title image


Smiley Re: evtl. Angriffe bei Router Digitus DN 11004 N sichtbar machen
> evtl. portscans



Ein Portscan ist kein Angriff.



> mac spoofing



Bei Deinem Provider müsste ein Cracker sitzen, denn Mac-Adressen gelten nur im Subnetz. Das Internet basiert auf TCP/IP - es hat tausende Subnetze und Du bist im Subnetz Deines Providers. Wechsle den Provider, wenn Du ihm nicht vertraust.



> also das man info bekommt wenn jemand versucht ins system zu kommen...



Ein Router bietet keinerlei Dienste ins Internet an. Man müsste schon einen Fehler im IP-Stack des Routers finden, um ihn zu kapern. Und wenn das geschieht, dann nützt Dir auch das Log des Routers nichts mehr, denn das würde ich als erstes manipulieren. Und glaub mir, wer das kann, der hat garantiert 20 oder 30 IQ-Punkte mehr als Du oder ich.



Um es kurz zu machen: Verfall nicht in sinnlose Paranoia. Informiere Dich, was möglich ist und was nicht. Dazu kommt noch eine Portion Falscheinschätzung.

Du bist ein typisches Personalfirewallopfer, das nun glaubt, hinter jedem Portscan, Ping oder sonst irgendwelchen Hintergrundrauschen das Internets sitzt ein Bösewicht und will Deine ach so wichtigen Urlaubsbilder stehlen.



Sonst: Router wegschmeissen, wieder den PC direkt mit all seinen Diensten und den dahergehenden Sicherheitslücken an das Internet per Modem anschliessen, Personalfirewallschrott installieren und immer schöne Fenster bekommen, wenn wieder mal ein Portscan "angreift". Denn jetzt kannst Du wieder Sicherheit "fühlen" - aber mehr als ein vages Gefühl ist es halt nicht.



Aber ich will ja nicht nur "meckern", sondern auch was konstruktives beitragen.



Die Router haben heutzutage eine eingebaute Firewall (Paketfilter), meist auch eine sog. Statefull Packet Inspection (SPI). Diese SPI hat mehrere Aufgaben: Sie erkennt z.Bsp. Denial of Service Angriffe der verschiedensten Art (DSO) - das heisst, wenn jemand den Router oder Dein Netz "zukippen" möchte. Das wird dann schon erkannt und die Pakete werden von dieser "angreifenden" IP-Adresse verworfen. Ruhe im Karton. Der Angreifen müsste dann schon über eine enorme Bandbreite verfügen, um den Router in die Knie zu zwingen. Aber was sollte das für einen Sinn haben? Bist Du Bill Gates' Haupt-MS-Server-Netz? Denke nicht.



Desweiteren kümmert sie sich um solche Protokolle, welche auf verschiedenen Wegen Dein Netz erreichen wollen (z.Bsp. FTP oder das ganze Messenger-Zeugs). Dort werden dann die Ports dynamisch zur Zielmaschine freigeschalten und geforwardet. Minimiert den Konfigurationsaufwand für solche Sachen und man reisst sich nicht schon von vorherein den Router auf. Also hier recht sinnvoll (aber es soll erwähnt werden, das Fehler in der SPI natürlich auch den Router ungewollt öffnen können, man sollte als ab und zu mal nach den Firmwareupdates schauen).



IP-Spoofing mit LAN-IPs sollte heute jeder Router erkennen und entsprechens abwehren.

Wenn nicht, hilft eine einfache Filteregel, um das zu unterbinden.

Die SPI sollte sich auch um UDP-Verbindungen kümmern und nicht jedes rumlungernde UDP-Paket mal eben ins LAN weiterleiten.



Dazu kann man natürlich noch detailiert Filterregeln aufsetzen, welches Protokoll mit welcher Maschine wohin kommunizieren darf.



Alle Aktivitäten wird der Router loggen in einem Logfile, welches man sich gewiss angucken oder speichern kann. Aber dieses Log sollte man werten können, auch der Router irrt sich. Tauschbörsen sind z.Bsp. immer ein beliebtes Thema.Dort versucht jemand in kurzer Zeit viele Verbindungen zu Dir zu öffen - das ist aus Routersicht ein DOS-Angriff und die SPI könnte ganz herb zuschlagen. Hier wird gewolltes Verhalten von der Technik falsch interpretiert. Wenn Du es auch noch falsch interpretierst, dann denkst Du - "Mann, werd ja ständig angeriffen", dabei ist es nur der Esel.



Aber im Auslieferungszustand sollte so ein Router schon eine erhebliche Hürde darstellen, die sich zu knacken für den Cracker im Normalfall nicht lohnt, denn er will an die PCs im LAN, um diese für seine Zwecke zu missbrauchen im Sinne von benutzen (Deine Urlaubsbilder interessieren wirklich niemanden, eher Kreditkartendaten, Pins ect.).



Bedenke: Es gibt genügend Leute ohne Router (wie ich z.Bsp.), die per DFÜ connecten. Dort sind die Erfolgschancen um ein Vielfaches höher. Und andere Technologien, wie Trojaner und Würmer sind viel effektiver als sich hinzusetzen und EINEN Router zu knacken. Mit einem Wurm habe ich in der gleichen Zeit tausende Rechner erreicht und kann sie benutzen.



Klick!



Michael




--
Danke im voraus! - Bitte, verehrte Hilfesuchende, bedankt euch NACH erfolgter Hilfe mit einem kurzem Statement, ob der Tipp auch geholfen hat. Keiner weiß sonst, ob der Tipp "gewirkt" hat und es ist auch unhöflich, sich DANACH nicht zu bedanken.
Daher ist die Floskel "Danke im voraus!" auch völlig überflüssig.
--

geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: