Angriffe auf den WAN-Port des Routers - von privaten Adressen?

[radiergummi]

Hallo Forum,
an einem Telekom-VDSL-over-ISDN-Anschluß (täglich neue IP) betreibe ich hinter einem Router ein einziges, flaches, privates (192.168.), kabelgebundenes Class-D-Netz, kein WLAN. 3 Server, 4 Clients, alles Linux.

Anlässlich des bevorstehenden Umstiegs auf einen All-IP-Anschluß der Telekom habe ich einen Lancom-Router (1781VA) angeschafft.
Das Gerät ist deutlich auskunftsfreudiger als das alte Gerät (Netgear FVS336) und treibt mir damit den Schweiß auf die Stirn.

In unterschiedlichen Abständen (2-3 Tage) protokolliert die Firewall neben den üblichen Port-Scans auch Kontaktversuche auf den WAN-Port (22 ssh, 445 Samba, 1433 MS-SQL-Server und 0). Wenn die aus dem Internet kämen, würde ich sagen: prima, die Maschine macht, was sie soll. Die Kontaktversuche kommen aber augenscheinlich von IP-Adressen wie 192.168.xxx.xxx oder 10.xxx.xxx.xxx.

1) kann sich ein Angreifer aus dem Internet mit privater IP-Adresse präsentieren?
2) habe ich bereits Läuse im Pelz, deren Netze ich aus meinem Netz heraus bloß nicht sehen kann?

Gleichzeitig sehe ich nach ca. 4 Wochen Betrieb des Routers auf dem VDSL-Kanal ausgehend (Tx) 2.041.322.765 Bytes (2GB) bei Tx : Rx wie 1:3. WIR laden da nix hoch! Keine Cloud-Services (Daten, Bilder, Filmchen). Mir bewusste upload Volumina bestehen lediglich aus verschickten e-Mails, selten mit Anhängen, Webseiten-Aufrufen und eher länglichen Forenbeiträgen. Die Software-Aktualisierungsprozesse werden auch nochmal etwas Upload-Volumen erzeugen.

Ich mache mir Sorgen und weiß nicht, ob zu Recht und falls ja, wo ich wie weitermachen soll.

Könnt Ihr mir weiterhelfen?


Danke vorab!

Radiergummi

 

[gehrke]

ein einziges, flaches, privates (192.168.), kabelgebundenes Class-D-Netz, kein WLAN. 3 Server, 4 Clients, alles Linux.
[...]
Die Kontaktversuche kommen aber augenscheinlich von IP-Adressen wie 192.168.xxx.xxx oder 10.xxx.xxx.xxx.

Was spricht denn dagegen, dass Du dir mal eine solche Maschine sehr genau ansiehst und beispielsweise mal per Network-Sniffer den Traffic verfolgst und ein Auge auf die dort laufenden Prozesse wirfst?

 

[Gräfin Klara]

Hallo Forum,
.. ein einziges, flaches, privates (192.168.), kabelgebundenes Class-D-Netz, kein WLAN. 3 Server, 4 Clients, alles Linux.

Das ist schon ein kleines Firmennetz. (Class C übrigens)

In unterschiedlichen Abständen (2-3 Tage) protokolliert die Firewall neben den üblichen Port-Scans auch Kontaktversuche ...

Was dieses Gerät protokolliert, ist völlig egal.
Du solltest deine Philisophie zur Sicherheit überdenken.
1. Das von dir gekaufte Gerät ist Bestandteil des VPN und kein Teil deines Firmennetzes
2. Dein größter Feind ist dein Provider, also der VPN Betreiber.

Es ist völlig egal, was der Hersteller dieses Routers an Sicherheiten in seiner Anleitung beschreibt.
Dieses Gerät soll nur das tun was es kann, nämlich die VDSL Modemfunktionalität mit der Ethernetwelt verbinden. Mehr nicht.
Die Firewall in diesem Gerät kannst du abschalten oder auf ein grobes Mindestmaß reduzieren.
Der switch an diesem Gerät ist für das Firmennetz tabu!
Von diesem switch führt ein einziges rotes Kabel zu einem deiner Server. Dort drinnen schaffst du dir Deine Sicherheiten, Deine firewall und Dein routing zwischen 2 Classes. (Nicht Segmente!)

Wie raffiniert deine Routerkonfiguration auch sein mag, der router ist und bleibt Feindesland!
Denk darüber nach, dann sieht deine Netzwerkarchitektur wahrscheinlich anders aus.

Gruß
Gräfin Klara

 

[radiergummi]

Was spricht denn dagegen, dass Du dir mal eine solche Maschine sehr genau ansiehst

rein garnichts, bloß liegen die Adressen außerhalb meines Netzes. Ich sehe sie doch gar nicht. Vom Handbuchlesen weiß ich aber, daß es so etwas wie einen promiskuitiven Port am Router gibt. Den müsste ich dann wohl aktivieren und einen Rechner aufsetzen, um den Wireshark darauf los zu lassen.

Das ist schon ein kleines Firmennetz. (Class C übrigens)

Da siehste's mal wieder: gefährliches Halbwissen. Klar, mein Netz ist ja eines aus dem dritten Oktett. Also Class C.
Firmennetz? Nein, ich betrachte das eher als eines meiner Hobbies. Die echten Clients sind nur zwei Desktops. Ansonsten gibt es noch ein Notebook und eine Spielwiese um Sachen zu probieren. Von den drei Servern ist einer noch 32bittig und fliegt bald raus. Die beiden anderen halten unseren Datenbestand gespiegelt und einer davon macht noch IMAP-Mail. Mehr ist nicht.

Was dieses Gerät protokolliert, ist völlig egal.

Du meinst, sobald es etwas zu protokollieren gibt ist es eh' zu spät?

Das von dir gekaufte Gerät ist Bestandteil des VPN und kein Teil deines Firmennetzes

Das war mir klar geworden, als der Telekom-Mitarbeiter in einem meiner Telefonate zur Vorbereitung der Umstellung des Anschlusses auf die unbedingte BNG-Kompatibilität eines anzuschaffenden Routers hinwies. Die Telekom würde das Gerät von außen konfigurieren wollen, ich könne das aber im Kundencenter abstellen.

Der switch an diesem Gerät ist für das Firmennetz tabu!
Von diesem switch führt ein einziges rotes Kabel zu einem deiner Server.

Ja! Fast so ist es! Mein Kabel ist blau und es führt zuerst zu einem Switch. ABER: ich nutze tatsächlich den DHCP-Server des Routers. Würdest Du nicht machen.

[...] und Dein routing zwischen 2 Classes. (Nicht Segmente!)

Das habe ich nicht verstanden.

Um Deiner (ich finde, radikalen) Sichtweise gerecht zu werden, könnte man doch auch einfach einen zweiten Router hinter den Ersten hängen, oder?

Das war jetzt ein wirklich interessanter Exkurs, aber was mache ich denn hinsichtlich meiner ursprünglichen Frage?

Gruß,
Radiergummi

 

[Gräfin Klara]

Du meinst, sobald es etwas zu protokollieren gibt ist es eh' zu spät?

Nein, nicht "zu spät", es ist egal. So habe ich es auch geschrieben.

Ja! Fast so ist es! Mein Kabel ist blau und es führt zuerst zu einem Switch. ABER: ich nutze tatsächlich den DHCP-Server des Routers. Würdest Du nicht machen.

Ja, fast ..
Ob du vom switch des routers zu einem anderen switch verbindest oder gleich alle deine Rechner am switch des routers ansteckst, das ist dasselbe.
DHCP am router oder irgendwelche anderen Dienste am router würde ich nicht verwenden.
Ich will ja nicht, dass alle MACs und die dazugehörigen IPs meines privaten Netzes über das VPN abgefragt werden können. Ich glaube, das will niemand. Mit keiner Routerkonfiguration kannst du das verhindern.

Das habe ich nicht verstanden.

Nicht wichtig

Um Deiner (ich finde, radikalen) Sichtweise gerecht zu werden, könnte man doch auch einfach einen zweiten Router hinter den Ersten hängen, oder?

Ich meine, das habe ich so geschrieben.

Das war jetzt ein wirklich interessanter Exkurs, aber was mache ich denn hinsichtlich meiner ursprünglichen Frage?

Hinter deinem router beginnt nicht das Internet, sondern das private Netzwerk deines providers.
Was der provider in seinem VPN erlaubt, das wird geroutet und das findet man eben in den logs. Im VPN passiert die Fernwartung der router, user die mit nmap herumspielen, fehlerhaft konfigurierte router, die Überwachung wie es der Gesetzgeber vorschreibt, Hacker, private Netzwerke, spezielle Providerdienste, usw. Deine logs sind egal, sie sind keine Warnung wert, du solltest dich aber abkoppeln von diesem Bereich.

Gruß
Gräfin Klara

 

[radiergummi]

Ein paar Punkte glaube ich jetzt verstanden zu haben:

1) ich brauche mir keine Sorgen über irgendwelche ungebetenen Gäste bei mir im LAN zu machen. Die Protokolleinträge resultieren aus Kontaktversuchen tatsächlich aus dem Telekom-Netz - das ich als deren Kunde mitbenutzen darf. Sie kommen nicht aus meinem LAN.

2) Du traust der Trennung von WAN und LAN im Router grundsätzlich nicht, weil man nicht weiß, ob sie umgangen werden kann, um bspw. DHCP-Listen auszulesen.

Der Lancom hat u. a. auch einen Paketsammler im Bauch, den man auf alle seine Ports loslassen kann. Auf die MAC-Adresse meines Clients gefiltert, habe ich alle Pakete auf der LAN-Seite gesehen, aber keines auf der WAN-Seite. Ich hätte jetzt vermutet, daß die Source-Mac-Adresse in den Paketen irgendwo mitgegeben wird. Vielleicht werden die Adressen aber auch nicht im Klartext mitgegeben. Ich weiß das nicht.

Wenn man Router kaskadiert, dann sieht der äußere Router auf der LAN-Seite als Client nur den inneren Router - dessen MAC- und die vergebene IP-Adresse, die im "Innenverhältnis" auch die genatteten Clients adressiert. Wobei, die sichtbare MAC-Adresse des inneren Routers ließe wahrscheinlich Rückschlüsse auf das Gerät zu. Man müsste die also ändern, nur weiß ich nicht, wie man zulässige Werte findet. Die LAN-Seiten der beiden Router würden je ein eigenes Class-C-Netz aufspannen. Das äußere bspw. 192.168.0.0 enthielte nur einen Knoten, den inneren Router und das innere Netz bspw. 192.168.1.0 enthielte die Knoten des eigentlichen LANs.

Wenn ich Deine Punkte richtig verstanden und hier umgesetzt und wiedergegeben habe, dann lässt sich das doch in reichlich zehn Minuten aufsetzen. Den zweiten Router habe ich ja noch.

Auf jeden Fall danke ich Dir schon mal für die Denkanstöße!

Passt das so?

Gruß,
Radiergummi

 

[Gräfin Klara]

Ein paar Punkte glaube ich jetzt verstanden zu haben:

1) ich brauche mir keine Sorgen über irgendwelche ungebetenen Gäste bei mir im LAN zu machen. Die Protokolleinträge resultieren aus Kontaktversuchen tatsächlich aus dem Telekom-Netz - das ich als deren Kunde mitbenutzen darf. Sie kommen nicht aus meinem LAN.

Die Logeinträge, die du hier präsentiert hast, stammen aus dem router und besagen, dass jemand aus dem VPN versucht, deinen router kennenzulernen.
Er versucht festzustellen, welche Dienste auf deinem router laufen und ob irgendeine Verbindungsaufnahme zum router möglich ist.
Das hat mit deinem LAN nichts zu tun. Wäre er nämlich schon in deinem LAN, dann logged das der router nicht.

Ich habe nirgends geschrieben, dass du dir keine Sorgen wegen ungebetener Gäste in deinem LAN machen mußt.
Diese Logs jedoch sind in diesem Zusammenhang egal, sie betreffen nicht dein LAN. Solche Logs sind mormal, die sind alltäglich.
Dort draußen ist feindliches Gebiet, das muß dich nicht interessieren und der router ist im Feindesland. Das habe ich schon geschrieben.

2) Du traust der Trennung von WAN und LAN im Router grundsätzlich nicht, weil man nicht weiß, ob sie umgangen werden kann, um bspw. DHCP-Listen auszulesen.

Das habe Ich nirgends geschrieben!
Ich habe geschrieben, dass du mit keiner Routerkonfiguration verhindern kannst, dass deine LAN Struktur aus dem VPN gelesen werden kann,
DHCP-Listen gibt es keine. Was du meinst sind ARP Tabellen

Das Problem an der Sache ist, dass im router 3 Welten aufeinandertreffen und ich gehe nun davon aus, dass das LAN am switch des routers miteinander verbunden ist
(wie bei dir und den meisten)
1. Ethernet: Aus dem LAN von allen clients auf den switch und in den router. Das ist das maximale an Informationen, das du einem Gerät überhaupt zur Verfügung stellen kannst. Mehr geht nicht.
2. TCP/IP: Auf der anderen Seite in Richtung VPN. Das ist das, was du mit Regeln im router einigermaßen steuern kannst,
3. DSL. Darüber zu schreiben führt zu weit, deshalb nur soviel dazu: nichts schützt dich davor, alles aus deinem LAN zu erfahren. Mit alles meine ich alles. Du lieferst ja auch alles,

Der Lancom hat u. a. auch einen Paketsammler im Bauch, den man auf alle seine Ports loslassen kann. Auf die MAC-Adresse meines Clients gefiltert, habe ich alle Pakete auf der LAN-Seite gesehen, aber keines auf der WAN-Seite. Ich hätte jetzt vermutet, daß die Source-Mac-Adresse in den Paketen irgendwo mitgegeben wird. Vielleicht werden die Adressen aber auch nicht im Klartext mitgegeben. Ich weiß das nicht.

Was du hier schreibst verstehe ich nicht. Das mit "Source-Mac-Adresse" aus dem VPN streichst du aus deinem Gehirn.

Wenn man Router kaskadiert, dann sieht der äußere Router auf der LAN-Seite als Client nur den inneren Router - dessen MAC- und die vergebene IP-Adresse, die im "Innenverhältnis" auch die genatteten Clients adressiert. Wobei, die sichtbare MAC-Adresse des inneren Routers ließe wahrscheinlich Rückschlüsse auf das Gerät zu. Man müsste die also ändern, nur weiß ich nicht, wie man zulässige Werte findet. Die LAN-Seiten der beiden Router würden je ein eigenes Class-C-Netz aufspannen. Das äußere bspw. 192.168.0.0 enthielte nur einen Knoten, den inneren Router und das innere Netz bspw. 192.168.1.0 enthielte die Knoten des eigentlichen LANs.

Was du hier schreibst verstehe ich nicht. Das ist Kauderwelsch.
Außerdem habe ich nirgends etwas über ein "Kaskadieren von routern" geschrieben.

Es ist mühsam mit dir. Entweder du liest was ich schreibe oder wir lassen das hier bleiben.

Gräfin Klara

 

[radiergummi]

Dieser Thread zeigt sehr schön, daß das geschriebene Wort nicht immer als idealer Spiegel zwischen zwei Köpfen taugt.
Ein gutes Beispiel dafür ist Dein letzter Satz:

Entweder du liest was ich schreibe oder wir lassen das hier bleiben.

Ich lese den Satz und stelle fest, daß er keinen Sinn macht. So ein Forum besteht nun mal nur aus Lesen und Schreiben. Da ich dem Schreibenden aber einen in dessen Realität geformten Gedanken unterstelle, den er hier für mich aufgeschrieben hat, überlege ich, was er wohl gemeint haben möge. Damit springen wir in meine Realität, die mich zu folgender Interpretation führt:

Entweder Du verstehst meine Texte so wie ich oder wir lassen das hier bleiben.

Bedingung und Konsequenz. Hier sehen wir das Problem. Die Bedingung lässt sich nicht leicht erfüllen, wenn die Beteiligten sehr unterschiedliche Wahrnehmungen und Kenntnisstände zu einem Thema haben. Die Drohung im zweiten Satzteil ist nicht wichtig.

Ich finde das Thema sehr interessant und bin noch dabei. Wo habe ich Dich miss- oder die Sache nicht verstanden?

Gruß,

Radiergummi

 

[Gräfin Klara]

Entweder Du verstehst meine Texte so wie ich oder wir lassen das hier bleiben.

Ich vestehe nicht, was man an meinen "Texten" nicht verstehen kann, außer man liest sie nicht.
Schreibe ich so unverständlich?

Ich habe dir die Frage im Betreff beantwortet
Ich habe dir erklärt, dass du an der falschen Stelle suchst und warum das so ist.
Ich habe versucht zu verdeutlichen, dass die Sicherheit, nach der du suchst, mit dem router nicht zu erreichen ist und habe erklärt, warum das so ist.
Ich habe dir einen Lösungsansatz vorgestellt, wie man das Problem umgehen kann.

Das alles ist so simpel, dass es auch mit deiner Realität nur kongruent sein kann.
Aber wahrscheinlich stelle ich zu wenig Fragen. Was hast du nun vor?