werde gescannt

[oldcrow]

Hallo.
Ich habe gestern meinen d-link Router gegen eine Ipfirewall getauscht. red und green sind aktiv.
Heute morgen schaute ich einen blick in die Firewall Log Datei und sah unzähliche anfragen mitten in der Nacht die bis jetzt angehalten haben.

siehe:

Ich habe nach der Installation auf der Startseite von IPfire meine konfiguration zur Verbesserung der Entwicklung gesenden, dachte kann ja nicht schaden aber...

Da ich eine statische IP-Adresse habe hilft mir ein reconnect nichts.
Die IPFire darum weil Unternehmer Netzwerk. Was kann ich tun? Sollte ich überhaupt was dagegen machen?

grüße

 

[noay11]

die ips sperren?

 

[Damokles]

Ein Angriff sieht anders aus.
Das ist stinknormaler Traffic durch den Provider oder Applikationen. Die checken ob dein Host noch aktiv ist.
Bei einem realen Angriff hättest du Hunderte wenn nicht Tausende Packets pro Sekunde.

 

[Graphixx]

Da ist kein Angriff oder bewusstes scannen hinter, das Muster ist zu untypisch. Ich würde auch eher drauf tippen was Damokles schon vermutet. Außerdem versucht sich jedes Smartphone, Tablet und was weiss ich in Dein Netz einzuklinken (wenn WLAN aktiv ist) wenn es in Reichweite kommt sofern die Geräte freie Netze suchen. Ich würde sagen. kein Grund zur Sorge.

MfG

 

[Joe Dalton]

Moin!

Aus Deinem Posting lese ich nur, dass Du Dich mit dem Thema Firewall nicht gut genug auskennst und ein Firmennetzwerk absichern sollst. Oder anders formuliert: "Oh, nein. Ich werde gescannt (wie viele andere auch). Wie schrecklich..."

Eigne Dir die Grundlagen an und Du wirst sehen, dass wenig passiert ist. Wahrscheinlich steigerst damit sogar die Chance, aus diesem Rauschen im Log die potentiell gefährlichen Einträge zu finden.

In einem ersten Schritt könntest Du auch erstmal prüfen, welche Ports ins LAN weitergereicht werden und sich dahinter anfällige Systeme verstecken.


Manchmal Wünsche ich mir wirklich, dass sich die Leute im Netz richtig die Finger verbrennen. Es gibt keine friedliche Onlinespielwiese, sondern eher ein "survival of the fittest".


@graphixx: Wenn da Zugriffe auf Telnet und SSH auftauchen, dann sind das i.d.R. keine zufälligen Aktionen eines Smartphones oder Tabletts...

Cu,
Chris

 

[LieberNetterFlo]

btw, da ist viel auf Torrent-üblichen Ports zu sehen ... hast du in letzter Zeit mal via Torrent runtergeladen? Dann kann sein, dass da noch Clients draußen sind die meinen noch was bei dir bekommen zu können.

 

[oldcrow]

Danke für die schnellen Antworten und natürlich zur Entwarnung.
Doch stutzig macht mich diese Serie dennoch.

@LieberNetterFlo nein ich nutze kein Torrent, lade gelegntlich von netload.in server mit JDownloader oder Cryptload.

@graphixx
Aktiv war in der Nacht kein Wlan (Keine Handys wie smartphones, TabletPC´s.) sonder nur 3 Workstation mit Win7.

@Chris
Richtig erkannt, mit dem Thema Firewall bzw. Linux bin ich ein newbie.
Es sind viele Ports, die letzte halbe Stunde noch mehr Telnet Anfragen aus Korea.

07:41:55 DROP_INPUT red0 TCP 61.109.69.68
myip xx.xx.xx.xx 4212
23(TELNET) KR 00:1f:9f:f9:13:93
07:41:58 DROP_INPUT red0 TCP 61.109.69.68
myip xx.xx.xx.xx 4212
23(TELNET) KR 00:1f:9f:f9:13:93
07:42:04 DROP_INPUT red0 TCP 61.109.69.68
myip xx.xx.xx.xx 4212
23(TELNET) KR 00:1f:9f:f9:13:93
07:42:04 DROP_INPUT red0 TCP 61.109.69.68
myip xx.xx.xx.xx 4687
210(Z39.50) KR 00:1f:9f:f9:13:93
07:42:07 DROP_INPUT red0 TCP 61.109.69.68
myip xx.xx.xx.xx 4687
210(Z39.50) KR 00:1f:9f:f9:13:93

warum interessieren sich diese Adressen für mein Netzwerk?


Grüße

 

[soomon]

aus deinem posting lese ich nur, dass du dich mit dem thema firewall nicht gut genug auskennst und ein firmennetzwerk absichern sollst. Oder anders formuliert: "oh, nein. Ich werde gescannt (wie viele andere auch). Wie schrecklich..."

+1 =)

 

[xammu]

warum interessieren sich diese Adressen für mein Netzwerk?
Grüße

Ganz einfach, weil du eins hast.

Da interessiert nicht, das es DEIN Netzwerk ist, sondern ein Netzwerk.

Das sind automatisierten Scans die einfach nur IP Bereiche durch gucken und nach Schwachstellen suchen.
Das hast du bisher nur noch nicht mitbekommen, weil dein alter Router das nicht mitloggt.

Schalte bei der Firewall das Mitloggen von gedropten Pakete aus, verwirrt weniger und spart Plattenplatz.

Kann man solche Versuche verhindern? Nein, außer Internetverbindung trennen.

 

[oldcrow]

Also ausgedeutscht heisst das dass meine IP Adresse von Botnetzwerken gescannt wird, nach einem interressanten Fund Meldung an seinen Botherder weitergibt, um sich dannach selbst in mein system einhacken zu können?!

Grüße

 

[xammu]

Grob gesagt ja

Es erfolgen auch schon erste automatisierte "Hack"-Versuche.

Ich empfehle die aber dringend, dich selbst in die Materie einzuarbeiten. Gerade als Admin eines Firmennetzes solltest du das selber wissen.

mfg

 

[Joe Dalton]

MoinMoin!

Danke für die schnellen Antworten und natürlich zur Entwarnung.
Doch stutzig macht mich diese Serie dennoch.

Ganz freundlich formuliert: Es ist (fast) egal, ob von einer IP mehrere Anfragen kommen.

Wichtig sind in erster Linie nur die Anfragen, welche auf einen Port gehen, den Du in Dein LAN weiterleitest. Der Rest prallt an der Firewall bzw. am NAT ab.

@Chris
Richtig erkannt, mit dem Thema Firewall bzw. Linux bin ich ein newbie.
Es sind viele Ports, die letzte halbe Stunde noch mehr Telnet Anfragen aus Korea.

Und? Hast Du Konsequenzen gezogen und mal (Fach-)Literatur organisiert?
Bzw. kümmert sich jemand mit Fachwissen um die Sache, solange Du Dich einarbeitest?

warum interessieren sich diese Adressen für mein Netzwerk?

Solange es genügend Fachfremde gibt, die sich um die Sicherheit der Netzwerke kümmern, wird es ein lohnendes Ziel sein, solche Netze auf Schwachstellen abzuklopfen. Und häufig genug hat jemand einen Fehler gemacht, etwas offen gelassen oder eine Schwachstelle nicht mit dem notwendigen Patch versehen.

Das Thema Portscans wurde an diversen Stellen im Netz schon ausführlich diskutiert und beschrieben.


Cu,
Chris