspionieren?

 

[Sebbi]

Wenn ja, was für eine Möglichkeit hätte er denn immernoch?

bleibt nur noch die MitM

Könnte er noch die IP und MAC des Servers verwenden und ich würde automatisch mit seinem Pc verbunden werden?

sozusagen, wenn du dahin geroutet wirst, das Internet hat bekanntlich viele Wege. Les dir mal Themen zu Routing im Internet durch um mehr zu erfahren.

Wenn er den Datenverkehr nicht manipuliert, könnte er ihn immernoch ausspionieren?

Ja (etwas im Quote korrigiert, fettgeschrieben)

 

[Luk4s-320]

bleibt nur noch die MitM

Wie soll der denn noch einen Mitm Angriff machen können, wenn der Angreifer nicht in meinem lokalen Netz ist, ich keinen Trojaner auf dem PC hab, er nicht auf den Router zugreift, der Router nicht manipuliert ist, keine Ports geforwardet wurden und er den Server auch nicht hackt?

Was für eine Möglichkeit hätte der Hacker denn immernoch, diese Verbindung zu manipulieren, oder auf meine Pc zugreifen zu können?

Der Hacker kann doch eigentlich gar nicht mehr wissen, dass ich überhaupt mit diesem Server in Verbindung bin. Wie sollte das denn gehen?

Eine weitere Angriffsmethode dieser Art ist das Vorspielen eines falschen DHCP-Servers. Durch Angabe einer falschen Standard-Gateway-Adresse zum Internet kann die Kommunikation durch einen Rechner des Angreifers geleitet werden.

WIe soll das denn nun funktionieren? Die Standartgateway muss doch mein Router sein, weil an diese schickt ja mein Rechner die Pakete.
Wenn die Standartgateaway nicht mein Router ist, sondern die IP von einem Rechner außerhalb des lokalen Netzwerkes, kann ich mich mit diesem doch gar nicht verbinden, denn ich brauche ja einen Router, um überhaupt ins Internet zu kommen. Da aber die Standartgateaway ja nun nicht mehr mein Router ist, kann ich ja gar nicht mehr ins Internet kommen. Sehe ich das so richtig?





Jetzt noch was zu den Ports:

Werden die Ports, die von dem Router zur Zeit nicht verwendet werden, automatisch geschlossen, bis dieser benutzt wird? Wenn ja, macht dies jeder Router so?

Wenn die Ports nicht geschlossen wären, würde mich das gegen direkt Angriffe aus dem Internet auch nicht unsicherer machen, denn NAT würde ja dann wieder eingreifen, oder gibts da noch was zu beachten?



Hier:http://www.heise.de/netze/artikel/Firewall-224042.html wird ja zur Steigerung empfohlen alle Ports von 1-1024 im Router zu sperren. WAs sagst du dazu? Bringt das wirklich viel mehr Sicherheit vor Hackerangriffen?

 

[Sebbi]

Wie soll der denn noch einen Mitm Angriff machen können, wenn der Angreifer nicht in meinem lokalen Netz ist, ich keinen Trojaner auf dem PC hab, er nicht auf den Router zugreift, der Router nicht manipuliert ist, keine Ports geforwardet wurden und er den Server auch nicht hackt?

Was für eine Möglichkeit hätte der Hacker denn immernoch, diese Verbindung zu manipulieren, oder auf meine Pc zugreifen zu können?

WIe soll das denn nun funktionieren? Die Standartgateway muss doch mein Router sein, weil an diese schickt ja mein Rechner die Pakete.
Wenn die Standartgateaway nicht mein Router ist, sondern die IP von einem Rechner außerhalb des lokalen Netzwerkes, kann ich mich mit diesem doch gar nicht verbinden, denn ich brauche ja einen Router, um überhaupt ins Internet zu kommen. Da aber die Standartgateaway ja nun nicht mehr mein Router ist, kann ich ja gar nicht mehr ins Internet kommen. Sehe ich das so richtig?

Stichwort: arp poisoning

und idR ist die Router bist du bis zu deinen Radiusserver deines Internetanbieters sicher, was aber dahinter passiert, vorallem im internationalen Traffic, ist so ziemlich ich sag mal offen

Der Hacker kann doch eigentlich gar nicht mehr wissen, dass ich überhaupt mit diesem Server in Verbindung bin. Wie sollte das denn gehen?

in dem er deinen gesammten Traffic an sagen wir Bilzzard überwacht ... ein vergifteter Carrier Router und für ein gewissen Zeit sendet der allen Traffic zum Cracker (Hacker sagt man ja nicht, denn Hacker sind ja die, die nichts böses wollen sondern nur Sicherheitslücken aufzeigen wollen)
der fischt sich dann deine Kommunikation raus, macht an deinen Router nen ARP Poisoning Angriff und schon bekommt er deinen gesammten Traffic, ohne weiter die Infrastruktur von Carrieren / ISPs anzugreifen. (OK, ist nun etwas einfach formuliert, aber so kann durchaus ein angriffsszenarion aussehen)

Jetzt noch was zu den Ports:

Werden die Ports, die von dem Router zur Zeit nicht verwendet werden, automatisch geschlossen, bis dieser benutzt wird? Wenn ja, macht dies jeder Router so?

Sollten sie eigentlich, ja.

Wenn die Ports nicht geschlossen wären, würde mich das gegen direkt Angriffe aus dem Internet auch nicht unsicherer machen, denn NAT würde ja dann wieder eingreifen, oder gibts da noch was zu beachten?

nein, eigentlich nichts

Hier:http://www.heise.de/netze/artikel/Firewall-224042.html wird ja zur Steigerung empfohlen alle Ports von 1-1024 im Router zu sperren. WAs sagst du dazu? Bringt das wirklich viel mehr Sicherheit vor Hackerangriffen?

wenn du ne einstellbare FW aufm Router hast, kannste das ruhig machen, solange du keine Dienste hast, die von außen erreichbar sein sollen. Es kommt auch immer drauf an, wo die FW dann auch entsprechend greift etc. Wenn die z.B. nur auf der LAN seite des Netzwerks arbeitet, und die Ports zwar auf dem Router ankommen aber dann nur einfach nicht weitergeroutet werden, bringt das idR nix, da ein Angreifer dann schon auf den Router zugreifen könnte.

 

[Luk4s-320]

Stichwort: arp poisoning

ist doch (soweit ich weiß) doch nur möglich, wenn der Hacker in meinem lokalen Netz ist? Aber er könnte doch noch die ARP Tabellen vom Server manipulieren, oder?Aber bevor er diese ARP Tabellen des Servers manipulieren kann, müsste der Hacker doch in das System des Server eingedrungen sein oder es hacken, oder liege ich da falsch? Aber wie sollte er denn anders an diese ARP Tabellen rankommen, wenn er den Server nicht hackt?

und idR ist die Router bist du bis zu deinen Radiusserver deines Internetanbieters sicher, was aber dahinter passiert, vorallem im internationalen Traffic, ist so ziemlich ich sag mal offen

Ich will dich jetzt ja nicht blöd anmachen, aber könntest du den Satz bitte nochmal anderes formulieren, denn ich konnte nur die Hälfte verstehen, da dein Satzbau etwas seltsam war.

in dem er deinen gesammten Traffic an sagen wir Bilzzard überwacht ... ein vergifteter Carrier Router und für ein gewissen Zeit sendet der allen Traffic zum Cracker (Hacker sagt man ja nicht, denn Hacker sind ja die, die nichts böses wollen sondern nur Sicherheitslücken aufzeigen wollen)
der fischt sich dann deine Kommunikation raus, macht an deinen Router nen ARP Poisoning Angriff und schon bekommt er deinen gesammten Traffic, ohne weiter die Infrastruktur von Carrieren / ISPs anzugreifen. (OK, ist nun etwas einfach formuliert, aber so kann durchaus ein angriffsszenarion aussehen)

Dieser Carrier Router, ist das der Router des Servers, oder was kann ich darunter verstehen? Was da bei Wikipedia stand, sagte mir auch nicht viel. Wenn es kein Router des Servers ist, was ist es dann?

wenn du ne einstellbare FW aufm Router hast, kannste das ruhig machen, solange du keine Dienste hast, die von außen erreichbar sein sollen. Es kommt auch immer drauf an, wo die FW dann auch entsprechend greift etc. Wenn die z.B. nur auf der LAN seite des Netzwerks arbeitet, und die Ports zwar auf dem Router ankommen aber dann nur einfach nicht weitergeroutet werden, bringt das idR nix, da ein Angreifer dann schon auf den Router zugreifen könnte.

Ach, geht es nur darum, dass der Router nicht angreifbar ist? Ich dachte, dass das auch die Sicherheit für des PC's ist, die mit diesem Router mit dem Internet verbunden sind.

 

[Sebbi]

Ach, geht es nur darum, dass der Router nicht angreifbar ist? Ich dachte, dass das auch die Sicherheit für des PC's ist, die mit diesem Router mit dem Internet verbunden sind.

Auch, aber eigentlich sorgt schon NAT alleine für 99 % der sicherheit des PCs ansich ... der rest der Angriffe sollte noch durch die FW abgefangen werden.

ist doch ... den Server nicht hackt?

Die sache ist die, das man eigentlich jedes Netzwerk Interface mit ARP Poisoning (oder auch anderen attacken) "vergiften" kann, so das es nun statt dem eigentlichen ziel dem angreifer die daten zusendet. Es ist eine Konfigurationssache des Betreibers, wie "roubst" die Geräte dagegen sind.

Ich will dich jetzt ja nicht blöd anmachen, aber könntest du den Satz bitte nochmal anderes formulieren, denn ich konnte nur die Hälfte verstehen, da dein Satzbau etwas seltsam war.

Du wählst dich mit deiner Internetverbindung auf einen sogenannten RadiusServer (der im besitz deines ISP ist) ein, der Weg dahin ist sozusagen erstmal sicher, da die Routen transparent sind und nicht für die öffentlichkeit sichtbar und auch nicht insofern angreifbar.
Erst wenn du das Netzwerk deines Internetanbieters zum ersten mal verlässt, sozusagen in die "Öffentlichkeit" gehst, kann alles mögliche auf den Weg durch das Internet mit deiner Verbindung passieren.

Dieser Carrier Router, ist das der Router des Servers, oder was kann ich darunter verstehen? Was da bei Wikipedia stand, sagte mir auch nicht viel. Wenn es kein Router des Servers ist, was ist es dann?

Carrier sind die Unternehmen, die den Datenverkehr von einen StartNetzwerk zu einen Zielnetzwerk transportieren.
Beispiel World of Warcraft und dein Anbieter Telekom

Wenn du spielst, werden deine Daten von deinen PC an den Router und in das Netzwerk der Telekom geschickt. Nun ist aber das Netzwerk von Blizzard in Paris und das Telekomnetzwerk hört in Frankfurt am Main auf. Nun siehst du das dazwischen eine Lücke herrscht. Da Blizzard aber keine Leitungen von Paris nach Frankfurt extra legen lassen will, mieten dies sich bei einen sogenannten Carrier ein, der da z.B. TeliaSonera heißt. TeliaSonera übernimmt an den sogenannten Peerings (Übergabenpunkten, in FaM ist das DE-CIX) den Datenverkehr aus beiden Netzwerken und überträgt diese.

Man hat natürlich keine durchgehenden Leitungen überall, es gibt auch Keuzungen und Abzweige, und jeder dieser Kreuzungen / Abzweige wird von einen Router verwaltet. Und genau diese Router sind ua die Carrier Router.


aber ich gebe dir mal einen Tipp, bevor du nun weiterfragst, bitte lese dich mal intensiv in Netzwerktopologien, Internetstruktur, Netzwerk, IP, TCP und Internetkommunikation (und nicht nur so die Begriffe bei google eintippen und wikipedia lesen, sondern auch noch bissel andere Seiten dazu mit ankucken und wenn du da Fachbegriffe findest die auch nochmal genau nachlesen ...) ein.

Weil ich muss ehrlich sagen, das es wenn ich es genauer erklären würde, es sehr sehr umfänglich und nur noch verwirrender wird. Und verstehen würdest du es denk ich mal auch nur dann wenn ich entsprechende skizzen machen würde.

 

[Luk4s-320]

Ich habe heute noch mit meinem Mathelehrer geredet, der sich ja mit dem Thema Informatik ziemlich gut auskennen soll.
Ich habe ihn dann noch nach Carrier ROutern gefragt, aber er konnte mir leider keine Antwort drauf geben. Stattdessen hat er mir den Weg von meinem Rechner zum Server vereinfacht erklärt.
Ich bin jetzt aber ziemlich verwirrt. Ich schreib dir mal, was er mir so gesagt hat: Ich will mit meinem Pc z.B. die Seite Facebook.com aufrufen. Dann gibt mein PC diese Anfrage oder Paket an meinen Router weiter.
Dieser guckt erst, ob dieser Server im lokalen Netz ist. Dies ist aber ja nicht der Fall und somit läuft das wie folgt ab: Diese Anfrage oder PAket wird dann über die DSL Leitung an meinen Internet Anbieter weitergeschickt und dieser gibt es dann an eine ''Internet Backbone Station''(Ob er jetzt Station gesagt hat, weiß ich nicht, aber zumindest was mit Internet Backbone) weiter. Dieser sucht dann nach der IP, an die das Paket gehen soll und
schickt es dann an sie weiter. Wenn dann ein Paket von dieser IP zurückkommt, weiß diese Internet Backbone Station, dass dies an meine IP gehen soll und schickt es somit an meine IP weiter.


ER sagte auch, dass die MAC-Adressen der Router auch gar nicht mit im Spiel sind.Router werden nur mit den IP-Adressen identifiziert. Nur in meinem lokalen Netzwerk, werden MAC-Adressen miteinander ausgetauscht.

Er meinte auch, dass von meinem PC bis zum Internetanbieter gar keine IP's vorkommen oder verwendet werden. Ich glaube auch, dass er sagte, mein Router auch gar nicht die IP weiß, die das PAket kriegen soll. Dies würde dann alles diese Internet Backbone Station regeln.

Aber wenn ich so nachdenke... woher sollte mein Router die IP der Facebook Server denn wissen, aber wie soll dann einer wissen, wo das PAket denn hingeht? DAS verwirrt mich ziemlich.

Aber was stimmt nun von dem Ganzen?
Wenn etwas nicht stimmt, wie ist es dann wirklich? Oder kannst du mir das nochmal erklären?

Aber wenn der Router nicht wüsste, welche IP das Paket kriegen soll, dann kann er ja auch nicht wissen, ob ein Paket, was auf dem verwendetem Port des Routers eintrifft auch das Antwortpaket ist. Es könnte ja genauso gut ein Paket sein, was von irgendwo anders kommmt und nichts mit dem eigentlichen Antwortpaket zu tun hat.
Wie ist das nun, weiß der Router wie die IP des Empfängers sich nennt?


Ich weiß,dass ich eigentlich nicht weiterfragen sollte und mich lieber irgendwo anders informieren sollt, aber ich bin jetzt irgendwie total verwirrt brauche Rat

 

[Sebbi]

Dein Mathelehrer hat dir da aber gefährliches Halbwissen beigebracht, kannst in sofern vergessen. Weil das was er beschrieben hat zum teil, ist die DNS Namesauflösung.

Beispiel:

du tippst computerbase.de in deinen Browser ein und drückst Enter.
Dann kuckt dein Browser zu aller erst, wenn die IP der Seite nicht im DNS Cache ist, in die HOSTS datei von Windows, ob die da ein Eintrag zu diesen DNS Name vorhanden ist. Ist das nicht der Fall, geht die Anfrage zum auf Netzwerkverbindung eingetragenen DNS Server IP, idR dein Router wenn du nichts anderes manuell eingetragen hast. Der kuckt in seiner Datenbank / Cache nach und wenn nicht vorhanden, gehts zu den DNS Server deines Internetanbieters. Weiß dieser auch nichts dazu, sendet er das an die nächste Instanz. Sollte keiner das wissen (was extrem unwarscheinlich ist), geht deine Anftage nach der IP von computerbase.de ganz nach oben zu einen der Root - DNS Server. Die müssen das dann wissen oder es gibt die Seite nicht. Diese liefern dann das Ergebniss wieder nach unten und jeder DNS Server den das Paket auf dem weg passiert hat, gibt das an den vorherigen weiter und zieht sich gleichzeitig einen Kopie für seine Datenbank damit er nächstes mal nicht erst den nächst höheren beftragen muss. Dann hat das irgenwann dein Router und kann deinen Browser + DNS Cache die IP liefern.
Dann beginnt die Kommunikation mit computerbase.de auf Basis der IP und den im den Internet dafür eingetragenen Routen.

ER sagte auch, dass die MAC-Adressen der Router auch gar nicht mit im Spiel sind.Router werden nur mit den IP-Adressen identifiziert. Nur in meinem lokalen Netzwerk, werden MAC-Adressen miteinander ausgetauscht.

nicht ganz richtig, die Kommunikation UNTER den Netzwerkpunkten, sprich ein Kabel/Verbindung ohne Unterbrechung/Zwischengerät basiert immer auf den Hardware Addressen ... OSI Referenzmodell Schicht 1

Er meinte auch, dass von meinem PC bis zum Internetanbieter gar keine IP's vorkommen oder verwendet werden. Ich glaube auch, dass er sagte, mein Router auch gar nicht die IP weiß, die das PAket kriegen soll. Dies würde dann alles diese Internet Backbone Station regeln.

Falsch

PC < - > Router < - > Radiusserver (ISP)< - >Internet (< > soll eine IP darstellen, - eine Verbindung ; die Verbindung zum Radiusserver deine ISP ist ja transparent, das hatte ich dir ja schon gesagt)

 

[Luk4s-320]

Dann hat das irgenwann dein Router und kann deinen Browser + DNS Cache die IP liefern.
Dann beginnt die Kommunikation mit computerbase.de auf Basis der IP und den im den Internet dafür eingetragenen Routen.

Also wird erst nach der IP für computerbase.de gesucht und dann werden erst weitere Pakete weitergeschickt?

Ich kann das aber noch nicht so wirklich glauben, dass mein Router auch die IP, mit der ich sich verbinden will, in diesem NAT-Table(nennt man das so?) einspeichert und dann NUR Pakete, die von dieser IP zurückkommen, dann an den jeweiligen Rechner im lokalen Netz weitergibt. Du bist der einzige, der das behauptet. Es ist nicht so, dass ich dir nicht glaube und andere sagen auch nicht, dass das nicht stimmt, aber bis jetzt habe ich noch nirgendwo anders gelesen, dass die IP auch eingespeichert wird. Es wurde immer nur gesagt, dass der Router sich für diese Verbindung die eigene IP und seinen verwendeten Port merkt und die IP und den Port des Rechners, der das Paket anfordert. Dass er sich merkt, an wen das Paket gehen soll und nur die Pakete durchlässt, die von der richtigen IP kommen, wurde nie erwähnt. Das verunsichert mich etwas.

Bist du dir wirklich zu 100% sicher, dass er sich für diese Verbindung auch die IP von z.b. Computerbase.de merkt und somit auch nur Pakete durchlässt, die von dieser zurückkommen?

 

[Sebbi]

Also wird erst nach der IP für computerbase.de gesucht und dann werden erst weitere Pakete weitergeschickt?

korrekt

Bist du dir wirklich zu 100% sicher, dass er sich für diese Verbindung auch die IP von z.b. Computerbase.de merkt und somit auch nur Pakete durchlässt, die von dieser zurückkommen?

http://www.router-forum.de/board-fa...-network-address-translation-5176-page-1.html
http://www.elektronik-kompendium.de/sites/net/0812111.htm
http://www.macuser.de/forum/thema/347636-NAT-Funktionsweise-Quellen-Widersprechen-sich
http://www.datenschutz-praxis.de/lexikon/n/nat.html
http://de.wikipedia.org/wiki/Network_Address_Translation#Kategorisierung

und darum hatte ich dir ja gesagt, das du dir zeug zum Thema TCP / IP Kommunikation durchlesen solltest ... denn dann hättest du schon alleine gelesen, das der Port, wenn der auf Antwort von einer IP Addresse wartet, für alle anderen IP Addressen blockiert ist. Darum sagt auch der Server, wenn der auf Port 80 angesprochen wird "Hör zu, unsere Kommunikation läuft nun bei mir auf Port XY weiter", damit er wieder auf port 80 auf neue verbindungen hören kann.

 

[M-X]

Darum sagt auch der Server, wenn der auf Port 80 angesprochen wird "Hör zu, unsere Kommunikation läuft nun bei mir auf Port XY weiter", damit er wieder auf port 80 auf neue verbindungen hören kann.

Das stimmt so aber nicht, der Server kann durchaus auch mehrere Verbindungen auf an einem Port annehmen.

 

[Sebbi]

ja annehmen, aber nicht weitergehend darüber komunizieren, darum wird ja auf nen anderen Socket weitergeleitet

 

[Luk4s-320]

das klingt ja schön.

Besten Dank für eure Hilfe und besonders für Deine, Sebbi

@Sebbi, kann ich dich denn auch noch mal per pn amschreiben, wenn ich dann nochmal ein paar fragen hab?

 

[Sebbi]

jo kannste, wobei es villeicht auch nicht so ganz verkehrt ist, hier in den Theard zu schreiben, damit sich auch andere äußern konnen, die auch noch was wissen etc.