OT: Angriff auf private IP
Hallo, Ich bin momentan mit einem WLAN-Hotspot der DTAG verbunden, und habe per DHCP die IP 10.132.31.222 zugewiesen bekommen. Dies ist eine IP, die ja aus einem Adressbereich kommt, der für private Netze reserviert ist (http://de.wikipedia.org/wiki/IP-Adresse#Besondere_IP-Adressen). Wir setzen bei uns seit kurzem Symantec Endpoint Protection ein. Dieser hat vorhin einen Angriff blockiert: "Datenverkehr von IP-Adresse 82.48.3.67 wurde von 26.01.2011 18:47:39 bis 26.01.2011 18:57:39 blockiert." Die 82er IP kommt laut whois aus Italien. Ich frage mch folgendes: Wie kann ich aus dem Internet eine private IP angreifen ? Die DTAG muss doch auf den Routern NAT einsetzen, und private IP's werden im Internet nicht geroutet, oder ? Wenn die DTAG kein Portforwarding einrichtet, kann ich doch aus dem Internet keine priv. IP hinter dem NAT-Router ansprechen. Any Ideas ? Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Wed, 26 Jan 2011 21:48:27 +0100
schrieb "Lentes, Bernd"
Hallo,
Ich bin momentan mit einem WLAN-Hotspot der DTAG verbunden, und habe per DHCP die IP 10.132.31.222 zugewiesen bekommen. Dies ist eine IP, die ja aus einem Adressbereich kommt, der für private Netze reserviert ist (http://de.wikipedia.org/wiki/IP-Adresse#Besondere_IP-Adressen).
Wir setzen bei uns seit kurzem Symantec Endpoint Protection ein. Dieser hat vorhin einen Angriff blockiert: "Datenverkehr von IP-Adresse 82.48.3.67 wurde von 26.01.2011 18:47:39 bis 26.01.2011 18:57:39 blockiert." Die 82er IP kommt laut whois aus Italien. Ich frage mch folgendes: Wie kann ich aus dem Internet eine private IP angreifen ? Die DTAG muss doch auf den Routern NAT einsetzen, und private IP's werden im Internet nicht geroutet, oder ? Wenn die DTAG kein Portforwarding einrichtet, kann ich doch aus dem Internet keine priv. IP hinter dem NAT-Router ansprechen.
Dagegen hilft nur die eigene Firewall. Es ist kein Geheimnis, dass die Router der Telekom (und nicht nur der Telekom) nicht sonderlich geschützt werden. Häufig läuft da noch ein Telnet Daemon. Ein Böser Bube ist durchaus in der Lage, einen oder mehrere Router zu kapern und NAT in das 10.er Netz zu aktivieren, oder sonstige Manipulationen vorzunehmen. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Dieter Klünter schrieb:
Dagegen hilft nur die eigene Firewall. Es ist kein Geheimnis, dass die Router der Telekom (und nicht nur der Telekom) nicht sonderlich geschützt werden. Häufig läuft da noch ein Telnet Daemon. Ein Böser Bube ist durchaus in der Lage, einen oder mehrere Router zu kapern und NAT in das 10.er Netz zu aktivieren, oder sonstige Manipulationen vorzunehmen.
-Dieter
Autsch ! Mittlerweile kann ich den Angriffen hier fast im Minutentakt zu gucken. Bin ja froh, daß die Symantec-Software das abfängt. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bernd,
Autsch ! Mittlerweile kann ich den Angriffen hier fast im Minutentakt zu gucken. Bin ja froh, daß die Symantec-Software das abfängt.
Falls du etwas mehr Informationen über solche Angriffe von "außen" haben möchtest kann ich dir noch diesen Artikel empfehlen: http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html Liebe Grüße Patrick -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Patrick Burkard schrieb:
Falls du etwas mehr Informationen über solche Angriffe von "außen" haben möchtest kann ich dir noch diesen Artikel empfehlen:
http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html
Liebe Grüße Patrick --
Interessanter Artikel. So ganz kann ich dem aber nicht zustimmen. Ein NAT-Router leitet Pakete ans Intranet nur weiter, wenn eine passende Verbindung in seiner Tabelle hat. Hat er keinen Eintrag in seiner Tabelle, wird auch nichts weitergeleitet. Sprich: Hinter einem NAT-Router ist kein Server direkt von aussen ansprechbar, ausser ich habe Portforwarding eingerichtet. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd wrote:
Patrick -- Interessanter Artikel. So ganz kann ich dem aber nicht zustimmen. Ein NAT-Router leitet Pakete ans Intranet nur weiter, wenn eine passende Verbindung in seiner Tabelle hat. Hat er keinen Eintrag in seiner Tabelle, wird auch nichts weitergeleitet. Sprich: Hinter einem NAT-Router ist kein Server direkt von aussen ansprechbar, ausser ich habe Portforwarding eingerichtet. ja, vorausgesetzt, es gibt nicht eine "established " Connection, vorausgesetzt nicht andere ( Skype?) haben ein (UDP) Loch gemacht usw. Letztlich brauchst du im Netz 10. nur einen trojanischen Routeragenten. Anonsten auch wenn es T-Com ist... aber du hängst direkt am Internet; was also soll's ? Für mich wäre eher der Fall ... hinter meiner Firewall aufregend; Wir haben schon fast ein WAN mit etlichen Internetgates und einigen gerouteten Netzen. (Fast WAN ...also nur: noch kann ich fast alle Netze und Rechner aufzählen ..)
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 27.01.2011 10:29, schrieb Lentes, Bernd:
Patrick Burkard schrieb:
Falls du etwas mehr Informationen über solche Angriffe von "außen" haben möchtest kann ich dir noch diesen Artikel empfehlen:
http://blog.koehntopp.de/archives/2982-NAT-ist-kein-Sicherheitsfeature.html
Liebe Grüße Patrick --
Interessanter Artikel. So ganz kann ich dem aber nicht zustimmen. Ein NAT-Router leitet Pakete ans Intranet nur weiter, wenn eine passende Verbindung in seiner Tabelle hat. Hat er keinen Eintrag in seiner Tabelle, wird auch nichts weitergeleitet. Sprich: Hinter einem NAT-Router ist kein Server direkt von aussen ansprechbar, ausser ich habe Portforwarding eingerichtet.
Oder NAT ist manipuliert. Dann hast du ein Problem. Mir ist nicht bekannt das NAT gegen Manipulationen geschützt ist. Für Otto-Normaluser ist NAT sicherlich eine hohe Hürde aber sensible Umgebungen sollten ihre Zugriffe sicherlich anders regeln. gruß . Ralf Prengel Manager Customer Care Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49 231 97575 904 Fax +49 231 97575 257 Mobil +49 151 10831 157 EMail Ralf.Prengel@comline.de www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 Für die Erstellung unserer Dokumente benutzen wir die Produkte aus dem Microsoft Office 2007 Paket. Sollte sich ein Anhang in der Mail befinden, der mit einer älteren Office Version nicht geöffnet werden kann, installieren Sie bitte das Compatibility Pack für Office 2007. http://www.microsoft.com/downloads/details.aspx?FamilyID=941b3470-3ae9-4aee-8f43-c6bb74cd1466&DisplayLang=de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd, Donnerstag 27 Januar 2011:
Interessanter Artikel. So ganz kann ich dem aber nicht zustimmen. Ein NAT-Router leitet Pakete ans Intranet nur weiter, wenn eine passende Verbindung in seiner Tabelle hat. Hat er keinen Eintrag in seiner Tabelle, wird auch nichts weitergeleitet. Sprich: Hinter einem NAT-Router ist kein Server direkt von aussen ansprechbar, ausser ich habe Portforwarding eingerichtet.
Das stimmt manchmal, aber keineswegs immer. Es gibt Billig-Router (oder Türstopper, wie ich dem genannten Artikel entnehme...), die leiten alle Pakete von draußen nach drinnen weiter, wenn sie überflutet werden. Oder lies das hier: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#NAT Quintessenz: einen billigen NAT-Router zu überwinden ist kein großes Problem. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Das stimmt manchmal, aber keineswegs immer. Es gibt Billig-Router (oder Türstopper, wie ich dem genannten Artikel entnehme...), die leiten alle Pakete von draußen nach drinnen weiter, wenn sie überflutet werden.
Oder lies das hier: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#NAT
Quintessenz: einen billigen NAT-Router zu überwinden ist kein großes Problem.
Ok. Wenn ich den flute, klar. Dem erwähnten Artikel kann ich aber nicht in allen Punkten zustimmen. "Erreicht einen NAT-Router ein Paket für eine umgesetze Adresse, so wird er versuchen, irgendwie den eigentlichen Empfänger zu erraten und das Paket zuzustellen" "Irgendwie erraten" - wieso ? Kann er doch anhand von Quell-IP, Quell-Port, Ziel-Port und seiner Tabelle eindeutig zuordnen. "Dies gilt insbesondere bei verschlüsselten Verbindungen und verbindungslosen Protokollen." Verschlüsselte Verbindungen - nun, der IP-Header wird ja wohl nur bei Ipsec im Tunnelmodus verschlüsselt: http://de.wikipedia.org/wiki/IPsec#IPsec_im_Tunnelmodus. Ansonsten sind IP's und Ports lesbar und damit den Verbindungen zuzuordnen. Dies sollte auch für verbindungslose Protokolle (udp) gelten, auch da gibt es IP's und Ports. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Andre Tann
-
Dieter Kluenter
-
Fred Ockert
-
Lentes, Bernd
-
Patrick Burkard
-
Ralf Prengel