Lancom Syslog - Botnetze wie Mirai und Co.

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Lancom Syslog - Botnetze wie Mirai und Co.

Beitrag von plumpsack »

(UDP): connection refused

Ich habe das jetzt einmal eine ganze Zeit lang beobachtet und verglichen.

Viele IP-Adressen/ganze Subnetze sind verseucht / oder auch nicht (wer da jetzt böses denkt ...).

Wie handhabt ihr das?

Ignorieren?

Wenn ja, wie verbietet ihr ausgehenden Verkehr zu diesen IP-Adressen/Netzwerken?

Importiert ihr da Listen von z.B. Github?
Wenn ja, wie?
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom Syslog - Botnetze wie Mirai und Co.

Beitrag von GrandDixence »

Diese Logbuch-Einträge (SYSLOG) sind ein gutes Zeichen, dass die SPI-Firewall korrekt konfiguriert wurde und korrekt funktioniert. Zum Thema SPI-Firewall siehe auch Beitrag Nr. 13 unter:
https://community.upc.ch/t5/Connect-Box ... 1394#M3238

Unter:
aktuelle-lancom-router-serie-f41/attack ... 16828.html
haben genügend kompetente Fachpersonen kompetenten Hilfe+Ratschlag gegeben. Wenn man diese Ratschläge und Hilfestellungen ignoriert, ist man ein Narr.

Diese Logbuch-Einträge einfach ignorieren. Sie gehören heute (leider) zum "Internet-Grundrauschen". Nur immer mit der Ruhe...

Gleiches gilt auch für die Logbuch-Einträge zu einem abgelaufenen Stammzertifikat (root certificate). Wenn das Stammzertifikat abgelaufen ist und es heute und morgen niemand mehr braucht, stört es auch nicht, wenn es nun mal abgelaufen ist.

Für eingehenden Netzwerkverkehr gilt immer noch die Aussage im Beitrag vom 02 Jun 2018, 23:05 unter:
aktuelle-lancom-router-serie-f41/attack ... tml#p95317

Als Schutz vor DDoS-Attacken für den VPN-Server:
Setup/VPN/Cookie-Challenge:=Immer
konfigurieren. Siehe:
fragen-zum-thema-vpn-f14/windows-phone- ... tml#p86789

fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795

Ausgehender Netzwerkverkehr auf TCP-Server-Ports sollte mit entsprechenden Firewallregeln (und einer DENY_ALL-Grundregel) möglichst "Server-IP-Adresse-scharf" eingegrenzt werden (z.B. Mailserver). Für HTTP+HTTPS muss man natürlich den Zugriff auf das "ganze Internet" zulassen. => HTTP stirbt langsam aus, deshalb macht der Einsatz eines HTTP-Proxy keinen grossen Sinn und HTTPS-Proxys halte ich für ein grosses Sicherheitsproblem! Soweit als möglich sollte nur verschlüsselte Kommunikation vom Heimnetzwerk ins Internet möglich sein (SMTPS statt SMTP => TCP Port 465; POP3S statt POP3 => TCP Port 995).

UDP-Netzwerkverkehr ins Internet ist mit einer SPI-Firewall schlechter kontrollierbar (=> UDP ist ein verbindungsloses Protokoll) und sollte möglichst vermieden werden (lieber TCP, oder noch besser TLS bei nicht zeitkritischen Diensten einsetzen => SIP: UDP Port 5060 => SIP: TCP Port 5060 => SIPS: TLS über TCP Port 5061) und wo nicht vermeidbar, möglichst über einen Proxy oder eine Zwischenstation laufen lassen. Zum Beispiel:

DNS => über den DNS-Proxy/DNS-Server auf dem LANCOM-Router (leider ohne Zwischenspeicher => DNS-Cache)
NTP => über den NTP-Server auf dem LANCOM-Router (LANCOM-Router verteilt die Uhrzeit => leider nur mit einer Genauigkeit von einer Sekunde)

Leider noch Zukunftsmusik ist das kryptografische Absichern von DNS und NTP:

- DNS: DNSSEC und "DNS mit TLS" (RFC 7858)
- NTP: Network Time Security (NTS) => Siehe: viewtopic.php?f=41&t=17652&p=100104&hil ... ty#p100104

Der Einsatz von VLAN und ARF im Heimnetzwerk oder Firmennetzwerk ist aus Sicherheitsgründen immer empfehlenswert:
viewtopic.php?f=15&t=17569&p=99671#p99671
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Lancom Syslog - Botnetze wie Mirai und Co.

Beitrag von plumpsack »

GrandDixence hat geschrieben: 08 Jan 2020, 23:10 Diese Logbuch-Einträge einfach ignorieren. Sie gehören heute (leider) zum "Internet-Grundrauschen".
Hallo, und vielen Dank für deinen ausführlichen Bericht (bringt mir aber leider nichts).

Was du hier lapidar als "Grundrauschen" bezeichnest sind Botnetze!
(Botnetze werden ja in Listen geführt, da kann man ja u.A. auch die IP-Adressen sehen)

Was machst du, wenn du im Syslog siehst, das da eine IP-Adresse von einem Botnetz anfragt?

Wie verhinderst du z.B. das diese IP-Adresse nicht von deinem Lancom-Router via Port 80 noch 443 (Deny-All-Strategie) erreicht werden kann?

Falls es dich und andere interessiert (zu deinem Thema "Grundrauschen"):

Lancom - Blind angeln gehen (IPs werden nicht in der Lancom-Firewall erfasst*).

In diesem Fall Packet-Capture am VDSL-Device:

Interface-Selection: LL-VDSL

Time-Limit (s): 600

Nach 10 min. die Datei xxx-LL-VDSL.cap mit Wireshark öffnen.

Voila, wen haben wir da denn alles eingehend.

Huch, ... ist wohl "Grundrauschen"

Code: Alles auswählen

Source: 112.225.19.86
Source: 125.64.94.211
Source: 13.115.76.224
Source: 13.230.122.142
Source: 18.179.12.181
Source: 183.80.110.136
Source: 185.143.223.81
Source: 185.153.196.48
Source: 185.176.27.170
Source: 185.176.27.246
Source: 37.191.134.83
Source: 49.51.160.252
Source: 52.192.73.74
Source: 54.238.96.149
Source: 77.247.108.15
Source: 77.247.108.241
Source: 80.82.77.245
Source: 92.118.37.86
Source: 92.123.181.75
Source: 92.246.76.244
Source: 93.216.176.169
Source: 94.102.49.193
etc.

Die wollen ja nur spielen ... wie geschrieben, das waren nur 10 min. Capture.

Merkwürdig nur, das die IP-Adressen im Internet einschlägig bekannt sind.

Ich hatte diese IP-Adressen / Netzwerke schon per Routing-Tabelle blockiert, somit kann mein Netzwerk die
IP-Adressen nicht mehr erreichen.

Diese Arbeit wollte ich mir vereinfachen und dachte, ihr habt da eine Lösung.

*
Viele Angriffe sind also durch die Verteilung der Angriffe auf einen längeren Zeitraum und verschiedene IP-Adressen maskiert und werden von traditionellen Sicherheitskontrollen als normaler Traffic registriert.
Quelle:

Code: Alles auswählen

https://www.funkschau.de/office-kommunikation/account-takeover-botnets-aufspueren.168482.html
Rund die Hälfte befindet sich in den folgenden Ländern (Reihenfolge nach Häufigkeit): Indien, Indonesien, Vietnam, Türkei und Iran.
Quelle:

Code: Alles auswählen

https://www.funkschau.de/office-kommunikation/account-takeover-botnets-aufspueren.168482.html
Kann ich so, nach Syslog vom Lancom-Router unterschreiben.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: Lancom Syslog - Botnetze wie Mirai und Co.

Beitrag von GrandDixence »

plumpsack hat geschrieben: 09 Jan 2020, 14:37 Was machst du, wenn du im Syslog siehst, das da eine IP-Adresse von einem Botnetz anfragt?
Ich scrolle weiter und suche mir die Logbuch-Einträge, die mich wirklich interessieren.
plumpsack hat geschrieben: 09 Jan 2020, 14:37 Wie verhinderst du z.B. das diese IP-Adresse nicht von deinem Lancom-Router via Port 80 noch 443 (Deny-All-Strategie) erreicht werden kann? Netzwerkverkehr ins Internet muss immer vom Heimnetzwerkteilnehmer initiiert werden. Es muss also bewusst ein Heimnetzwerkteilnehmer diese Netzwerkverbindung zu dieser "ach so bösen" IP-Adresse (Botnetzteilnehmer oder was auch immer) explizit wünschen und aufbauen
Wenn man alle Heimnetzwerkteilnehmer immer brav mit allen Sicherheitsupdates versorgt und keine unsignierte (Schad-)Software installiert oder unachtsam eine "Schad-App" installiert, wird kein Heimnetzwerkteilnehmer einfach so zu einem Teil eines Botnetzes.

IoT-Geräte, Unterhaltungselektronik und Android-Smartphones/Tablet/Wearables mit allen erforderlichen Sicherheitsupdates zu versorgen, ist in der Praxis leider (fast) ein Ding der Unmöglichkeit. Diese "Undinger" muss man halt mit VLAN/ARF + strikten Firewallregeln möglichst gut abschotten.
plumpsack hat geschrieben: 09 Jan 2020, 14:37Huch, ... ist wohl "Grundrauschen"

Code: Alles auswählen

Source: 112.225.19.86
Source: 125.64.94.211
Source: 13.115.76.224
Source: 13.230.122.142
Source: 18.179.12.181
Source: 183.80.110.136
Source: 185.143.223.81
Source: 185.153.196.48
Source: 185.176.27.170
Source: 185.176.27.246
Source: 37.191.134.83
Source: 49.51.160.252
Source: 52.192.73.74
Source: 54.238.96.149
Source: 77.247.108.15
Source: 77.247.108.241
Source: 80.82.77.245
Source: 92.118.37.86
Source: 92.123.181.75
Source: 92.246.76.244
Source: 93.216.176.169
Source: 94.102.49.193
Ja und? Ich muss nur einen Blick auf die WAN-Port-LED des LANCOM-Routers werfen, dann sehe ich das Grundrauschen visuell. Und diese WAN-Port-LED flackert 24h/7Tage dauernd während dem ganzen Jahr wegen dem Grundrauschen!
plumpsack hat geschrieben: 09 Jan 2020, 14:37Ich hatte diese IP-Adressen / Netzwerke schon per Routing-Tabelle blockiert, somit kann mein Netzwerk die IP-Adressen nicht mehr erreichen.
Die Routing-Tabelle ist für die Um- und Durchleitung des Netzwerkverkehrs. Pakete zu blockieren, ist Aufgabe der Firewall. Hier fehlt es am Grundwissen zur Konfiguration einer Firewall/Router, deshalb besser die Finger davon lassen, bevor man sich die Finger selber verbrennt!

@plumbsack
Vielleicht wäre es besser, den LANCOM-Router zu verkaufen und eine Fritzbox zu kaufen. Wenn man das Logbuch nicht korrekt interpretieren kann, ist es besser, wenn man gar keinen Lesezugriff auf das Logbuch erhält!
Viele Angriffe sind also durch die Verteilung der Angriffe auf einen längeren Zeitraum und verschiedene IP-Adressen maskiert und werden von traditionellen Sicherheitskontrollen als normaler Traffic registriert.
Auch nichts neues auf dem blauen Planet: Wenn ein Portscan nicht durch die Firewall als solchen erkannt werden soll, so lässt man in sehr langsam ablaufen (zum Beispiel: nur 1 Port in 15 Minuten => dann dauert der Portscan einen ganzen Tag) und verwendet möglichst verschiedene Quell-IP-Adresse, also möglichst verschiedene Internetanschlüsse und Netzwerkteilnehmer.

https://de.wikipedia.org/wiki/Portscanner

Vielleicht mal selber einen Portscan auf die eigene Firewall/Router durchführen und staunen über die neuen Logbucheinträge von dieser "ach so bösen" IP-Adresse...
https://www.heise.de/security/dienste/p ... ?scanart=1
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Lancom Syslog - Botnetze wie Mirai und Co.

Beitrag von plumpsack »

Ich hoffe, das mein jetziger Beitrag nicht wieder kommentarlos, ohne Angaben von Gründen, gelöscht/zensiert wird.

Die Antwort ist immer noch Regex (regular expression).

Mit Regex kann man die Listen der Botnetze importieren.

Zum Thema Routing - sehr wichtig!

https://www.lancom-systems.de/docs/LCOS ... 79396.html
Routen mit dem Eintrag '0.0.0.0' bezeichnen Ausschluss-Routen. Datenpakete für diese "Null-Routen" werden verworfen und nicht weitergeleitet. Damit werden z. B. die im Internet verbotenen Routen ... von der Übertragung ausgeschlossen.
Eigentlich soll damit u.A. das Abwandern/Abgreifen von Daten verhindert werden.

Ich dachte eigentlich, das sich da evtl. ein paar Admins melden, frei nach dem Motto "guck mal hier, ich hab da schon ein Skript geschrieben ...".
:G)
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Lancom Syslog - Botnetze wie Mirai und Co.

Beitrag von plumpsack »

https://www.t-online.de/digital/sicherh ... aktiv.html
Nutzer sollen Server blockieren

Der CERT-Bund rät, die Server von "Emotet" zu blockieren. Dazu verlinkt die Behörde eine Liste mit
IP-Adressen,
die Nutzer in ihrem Router in eine Block-Liste eintragen können.
Die IP-Adressen finden Sie hier.
https://www.t-online.de/digital/sicherh ... aner-.html

Verharmlost ihr das Problem immer noch?
:G)
COMCARGRU
Beiträge: 1202
Registriert: 10 Nov 2004, 17:56
Wohnort: Hessen

Re: Lancom Syslog - Botnetze wie Mirai und Co.

Beitrag von COMCARGRU »

Hast du schon mal versucht mit einem Sieb Rauch einzufangen?
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: Lancom Syslog - Botnetze wie Mirai und Co.

Beitrag von plumpsack »

COMCARGRU hat geschrieben: 21 Jan 2020, 21:47 Hast du schon mal versucht mit einem Sieb Rauch einzufangen?
Da gibt es mehrere Möglichkeiten

A) man produziert keinen Rauch
B) man fängt den Rauch auf und läßt ihn an diversen Stufen z.B. kondensieren oder filtert ihn weg.
(Beispiel in der Küche an einer Dunstabzugshaube)

Aber deine Metapher ist cool :)
:M

So, und wenn ihr euch nicht die Mühe macht, die IP-Adressen aus dem Syslog mit denen, die im Internet als Botnetze und/oder scannenden IP-Adressen publiziert werden, zu vergleichen, wie und vor allem wohin importiert ihr die z.B. angegebene Liste vom CERT-Bund?
:G)
Antworten