disputationem non grata

L I V E Stammtisch ab 20:30 Uhr im Chat
  • Weil es schon einen Unterschied macht, ob ich einen Port im Internet sichtbar habe, ...

    Der Port ist aber in beiden Fällen sichtbar. Es ist doch kein Unterschied, ob man diesen Port via externe IPv4-Adresse des Routers oder via externe IPv4-Adresse des "Servers direkt im Internet" (als border device) sieht.

    In beiden Fällen kann mit z. B. DDoS (oder gleichwertig), die Kommunikation über diesen Port "gestört" werden.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Aha, und warum?

    Bei einem DSL-Anschluss wechselt spätestens nach 24 Stunden die IP und dadurch ist er nicht so interessant. Ein Root-Server mit einer festen IP sieht eben mehr Attacken, weil sich die Scripies besser darauf einschiessen können. Wenn eine zeitliche Auflösung der Anzahl der Attacken vorhanden wäre, könnte man sehen, dass die Häufigkeit im Laufe der Zeit zunimmt. Mir ging es eben darum, einen Vergleich mit anderen System zu haben.

    Interessant wäre auch, wie viel Attacken auf dem SSH-Port 22 kommen. Was ist mit den Port 25, 587 und 465? Auch die Anzahl von komplette Port-Scans ist nicht unwichtig.

    Wenn ich die 109476 Attacken durch die genannten 20 Stunden dividiere, komme ich auf 5474 Attacken pro Stunde oder rund 1,5 Attacken pro Sekunde im Durchschnitt. Ist das viel? Ist das wenig? Was sagt mir das?

    Glaube ersetzt kein Wissen

  • Auch das Aufkommen an Attacken auf eine feste IP einer grossen Firma dürfte deutlich höher sein.

    Es fehlt einfach der Zusammenhang bzw. der Vergleich mit anderen Grössen. Einfach ein paar Zahlen in den Raum werfen und zu sagen die Welt ist schlecht, ist nicht besondrs zielführend.

    Dieser Ansatz ist absolut substanzlos. Es ist nämlich völlig irrelevant, meine Logs mit denen eines großen Unternehmens zu vergleichen und das würde auch überhaupt keine brauchbaren Rückschlüsse ermöglichen. Das verfolgt hier insofern allenfalls eine zweifelhaften Intention. Hier ist immer nur ein Vergleich von privaten und somit vergleichbaren Netzen angemessen. Deswegen ist nichts anderes als die Erkenntnis wichtig, dass eben auch private Adressen einerseits dauerhaften Verbindungsversuchen in geringer Anzahl ausgesetzt sind und sie müssen in besonderen Fällen wegen massiver Attacken quasi auch echten Stress-Situationen standhalten.

    Es gibt hier bei diesem rein privaten Netzwerkzugang nur einen einzigen gültigen Vergleich, und zwar ist das der Vergleich dieses aktuellen Vorfalls von gestern mit den der über Wochen gleichbleibenden Vorfälle im gleichen Heimnetz.... so wie ich hier einen normalen Tag am Ende dieses Postings angefügt habe. Das mit den Scriptkiddies sind ebenfalls so Pseudofakten, mit denen in Wirklichkeit überhaupt nix anzufangen ist. Zumindest nicht, wenn man davon ausgehen kann, dass sich Scriptkiddies aus Korea, Singapur, Japan und Moskau wahrscheinlich eher nicht abgesprochen haben. Hier zählt einzig und allein die Feststellung, um mal wieder die angemahnte Sachlichkeit herzustellen, dass die IPs in beiden Listings keine Groß- und Kleinschreibfehler enthalten, was man im anderen Fall natürlich wieder rein sachlich motiviert bemängeln könnte.

    Sicher? Da meinst du bestimmt nur die von TCP.

    Wieder so eine eigenartige Frage, die überhaupt nix mit dem Sachverhalt zu tun hat ...aber egal, vielleicht kannst Du mir erklären, warum meine Fritzbox UDP-Ports ebenfalls explizit benannt haben will, um dann nur diese explizit benannten Pakete weiterzuleiten? Der hinsichtlich Adressierung und Verfolgung einzige relevante Unterschied zwischen UDP und TCP ist, dass UPD stateless ist, das hat aber auf dieser Netzwerkebene imho gar nix mit Ports und der evtl. notwendigen Weiterleitung zu tun, weil die Portangabe im Paket nur ein Paket- und Adress-Merkmal ist. Und beide Protokolle (TCP und UDP) enthalten im Header Quell- und Zielport und beide Pakete werden unterhalb der Protokollfamilie gleichermaßen durch das IP übertragen. Außerdem habe ich in den letzten Jahren noch nie eine einzige echte UDP-Attacke verzeichnen können... wenn da was war, dann allenfalls Irrläufer.

    Ganz nebenbei bemerkt hat eine Fritzbox ebenso wie ein PC sowieso alle Ports offen.... es ist nur so, dass auf der Fritzbox nicht auf allen Ports Dienste lauschen, und einige Ports von denen, wo Dienste lauschen, kann man sogar schließen. Ansonsten kann man Netzwerk-Pakete an Geräte hinter der Fritzbox weiterleiten oder sie verwerfen lassen, was dann als offener Port oder geschlossener Port wahrgenommen wird. Das heisst aber lange nicht, dass Pakete mit einem Port als Adressmerkmal nicht in der ganz normalen Verarbeitung der Fritzbox ankommen.

    Ist das viel? Ist das wenig? Was sagt mir das?

    Mit sagt es, dass dieser aktuelle Vorfall im Vergleich mit normalen Tagen eine mehr-tausendfache Steigerung ist.... andere pseudowissenschaftliche Erkenntnisse helfen mir ... äh... wobei eigentlich...? Und die Erkenntnis, dass mein Attackencounter im Vergleich zu dem eines Großkonzerns vielleicht 0,02% ausmacht... ja, das ist natürlich wichtig... das hilft mir garantiert... ich weiss zwar nicht, wobei, aber wichtiger ist es, schlau zu klingen....

    Fakt ist, dieser Vorfall belastet meine Hardware und deren Ressourcen und beschäftigt durchgehend meinen Server. Wäre statt einer SSD eine Platte eingebaut, würde das sogar den Spindown verhindern ... faktisch verursacht das bei mir Kosten, auch wenn das nur Bruchteile von Cents sind. Und ebenso als Fakt verursacht das noch deutlich mehr Kosten, wenn es solche Attacken erfolgreich gelingt, in private Netzwerke einzudringen.

    3 Mal editiert, zuletzt von WinterUnit16246 (26. Oktober 2019 um 15:14)

  • Bei einem DSL-Anschluss wechselt spätestens nach 24 Stunden die IP ...

    naja es findet eine tägliche Zwamgstrennung statt, aber ich habe meist mehrere Tage hintereinander die gleiche IP-Adresse.

    Zitat

    109476 Attacken ... 20 Stunden ... Was sagt mir das?

    (Attacke ist ein Login-Versuch z.B. mit falschem Passwort?)

    da hat jemand meinen Server als Ziel ausgewählt, die vielen verschiedenen Angreifer-IPs lassen mich, als Security-Laien, an Bot-Netzwerke denken.

  • naja es findet eine tägliche Zwamgstrennung statt, aber ich habe meist mehrere Tage hintereinander die gleiche IP-Adresse.

    Deswegen wäre eine solche ultimative Behauptung ja auch falsch. Eine Zwangstrennung findet eigentlich nur noch bei Dualstack-Accounts statt, und zwar da allein mit der Knappheit des IPv4-Adress-Pools begründet. Bei DS-Lite-Accounts ist das wegen der fehlenden Knappheit gar nicht mehr notwendig. Ich hatte vor einiger Zeit mit mehreren Dienstleistern gesprochen, und alle hatte gesagt, dass bei DS-Lite nicht täglich automatisch getrennt wird. Da kanns allenfalls sein, dass Du nach einer längeren Abschaltung des Routers einen neuen Prefix bekommst... selbst das kann kann sein, muss aber nicht. Also, Zwangstrennung ist -wie du richtigerweise feststellst- nicht in allen Fällen obligatorisch.

    (Attacke ist ein Login-Versuch z.B. mit falschem Passwort?)

    da hat jemand meinen Server als Ziel ausgewählt, die vielen verschiedenen Angreifer-IPs lassen mich, als Security-Laien, an Bot-Netzwerke denken.

    Das kann man zumindest bei mir so nicht sagen. Die TCP-Pakete kommen ja innerhalb der Attacke gar nicht mehr bis an den Service ran, um da überhaupt was mit Passworten zu versuchen. Die Angreifer haben einen Versuch, vielleicht zwei, danach geht da nix mehr. Und weil ich hier den Auth-Vorgang für OpenVPN durch die HMAC-Firewall auf dem TSL-Channel gesichert habe, kommen die nicht mal dazu, auch nur einen einzigen Password-Versuch zu starten. Das wissen die natürlich nicht und können das auch nicht feststellen... da fehlt dann einfach der Response. Gefährlich wirds meiner Meinung nach immer dann, wenn der Zugang wirklich nur Passwordgesichert ist und den Angreifern ermöglich wird, Passworte zu versuchen.... tja... da kann man dann nur sagen "viel glück".

  • Nee, ich habe die eigentlich nicht vergessen... ich beachte Smartphones nur nicht mehr in meinen Sicherheitsüberlegungen. Der Datenschutz mit diesen Dingern hat im Grunde genommen die gleiche Wirkung, als würde man mit einem Sieb versuchen, dass Wasser aus nem Paddelboot rauszuschaufeln.. *lol* Ich glaube nicht, dass man sich mit einem regulären Android Gedanken über Sicherheitsmaßnahmen machen sollte. Es gibt meiner Meinung nach absolut keine Chance zu kontrollieren, was diese Teile oder die dort installierten Apps tun oder das man das verhindern kann. Ich weiss auch nicht, ob z.B. irgendwelche Apps auf eine im Phone gespeicherte OpenVPN-Konfiguration zugreifen könnte. Wenn ja, weiss man nicht mal mehr, ob diese Konfiguration gekapert und vielleicht übertragen wurde oder nicht. Ich nutze mein Smartphone quasi nur noch zum Telefonieren und offline für Osmand oder via Tethering als Accesspoint für meinen Laptop. Und da habe ich die Sicherheit wieder in eigener Hand.

    Also nee, an Gedanken über Smartphone und deren Sicherheit verschwende ich heute keine Zeit mehr. Und solche Alternativ-OS wie Lineage interessieren mich auch nicht wirklich. Ich verzichte im privatalltag einfach weitestgehend und so viel wie möglich auf diese Technik. Außerdem habe ich sowieso den Großteil meines Lebens ohne Smartphone verbracht, ich vermisse das also gar nicht.

    Aber nichtsdestotrotz ist das ein wichtiger Hinweis, den man sich durchaus auch mal verinnerlichen sollte..

  • @ThomasL

    Jo da hast du recht, kann man auch bei https://www.kuketz-blog.de/

    in den Teilen Take back control sehen, für normal user ist das einfach aussichtslos sich den Datenkraken zu entziehen, der Aufwand um nur minimal den gazen Müll rauszuschmeissen ist einfach zu gross. Und ein alternativsystem zu installieren (oder gar zu bauen) ist zuviel Action.

    Das ist auch genau die strategie um zu verhindern dass sich die leute aus der kontrolle ausklinken, einfach die Hürden so hoch machen, dass nurfür Leute mit viel Zeit möglich ist

    :)

  • Meine, dass jemand der mit seinem RPI-Problem hier im Forum aufschlägt auch eine "einfache" Anleitung für die Umsetzung grundlegender Netzwerk-Sicherheitsaspekte mit nehmen "darf".

    So was gibt es wohl nicht. Man kann zwar sagen, so lange du nicht weisst wie etwas funktioniert und du die vollständige Kontrolle hast, lass es bleiben. Nur damit sind wohl die wenigsten zufrieden (was auch verständlich ist). Also auch nicht wirklich hilfreich. Man muss sich schon sehr viel Wissen aneignen um nur die Grundlagen zu verstehen. Viele steigen da schon aus. Menschen sind nun mal bequem und darüber kriegt man sie. Smartphone ist da ein gutes Beispiel. Selbst wenn du Benutzern sagst, was das Ding macht und was für Konsequenzen es für den Einzelnen und die Gesellschaft hat, benutzen sie es munter weiter. Es spiegelt aber auch die Welt wieder in der wir Heute leben. Wenn es den Mensch so schwer gemacht wird, dann hat eigentlich der Staat die Aufgabe seine Bürger zu schützen, oder zumindest aufzuklären. Diese Möglichkeit oder Kontrolle hat der Saat aber leider zum Teil ausgelagert an private Unternehmen.

    Ich denke aber, das hier im Forum schon geholfen wird was "grundlegende Netzwerksicherheit" betrifft. Die "einfache" Anleitung gibt es aber nicht immer.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!