Moin, ich hätte da mal eine Frage aus reiner Neugier. Aus Gründen ... habe ich ein QNAP als Netzwerkspeicher sichtbar im Internet zu stehen. Alle 15-20 Minuten versucht sich in der Regel irgendeine unbekannte IP Adresse mit falschen Anmeldedaten darin einzuloggen. Einen großen Bereich der IP Adressen habe ich einfach schon pro forma gesperrt. Seit heute Nachmittag gibt es nun einen neuen Angriff. 3 bis 5 Mal pro Sekunde versucht sich jemand anzumelden. Durch Zufall habe ich es gesehen, als es anfing und einfach erstmal die Firewall auf positiv-Liste umgeschaltet. Soweit ist das alles sehr unspektakulär und gewöhnlich. Allerdings hatten meine ungebetenen Gäste in der Vergangenheit anscheinend nur ein begrenztes Kontingent an IP-Adressen zur Verfügung. Das scheint heute anders zu sein. Es ist nicht auszuschließen, das hier ein großes Bot-Netz sein Unwesen treibt, aber die Adressen sind diesmal so willkürlich. Ist es möglich, die IP4-Adresse, ähnlich wie eine Telefonnummer, zu faken?
Tex A. schrieb: > Ist es möglich, die IP4-Adresse, ähnlich wie eine Telefonnummer, zu > faken? Nein, aber man kann VPN und Proxys verwenden.
Rüdiger B. schrieb: > Nein, aber man kann VPN und Proxys verwenden. Das ist klar soweit. Ich nehme an, dass das die Ursache für das begrenzte Kontingent an IP-Adressen in der Vergangenheit war. Wie gesagt, dieses hier ist anders, oder scheint anders zu sein.
Auch an deiner Haustür können Leute Schlüssel durchprobieren. Was hilft? Ein gutes Schloß. Tex A. schrieb: > mit falschen Anmeldedaten darin einzuloggen. Die Authentifizierung mit Schlüsseln ist bereits erfunden und deutlich sicherer. Tex A. schrieb: > Einen großen > Bereich der IP Adressen habe ich einfach schon pro forma gesperrt. Wenn du dir gerne Arbeit machst, dann weiter so. Aber wenn deine Kiste sicher ist darf sich da gerne Jeder versuchen anzumelden - erfolglos.
Tex A. schrieb: > Ist es möglich, die IP4-Adresse, ähnlich wie eine Telefonnummer, zu > faken? Wenn von einem normalen DSL-Anschluss aus gehackt wird, dann ist dessen IP drin. Wenn ein anderer Rechner am DSL-Anschluss übernommen wurde, dann ist dessen IP drin. Wenn aber ein Server eines Verteilknotens eines Providers übernommen wurde, dann sind andere IP-Adressen ins Paket zu setzen möglich.
Tex A. schrieb: > Ist es möglich, die IP4-Adresse, ähnlich wie eine Telefonnummer, zu > faken? Nur bei UDP unidirektional. Das dürfte aber irrelevant sein.
Anderes Problem: Auch wenn die Angreifer jetzt am Passwort scheitern, ist dein QNAP wohl inzwischen in den einschlägigen Datenbanken (Shodan&co) vermerkt. Sobald eine neue Sicherheitslücke entdeckt wird mit der sich der Login umgehen lässt, ist deine Kiste sofort dran, schneller als du überhaupt auf "Update" klicken kannst. https://www.qnap.com/en/security-advisories/
Εrnst B. schrieb: > Anderes Problem: Auch wenn die Angreifer jetzt am Passwort scheitern, > ist dein QNAP wohl inzwischen in den einschlägigen Datenbanken > (Shodan&co) vermerkt. Wenn das Ding eine variable öffentliche Adresse hat (also eher der Normalfall), dann spielt das keine nennenswerte Rolle. Zum Glück gibt es ja kein "reverse DynDNS". Mit einer festen oder "quasi-festen" IP hingegen wird auch sowas natürlich relevant.
Ich betreibe 3 Server bei Hostern im Internet. Es ist völlig normal, dass die bereits wenige Minuten nachdem die online gingen angegriffen werden. Wichtig ist, dass der SSH-Zugang nur per Publickey zugänglich ist, sonst wirst Du schnell übernommen und Teil eines Bot-Netzes. Auch ein anderer SSH-Port als 22, 222, 322 o.ä. bringt viel Entlastung. Und kein normales FTP, sondern nur SFTP, wieder per Publickey. Für einen anderen Zugang z.B. per HTTPS etc sind halt gute und lange Credentials wichtig. Kleiner Tip: besorge Dir mal Kali-Linux Live, da gibt es lange Listen mit beliebten Passwörtern. Und unbedingt fail2ban installieren, das sperrt Dir automatisch alle IPs in der Firewall, die eine einstellbare Anzahl von misslungenen Anmeldungen versucht haben.
:
Bearbeitet durch User
Stephan S. schrieb: > fail2ban installieren Ja, das funktioniert sehr gut neben den anderen schon genannten Vorsichtsmaßnahmen.
Stephan S. schrieb: > Auch ein anderer SSH-Port als 22, 222, 322 o.ä. bringt viel Entlastung. Das dieser Tipp bis heute nicht aussterben will. Man nimmt den normalen ssh Port, schaltet die Ausgabe der Version (aller serverdienste) aus und benutzt port knocking. https://medium.com/secjuice/how-to-hide-your-ports-with-port-knocking-cb7f244849e7
Kilo S. schrieb: > Stephan S. schrieb: >> Auch ein anderer SSH-Port als 22, 222, 322 o.ä. bringt viel Entlastung. > Das dieser Tipp bis heute nicht aussterben will. Das ist schon sinnvoll: als der Port in den ersten Tagen noch 22 war, hatte ich am Tag ein paar 1000 Versuche, den SSH-Zugang zu knacken. Nachdem ich den Port auf (z.B.) 52861 geändert habe, kommt nur noch alle paar Monate ein Versuch. Beim 2. Versuch auf den Port wird der Angreifer geblockt, weil ich per fail2ban nur genau 1 Versuch erlaube. Ich selbst nutze publickey, das klappt immer beim 1. Versuch und sollte ich mal wirklich mich selbst aussperren, kann ich das über den Zugang beim Hoster wieder gerade biegen, ist in 3 Jahren 1x passiert.
Tex A. schrieb: > Alle 15-20 Minuten versucht sich in der Regel irgendeine unbekannte IP > Adresse mit falschen Anmeldedaten darin einzuloggen Obacht, das ist ...NancyF!
Christian M. schrieb: >> Alle 15-20 Minuten versucht sich in der Regel irgendeine unbekannte IP >> Adresse mit falschen Anmeldedaten darin einzuloggen > > Obacht, das ist ...NancyF! Die Dame mag ja fleissig sein, aber eine 5-stellige Zahl an SSH Versuchen allein die letzte Stunde schafft sie nicht alleine. Dafür braucht sie weltweite Hilfe.
Stephan S. schrieb: > Nachdem ich den Port auf (z.B.) 52861 geändert habe, kommt nur noch alle > paar Monate ein Versuch. Das mag für weniger Angst bei dir sorgen, sicherer ist es nicht. Sinnvoller als den Port zu verlegen ist knocking auf alle Fälle! Denn es gibt auch keinen anderen Port an dem SSH dauerhaft lauscht. Also auch kaum den Fall das ein Angreifer den SSH deamon für einen Angriff findet! Und wie blöd der gute schaut wenn er vielleicht erst offen und danach wieder weg ist, also 10 Minuten nach dem scannen und du hast die Session beendet, kein ssh deamon für einen Angriff mehr zu haben, Stell ich mir mega dumm vor. ;-D
Kilo S. schrieb: > Das mag für weniger Angst bei dir sorgen, sicherer ist es nicht. Die Wahrscheinlichkeit eines erfolgreichen Angriffs könnte schon eine Korrelation mit Häufigkeit der Versuche zeigen. Und die ist bei 22 nun einmal viel grösser. > Sinnvoller als den Port zu verlegen ist knocking auf alle Fälle! Spricht nichts dagegen, wenn man das nur für interaktive Verbindungen braucht, nicht für automatische. Auch Geoblocking oder gar eine IP-Einschränkung auf in Frage kommende Bereiche macht nicht selig, sortiert aber die meisten Versuche gleich aus. Sowas kann man beispielsweise gut in die Firewall eines Miethosts packen.
:
Bearbeitet durch User
(prx) A. K. schrieb: > Die Wahrscheinlichkeit eines erfolgreichen Angriffs könnte schon eine > leichte Korrelation mit Häufigkeit der Versuche zeigen. Theoretisch ja, praktisch sehe ich Zero Day Lücken und exploit DB (also die hohe Verfügbarkeit von exploits) als problematisch an und behandel daher JEDEN auch noch so seltenen Angriff sehr streng. Selbst wenn es nur 4 Angriffe im Jahr sind, ein funktionierender exploit weil noch kein Patch draußen ist, schon ist selbst dieses geringe Risiko plötzlich auf dem Schirm. (prx) A. K. schrieb: > Das Eine schliesst das Andere ja nicht aus. Ja, richtig. Aber das wäre dann dreifach auf tote Spatzen geschossen und würde einen Scan bei offenem Port auch nur verzögern. Bzw. ssh wäre einfach später in der Liste der gescannten ports. Aber so lange da nicht bereits beim Aufbau der Verbindung ein MITM sitzt, ist das ohne Publickey für den Angreifer auch nutzlos. Besonders in Kombination mit fail2ban.
Stephan S. schrieb: > Und unbedingt fail2ban installieren, > das sperrt Dir automatisch alle IPs in der Firewall, die eine > einstellbare Anzahl von misslungenen Anmeldungen versucht haben. Ja, war lange ein sehr guter Tipp und bringt auch heute für IPv6 immer noch viel. Beim Einsatz mit IPv4 vorsichtig sein, da Carrier-grade-NAT immer häufiger wird und man ja nicht gleich alle Kunden eines Mobilfunkproviders ausschliessen will (kommt natürlich drauf an, für was man den Server nutzt).
Christoph Z. schrieb: > man ja nicht gleich alle Kunden eines > Mobilfunkproviders ausschliessen will Das ist längst nicht nur im Mobilfunk ein Problem. Auch im Festnetz teilen sich sehr viele Leute eine IPv4, dank Dual Stack lite. Eine saubere Lösung gibt es dafür aber nicht. Alles erlauben geht auch nicht. Überlicherweise ist der Ausschluss deshalb zeitlich eng begrenzt.
:
Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.