Hallo liebes Forum,
wir lassen über LANMonitor die Geräteaktivitäten protokollieren. In den Protokolldateien ist mir zufällig aufgefallen, dass häufige Zugriffsversuche von außen erfolgt. Die Rückverfolgung hat ergeben, dass die unterschiedlichen IP-Adressen allesamt China zuzuordnen sind. In der Protokolldatei steht unter anderem:
"Console Anmeldung von 222.82.53.187 per HTTPS fehlgeschlagen"
Dies wundert mich, da wir hier eigentlich eine sehr restriktive Linie fahren. Ein Zugriff von extern ist nur über VPN möglich. Darüber hinaus ist der Zugriff nur einzelnen IP-Adressen aus unseren internen per VPN verbundenen Netzwerken die in "Zugriffs-Stationen" eingetragen sind gestattet. Ich habe einmal versucht mich von zuhause extern auf den Router per HTTPS zu verbinden. Mir wird im Browser dann der Lancom Router angezeigt, allerdings mit der Meldung "403 Access Forbidden." Dies führt aber nicht zu der oben aufgeführten Meldung.
Die oben aufgeführte Meldung "per HTTPS fehlgeschlagen" kann ich in der Protokollierung nur erzeugen, wenn ich mich mit einer zugelassenen IP-Adresse per HTTPS anmelden will, aber dann ein falsches Passwort eingebe. Jetzt frage ich mich, wie es überhaupt möglich sein kann, dass dieser Zugriffsversuch protokolliert wird, da von externen IP-Adressen eigentlich gar keine Anmeldeversuche möglich sein dürften.
Viele Grüße
blackeagle2002de
Externe Zugriffsversuche, Rückverfolgung ergibt China
Moderator: Lancom-Systems Moderatoren
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
-
GrandDixence
- Beiträge: 1060
- Registriert: 19 Aug 2014, 22:41
Re: Externe Zugriffsversuche, Rückverfolgung ergibt China
Wenn das LANCOM-Gerät korrekt konfiguriert wurde UND die Sicherheitsempfehlungen unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
viewtopic.php?f=14&t=17171&p=97366&hili ... ort#p97354
eingehalten werden, sollte eine externe Anfrage für den Aufbau einer verschlüsselten Verbindung auf Port TCP 443 (HTTPS => mit TLS verschlüsseltes HTTP) bereits beim TCP SYN mit einem TCP RST (Reset) beantwortet werden.
https://de.wikipedia.org/wiki/Transmiss ... l_Protocol
Schön ersichtlich mit Wireshark (und dank Paket Capture). viewtopic.php?f=41&t=17414&p=98835&hili ... ing#p98835
Also ein (verschlüsselter) Verbindungsaufbau von extern auf das Webinterface (TCP Port 443) des LANCOM-Geräts sollte unmöglich sein. Ein "Port Scan" des eigenen LANCOM-Geräts mit dem Heise Port Scan ist empfehlenswert:
https://www.heise.de/security/dienste/p ... ?scanart=1
Anders sieht es aus, wenn der VPN-Server auf dem LANCOM-Gerät "IPSEC über HTTPS" (SSL-Encaps.) erlaubt => VPN-Server horcht auf TCP Port 443 (HTTPS) auf Anfragen zu einem TCP-basierenden VPN-Tunnelaufbau. Siehe dazu:
fragen-zum-thema-vpn-f14/lancom-vpn-zug ... 17171.html
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
viewtopic.php?f=14&t=17171&p=97366&hili ... ort#p97354
eingehalten werden, sollte eine externe Anfrage für den Aufbau einer verschlüsselten Verbindung auf Port TCP 443 (HTTPS => mit TLS verschlüsseltes HTTP) bereits beim TCP SYN mit einem TCP RST (Reset) beantwortet werden.
https://de.wikipedia.org/wiki/Transmiss ... l_Protocol
Schön ersichtlich mit Wireshark (und dank Paket Capture). viewtopic.php?f=41&t=17414&p=98835&hili ... ing#p98835
Also ein (verschlüsselter) Verbindungsaufbau von extern auf das Webinterface (TCP Port 443) des LANCOM-Geräts sollte unmöglich sein. Ein "Port Scan" des eigenen LANCOM-Geräts mit dem Heise Port Scan ist empfehlenswert:
https://www.heise.de/security/dienste/p ... ?scanart=1
Anders sieht es aus, wenn der VPN-Server auf dem LANCOM-Gerät "IPSEC über HTTPS" (SSL-Encaps.) erlaubt => VPN-Server horcht auf TCP Port 443 (HTTPS) auf Anfragen zu einem TCP-basierenden VPN-Tunnelaufbau. Siehe dazu:
fragen-zum-thema-vpn-f14/lancom-vpn-zug ... 17171.html
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
blackeagle2002de
- Beiträge: 142
- Registriert: 23 Jan 2005, 13:47
Re: Externe Zugriffsversuche, Rückverfolgung ergibt China
Hallo GrandDixence,
vielen Dank für Deine Antwort. IPSEC über HTTPS ist aktiviert, da wir dies für unsere mobilen Mitarbeiter benötigen. Im Heise Security Test wird dementsprechend der https Port gefunden, ansonsten nichts. Die Sicherheitsempfehlungen werden eingehalten. Ich selbst komme bei einem https Zugriff ja auch nur auf die Lancom Seite "403 Access Forbidden." Merkwürdig...
Viele Grüße
blackeagle2002de
vielen Dank für Deine Antwort. IPSEC über HTTPS ist aktiviert, da wir dies für unsere mobilen Mitarbeiter benötigen. Im Heise Security Test wird dementsprechend der https Port gefunden, ansonsten nichts. Die Sicherheitsempfehlungen werden eingehalten. Ich selbst komme bei einem https Zugriff ja auch nur auf die Lancom Seite "403 Access Forbidden." Merkwürdig...
Viele Grüße
blackeagle2002de
Re: Externe Zugriffsversuche, Rückverfolgung ergibt China
Vorausgesetzt du hast ein vernünfitges, soweit wie mögliches, hardening mit dem lancom vorgenommen (konfigurations-zugriffs-wege gecheckt)?
liegt es an IPSec over HTTPS - mehr gibt es dazu nicht zu sagen
Die 403er ist normal in diesem Fall
Grüße
ecox
liegt es an IPSec over HTTPS - mehr gibt es dazu nicht zu sagen
Die 403er ist normal in diesem Fall
Grüße
ecox
MÜHSAM ERNÄHRT SICH DAS EICHHÖRNCHEN
Re: Externe Zugriffsversuche, Rückverfolgung ergibt China
Hallo,
wenn du der Meinung bist, das "nur" die Chinesen etwas von dir wollen und du nichts mit chinesischen Netzwerken zu tun hast, dann guck dir mal bitte die Routing-Tabelle im Anhang an.
Die Lancom-Router haben einen ganz großen Vorteil, sie zeigen dir im Syslog an, wer dich via UDP versucht anzupinkeln.
Ein einfaches "whois" der IP-Adresse sowie ein Check auf https://www.abuseipdb.com/ zeigt dir wer die "Anpisser" sind.
Ich benötige diese Netzwerke nicht und sperre sie per Route, hier als Beispiel "China".
https://www.sicherheitstacho.eu ist eigentlich fast deckungsgleich mit den anpssenden IP-Adressen / Netzwerken.
ACHTUNG: Ist XZ-gepackt! TXT-Endung bitte löschen!
Nachtrag:
Da die Hackernetzwerke, wie u.A. die Chinesen, ungern ihre CIDR unter whois angeben
habe ich folgendes zu 222.82.53.187 gefunden:
China Telecom
CIDR
222.82.52.0/23
ipcalc 222.82.52.0/23
Network: 222.82.52.0/23
Netmask: 255.255.254.0 = 23
Broadcast: 222.82.53.255
Address space: Internet
Address class: Class C
HostMin: 222.82.52.1
HostMax: 222.82.53.254
Hosts/Net: 510
Blocker das Netzwerk einfach in der Routing-Tabelle.
wenn du der Meinung bist, das "nur" die Chinesen etwas von dir wollen und du nichts mit chinesischen Netzwerken zu tun hast, dann guck dir mal bitte die Routing-Tabelle im Anhang an.
Die Lancom-Router haben einen ganz großen Vorteil, sie zeigen dir im Syslog an, wer dich via UDP versucht anzupinkeln.
Ein einfaches "whois" der IP-Adresse sowie ein Check auf https://www.abuseipdb.com/ zeigt dir wer die "Anpisser" sind.
Ich benötige diese Netzwerke nicht und sperre sie per Route, hier als Beispiel "China".
https://www.sicherheitstacho.eu ist eigentlich fast deckungsgleich mit den anpssenden IP-Adressen / Netzwerken.
ACHTUNG: Ist XZ-gepackt! TXT-Endung bitte löschen!
Nachtrag:
Da die Hackernetzwerke, wie u.A. die Chinesen, ungern ihre CIDR unter whois angeben
habe ich folgendes zu 222.82.53.187 gefunden:
China Telecom
CIDR
222.82.52.0/23
ipcalc 222.82.52.0/23
Network: 222.82.52.0/23
Netmask: 255.255.254.0 = 23
Broadcast: 222.82.53.255
Address space: Internet
Address class: Class C
HostMin: 222.82.52.1
HostMax: 222.82.53.254
Hosts/Net: 510
Blocker das Netzwerk einfach in der Routing-Tabelle.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.